In occasione di Data Protection Day 2025 torna al centro dell’attenzione il tema della reale possibilità di accesso e controllo da parte dei titolari del trattamento sui propri dati. Un tema sempre caldo che il Comitato Europeo per la Protezione dei Dati (Edpb) ha voluto indagare a partire dallo scorso anno, attraverso uno studio frutto di un’ampia serie di azioni nazionali coordinate, realizzate nell’ambito del Meccanismo di Cooperazione e di Applicazione (Mce). L’obiettivo dichiarato è quello di verificare il livello di conformità dei titolari del trattamento rispetto al diritto di accesso, nonché di individuare le sfide principali e proporre raccomandazioni pratiche che possano migliorare l’adeguamento al Regolamento Generale sulla Protezione dei Dati (Gdpr).

Nel contesto della relazione, l’Edpb evidenzia come l’esercizio del diritto di accesso da parte degli interessati rappresenti un pilastro fondamentale del Gdpr: esso, infatti, garantisce la trasparenza sul trattamento dei dati personali, consentendo agli individui di sapere se, come e per quali finalità le proprie informazioni siano raccolte e utilizzate. Tuttavia, dalla valutazione emerge che non tutti i titolari del trattamento riescono a gestire correttamente le richieste di accesso, spesso a causa di procedure interne poco strutturate o di un’interpretazione restrittiva delle eccezioni applicabili. Di seguito esaminiamo i punti salienti della relazione, le sfide individuate e le principali raccomandazioni avanzate dall’Edpb, nonché il contesto e le prospettive future.

Zdravko Vukic
Zdravko Vukic, vice president di Edpb

L’anno che si è appena concluso ha segnato l’avvio di una serie di azioni coordinate su scala europea volte a rafforzare la protezione dei dati personali. All’interno di questa cornice, trenta Autorità di Protezione dei Dati (Dpa) nazionali hanno deciso di concentrare i propri sforzi nell’esaminare il modo in cui i titolari del trattamento danno attuazione al diritto di accesso garantito dall’art. 15 del Gdpr. Il cosiddetto Mce (acronimo di Coordinated Enforcement Framework, quindi un quadro di applicazione coordinata) è stato proposto dall’Edpb come uno strumento per migliorare la cooperazione tra le diverse DPA e garantire maggiore coerenza nell’applicazione delle norme.

Così lo sottolinea Zdravko Vukíc, vice president Edpb: “Il valore dell’Mce risiede nella possibilità di affrontare tematiche selezionate in modo coordinato, incrementando l’efficacia delle verifiche e favorendo una lettura uniforme del Gdpr all’interno degli Stati membri”. La prima fase del processo ha previsto l’invio di questionari e l’avvio di ispezioni, verifiche e attività conoscitive rivolte a un campione ampio e diversificato di titolari del trattamento, scelti tra piccole e medie imprese (Pmi), grandi aziende multinazionali ed enti pubblici di varia natura. Nel complesso, sono stati coinvolti 1.185 soggetti che hanno risposto agli stimoli delle autorità, fornendo un quadro variegato sulla consapevolezza e l’implementazione del diritto di accesso.

Dal lavoro di aggregazione e analisi condotto dall’Edpb emerge che permangono criticità e oltre due terzi delle autorità di protezione dei dati partecipanti all’iniziativa giudicano medio o elevato il livello complessivo di conformità delle organizzazioni. Questo indice positivo è attribuibile principalmente a due fattori: il primo riguarda il volume delle richieste gestite – le grandi organizzazioni, che ricevono un numero elevato di richieste di accesso, hanno potuto sviluppare procedure più strutturate e consolidare le competenze interne in materia di protezione dei dati; il secondo le risorse disponibili e la dimensione aziendale – le imprese di maggiori dimensioni e le amministrazioni pubbliche più grandi, spesso meglio finanziate, investono in formazione specialistica e strumenti informatici di gestione delle richieste di accesso, ottenendo un livello di conformità più elevato.

