GDPR : gli errori più comuni e alcuni suggerimenti per evitarli

In questo articolo vogliamo parlare di quali siano gli errori più comuni in materia GDPR e come evitarli, perchè, nonostante siano passati ormai cinque anni dalla sua introduzione, vengono commessi ancora moltissimi errori che portano a sanzionare i Titolari del trattamento, per non aver ottemperato in modo corretto ai doveri del capo III (i diritti dell’interessato) del GDPR.

In merito a ciò, i Titolari sono tenuti a:

  • Fornire agli interessati tutte le informazioni necessarie a renderli consapevoli di come verranno trattati i loro dati e di quali sono i loro diritti;

  • Agevolare l’esercizio di tali diritti;

  • Fornire agli interessati un riscontro puntuale rispetto all’azione intrapresa a seguito di una istanza di esercizio dei diritti.

Gli errori che possono portare a sanzioni

Anche un solo errore di gestione riguardo ad un solo interessato su migliaia, può portare ad una sanzione. Il più delle volte la sanzione è applicata perché rileva degli errori nella gestione delle istanze di esercizio dei diritti. Ecco alcuni esempi.

  1. La richiesta non viene presa in considerazione

Molto spesso capita che la richiesta non venga nemmeno presa in considerazione e questo può capitare per molte ragioni tra le quali:

  • Nessuno controlla il punto di contatto su cui arriva la richiesta (es. mail come info@ o posta certificata)

  • Chi presidia il punto di contatto non riconosce nel messaggio ricevuto, una istanza di esercizio dei diritti

Verosimilmente, l’interessato medio non è un esperto di linguaggio giuridico, ma anzi può far richiesta usando un linguaggio molto semplice e poco tecnico. Per questa ragione, è opportuno assicurarsi che chi gestisce i canali di ricezioni, sia in grado di riconoscere una richiesta di esercizio dei propri diritti.

  1. La richiesta non viene gestita nei tempi previsti dal GDPR

La richiesta non viene processata nei tempi previsti dal GDPR, questo può succedere perché:

  • Il Referente privacy (o chi è incaricato di dare riscontro) non riceve in tempo le istanze di esercizio dei diritti, poiché le stesse non vengono correttamente incardinate. Spesso le richieste si fermano sulla e-mail di chi le riceve per giorni, settimane oppure vengono inoltrate all’ufficio sbagliato.

  • Il Referente privacy (o chi è incaricato di dare riscontro) non riceve dalla struttura le informazioni necessarie a processare l’istanza. In molti casi, questo non accade per inerzia o mala fede, ma semplicemente perché la struttura non è in grado di individuare le informazioni necessarie a dar seguito alla richiesta del Referente privacy.

  • La struttura non è in grado di identificare l’interessato. Questo è un punto molto delicato, è, infatti, ormai noto che l’identificazione dell’interessato debba avvenire solo in via residuale per mezzo del trattamento di dati ulteriori, quali, ad esempio, quelli contenuti in un documento di identità. D’altro canto, il titolare deve evitare di incorrere in violazioni di riservatezza, anche molto gravi, per non aver saputo identificare correttamente l’interessato concedendo ad un terzo l’accesso alle informazioni dell’interessato.

  1. Il Titolare risponde negativamente, senza dimostrare la validità del suo rifiuto

Il Titolare risponde negativamente, senza riuscire a dimostrare all’Autorità di Controllo, che le motivazioni dell’inottemperanza erano valide.

Come evitare sanzioni

Primo obbiettivo per evitare le sanzioni è:

  1. Facilitare la vita agli interessati

Per quanto riguarda la gestione delle richieste da parte degli interessati, è necessario garantire un approccio teso alla correttezza, alla buona fede e alla facilità di esercizio dei diritti. È importante, quindi, essere consapevoli del livello medio degli interessati per poter individuare i mezzi più adatti per interagire con loro.

Seguendo le disposizioni delle Autorità di Controllo è utile:

  • individuare misure che, di default, assicurino l’identificazione certa dell’interessato riducendo al minimo la necessità di richiedere documenti di identità. Ad esempio, agevolare la presentazione della richiesta a valle di un log-in a piattaforma o utilizzare canali di identificazione alternativi.

  • fornire una prima risposta immediata all’interessato, che lo rassicuri circa la presa in carico della sua richiesta e lo informi delle tempistiche di riscontro, chiedendo ove possibile sin da subito eventuali necessarie ulteriori delucidazioni per ottemperare alla sua istanza.

    • tenere presente che l’utilizzo di un modulo ad-hoc per l’esercizio dei diritti dovrebbe essere solo alternativo agli altri canali ritenuti più comodi dagli interessati, sempre ovviamente nei limiti della razionalità della scelta.
  1. Accertarsi di intercettare le istanze

Mappare tutti i punti di contatto con gli interessati e eliminare quelli non presidiati.

  1. Accertarsi che le istanze vengano riconosciute e correttamente indirizzate

Accertarsi che le istanze vengano riconosciute e correttamente incardinate, e per fare ciò, assicurarsi che chi gestisce questi punti di contatto sia in grado di:

  • riconoscere una istanza anche se non formulata in modo formale;
  • saperla instradare correttamente sino al soggetto che dovrà offrire riscontro.
  1. Monitoraggio e accountability

Appuntare la data di ricezione di evasione delle singole istanze in un apposito registro

  1. Redigere una procedura ad hoc

Per fare tutto ciò, è necessario che nulla venga lasciato al caso, ma che venga redatta una procedura ad hoc.

Normativa GDPR

Contattaci per richiedere supporto e assistenza professionale sulla gestione della Sicurezza dei Dati, dell'applicazione delle regole del GDPR e la Cybersecurity

Ti coadiuveremo nella gestione dei dati dei cittadini e del Tuo Ente.

Sei alla ricerca di contenuti esclusivi, aggiornamenti regolari e risorse utili?

Non perdere l‘opportunità di ampliare la tua conoscenza nel settore privacy!