Non è legittimo subordinare la risposta all’esercizio di un diritto da parte di un interessato all’utilizzo di uno specifico modulo per la richiesta. Il Garante lo ha sottolineato nel provvedimento 225 del 16 giugno 2022 nel quale ha esaminato un reclamo nei confronti di Unicredit S.p.A. da parte di un ex dipendente. Uno degli elementi di attenzione è stato proprio il fatto che l’Istituto avesse posto in essere procedure diverse per l’ammissibilità dell’esercizio dei diritti a seconda della tipologia di interessato. In particolare, per i dipendenti e gli ex dipendenti richiedeva l’utilizzo di un modulo specifico per poter dare corso alla richiesta, cosa ritenuta non corretta dall’autorità di controllo che ha precisato come “non è conforme alla disciplina vigente […] condizionare, al previo invio del […] modulo compilato, l’avvio della procedura preordinata a dare corso all’esercizio del diritto“.
In pratica, un titolare del trattamento che riceve la richiesta di esercizio di un diritto da parte di un interessato non può rispondere “compila questo modulo” e condizionare la successiva risposta alla ricezione del modulo compilato. La forma con cui l’interessato può esercitare un diritto è libera, fermo restando che il titolare, se necessario, può chiedere ulteriori chiarimenti all’interessato là dove la richiesta non fosse ben specificata.
Il reclamo era relativo alla risposta fornita in seguito all’esercizio del diritto di accesso (art. 15 del GDPR), una situazione che per alcuni titolari può essere molto complessa da gestire. Proprio per questo, il GDPR prevede che il titolare possa prorogare il termine di risposta di un mese previsto dall’art. 12 del GDPR, motivando la cosa all’interessato (nel qual caso l’interessato deve essere informato della proroga entro un mese dalla sua richiesta).
In merito al diritto di accesso, l’EDPB ha adottato le Linee Guida sull’esercizio del diritto di accesso il 18 gennaio 2022, documento molto utile per valutare le misure tecniche e organizzative che un’organizzazione mette in atto per la gestione dei diritti degli interessati. Il punto 52 delle Linee Guida specifica proprio come il GDPR non ponga nessuna richiesta alla forma (compreso il canale di comunicazione) con cui gli interessati possono fare richiesta di esercizio del diritto di accesso.
(fonte: Garante per la protezione dei dati personali)