Le richieste di accesso ai dati
Le richieste di accesso ai dati da parte del pubblico alle aziende campione (fonte: Coordinated Enforcement Action Implementation of the right of access by controllers 2024, Edpb, gennaio 2025) 

Parallelamente, si nota che molte organizzazioni di dimensioni minori, o che gestiscono poche richieste di accesso, incontrano difficoltà pratiche e operative nell’applicazione omogenea del Gdpr. In tali realtà, si osservano con maggiore frequenza carenze nella documentazione delle procedure interne, un’eccessiva rigidità nell’interpretare le eccezioni o la mancanza di una guida chiara per rispondere a richieste complesse o peculiari.

Sette sfide per l’attuazione del diritto di recesso

Il rapporto Edpb elenca in modo chiaro sette sfide che impediscono a molti titolari del trattamento di raggiungere una piena conformità al Gdpr per quanto riguarda il diritto di accesso. Tali sfide, sebbene possano variare a seconda del contesto nazionale e delle specificità organizzative, rappresentano uno schema ricorrente che può essere ricondotto a un limitato numero di problematiche comuni, le sintetizziamo.
La prima riguarda la mancanza di procedure interne documentate (1) per cui
molti titolari del trattamento non dispongono di istruzioni e protocolli scritti per la gestione delle richieste di accesso. Questo deficit organizzativo porta a risposte tardive o incomplete, soprattutto quando il personale incaricato non possiede una formazione specifica o quando la richiesta è più complessa del previsto. Vi sono inoltre interpretazioni incoerenti ed eccessive delle limitazioni al diritto di accesso (2), per cui talvolta i titolari applicano in modo arbitrario o troppo restrittivo le eccezioni al diritto di accesso (per esempio, sostenendo che la richiesta sia “manifestamente infondata” o “eccessiva”). Secondo la relazione dell’Edpb, ciò può tradursi in un diniego di accesso privo di solide basi giuridiche o di una riduzione ingiustificata delle informazioni fornite all’interessato. In altri casi le persone che desiderano esercitare il diritto di accesso si vedono di fronte a moduli complicati (requisiti formali gravosi, 3), richieste di dati personali ulteriori (a volte eccessivi) o procedure farraginose che rendono più difficile l’invio o la gestione della richiesta.

Ancora, si fa eccessivo ricorso a documenti di identificazione (4), per cui una parte dei titolari esige dai richiedenti di fornire troppi documenti a comprova della propria identità, superando la soglia di quanto necessario e proporzionato. Tale pratica rischia di ledere il principio di minimizzazione dei dati e di scoraggiare l’esercizio del diritto da parte degli interessati. Non tutti i titolari del trattamento conoscono o applicano le indicazioni dettagliate fornite nelle linee guida 01/2022 (5) sui diritti degli interessati. Tali indicazioni, se attuate correttamente, semplificherebbero la gestione delle richieste e garantirebbero un approccio più uniforme in tutta l’UE.
Particolarmente significativi gli ultimi due rilievi dello studio: nell’ambito delle organizzazioni, spesso manca un adeguato programma di formazione che istruisca i dipendenti sulle corrette procedure da seguire e sulle tempistiche per rispondere alle richieste di accesso (formazione del personale insufficiente, 6), e si riscontrano difficoltà particolari nel rispondere alle richieste transfrontaliere. In un mercato europeo sempre più integrato, le richieste di accesso possono provenire da Paesi diversi rispetto a quello in cui è stabilito il titolare. Alcune aziende, specialmente le Pmi, incontrano difficoltà nella gestione di procedure che coinvolgano più giurisdizioni e multiple lingue (7)

