Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato una relazione sull’attuazione del diritto di accesso da parte dei responsabili del trattamento.
La relazione riassume i risultati di una serie di azioni nazionali coordinate, condotte nel 2024 nell’ambito del Quadro di applicazione coordinata (CEF) ed elenca i problemi riscontrati da alcuni responsabili del trattamento, insieme a una serie di raccomandazioni per aiutarli ad attuare il diritto di accesso.
Un elemento centrale è la conoscenza da parte dei responsabili del trattamento delle Linee guida EDPB 01/2022 sui diritti degli interessati ed in particolare del diritto di accesso, e se tali linee guida sono state seguite nella pratica: le linee guida aiutano infatti i responsabili del trattamento ad attuare il diritto di accesso, spiegano come l’esercizio di tale diritto possa essere reso più semplice ed elencano le eccezioni e le limitazioni del diritto di accesso.
I risultati suggeriscono che è necessaria una maggiore sensibilizzazione sulle Linee guida 01/2022, sia a livello nazionale, che di UE; come risultato dell’azione CEF 2024, sono state identificate alcune sfide, tra cui:
- la mancanza di procedure interne documentate per gestire le richieste di accesso
- interpretazioni incoerenti ed eccessive dei limiti del diritto di accesso, come l’eccessivo affidamento su alcune eccezioni per rifiutare automaticamente le richieste di accesso
- ostacoli che le persone possono incontrare quando esercitano il loro diritto di accesso, come i requisiti formali o la richiesta di fornire documenti di identificazione eccessivi.
Per ogni sfida individuata, il rapporto fornisce un elenco di raccomandazioni non vincolanti che i responsabili del trattamento e le DPA devono tenere in considerazione.
Nonostante le sfide esistenti, due terzi delle autorità di protezione dei dati partecipanti hanno valutato il livello di conformità dei responsabili del trattamento rispondenti rispetto al diritto di accesso da “medio” a “alto”.
Un fattore importante individuato come influente sul livello di conformità è stato il volume delle richieste di accesso ricevute dai responsabili del trattamento, nonché le dimensioni dell’organizzazione.
In particolare, i responsabili del trattamento di grandi dimensioni o quelli che ricevono un maggior numero di richieste hanno maggiori probabilità di raggiungere un livello di conformità più elevato rispetto alle piccole organizzazioni con minori risorse.
Sono stati osservati risultati positivi in tutta Europa: tra questi, l’attuazione delle migliori pratiche da parte dei responsabili del trattamento, come moduli online di facile utilizzo che consentono alle persone di presentare facilmente una richiesta di accesso, nonché sistemi self-service che permettono alle persone di scaricare autonomamente i propri dati personali con pochi clic e in qualsiasi momento.
L’Autorità ricorda che il CEF è un’azione chiave dell’EDPB nell’ambito della sua strategia 2024-2027, volta a semplificare l’applicazione e la cooperazione tra le autorità di protezione dei dati: i risultati di queste azioni nazionali sono aggregati e analizzati insieme per generare una visione più approfondita dell’argomento e consentire un follow-up mirato a livello nazionale e dell’UE.
L’azione CEF 2025 riguarderà l’attuazione del diritto alla cancellazione.