Le raccomandazioni dell’Edpb

Per far fronte a queste criticità, l’Edpb formula una serie di raccomandazioni non vincolanti, ma consigliate. Tali suggerimenti, rivolti sia ai titolari del trattamento sia alle Dpa, mirano a chiarire dubbi interpretativi, aumentare la consapevolezza e favorire un’applicazione efficace e coerente del Gdpr. La più semplice da attuare è probabilmente la reale applicazione delle linee guida 01/2022, per cui le autorità di protezione dei dati sono invitate a promuovere ulteriormente questi documenti, in modo che siano facilmente accessibili e comprensibili da parte delle imprese e degli enti pubblici. L’Edpb raccomanda di adottare protocolli e manuali operativi chiari, aggiornati e condivisi all’interno delle organizzazioni, così da evitare risposte arbitrarie o ritardi ingiustificati ed invita ad investire in programmi di aggiornamento periodici, rivolti a tutto il personale che gestisce dati personali e richieste di accesso, per garantire competenza e tempestività. Si richiama inoltre la tutela proporzionata di sicurezza e privacy riguardo le verifiche di identità ma soprattutto l’introduzione di moduli online semplificati o di sistemi di self-service, dove possibile, può agevolare l’invio e la gestione delle richieste di accesso, aumentando la soddisfazione degli utenti e l’efficienza interna.

Esempi di buone pratiche

Non mancano comunque esempi di casi virtuosi. Vi sono infatti titolari del trattamento, soprattutto nel settore privato e in aziende di grandi dimensioni che implementano soluzioni innovative come le piattaforme self-service come sistemi che permettono agli interessati di creare un account personale e di accedere a tutti i dati che l’organizzazione detiene su di loro, con la possibilità di scaricarli direttamente. Vi sono però anche diverse PA che hanno messo a disposizione portali online dedicati (sportelli digitali), dove l’utente può presentare richieste di accesso e seguire lo stato di avanzamento in tempo reale, senza dover attendere risposte frammentarie o inviare reiterati solleciti ed infine realtà che hanno adottato software dedicati che automatizzano i passaggi principali del processo di verifica e risoluzione delle richieste di accesso, riducendo gli errori e le tempistiche.

Strategie e azioni future

Così come l’Mce rappresenta un pilastro importante della strategia dell’Edpb per il periodo 2024-2027, allo stesso modo ne favorisce la realizzazione incentrata sulla promozione di un’applicazione effettiva del Gdpr tramite la cooperazione e la condivisione di conoscenze tra le autorità nazionali. Sebbene il tema principale del 2024 sia stato il diritto di accesso, questa non è la prima volta che l’Edpb utilizza l’Mce come strumento per un’azione coordinata. Nel 2023 infatti è stata pubblicata una relazione sulle modalità di utilizzo dei servizi basati sul cloud da parte del settore pubblico, evidenziando benefici e rischi legati alla migrazione di dati sensibili su infrastrutture di fornitori terzi e nel 2024 prima di focalizzare l’attenzione sul diritto di accesso, l’Edpb ha diffuso una relazione sull’esito della seconda azione coordinata, dedicata alla corretta designazione e al ruolo dei responsabili della protezione dei dati (Dpo). Ora per il  2025, è annunciata proprio un’azione focalizzata sull’attuazione del diritto alla cancellazione, un altro tema cruciale che, insieme al diritto di accesso, costituisce un pilastro fondamentale per garantire il controllo effettivo degli utenti sui propri dati personali. Ora la sfida è duplice: da un lato, implementare le raccomandazioni indicate nella relazione del 2024 per migliorare l’attuazione del diritto di accesso; dall’altro, mantenere alta l’attenzione e lo slancio cooperativo che ha caratterizzato l’Mce, consolidando la collaborazione tra le varie autorità e favorendo un continuo dialogo con le realtà aziendali e istituzionali europee. 

Questo rappresenta il presupposto essenziale per garantire che i diritti dei cittadini siano effettivamente protetti e che la cultura della privacy continui a evolversi in linea con i principi del Gdpr.

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE