
Bruxelles, 20 gennaio - Il comitato europeo per la protezione dei dati (EDPB) ha adottato una relazione sull'attuazione del diritto di accesso da parte dei titolari del trattamento. La relazione riassume i risultati di una serie di azioni nazionali coordinate svolte nel 2024 nell'ambito del quadro coordinato di applicazione delle norme (MCE). Elenca i problemi osservati per alcuni controllori, insieme a una serie di raccomandazioni per aiutarli a implementare il diritto di accesso. Un elemento centrale è la consapevolezza dei titolari del trattamento in merito alle linee guida 01/2022 dell'EDPB sui diritti degli interessati – Diritto di accesso e se tali orientamenti sono stati seguiti nella pratica.
Zdravko Vukíc, vicepresidente dell'EDPB, ha dichiarato: "L'MCE è un'iniziativa preziosa che contribuisce a rafforzare la cooperazione tra le autorità di protezione dei dati: affrontando argomenti selezionati in modo coordinato, raggiungono una maggiore efficienza e coerenza. Il modo in cui i titolari del trattamento attuano il diritto di accesso è al centro della protezione dei dati ed è uno dei diritti degli interessati più frequentemente esercitati."
Nel corso del 2024 30 autorità di protezione dei dati in tutta Europa hanno avviato indagini coordinate sulla conformità dei titolari del trattamento al diritto di accesso, avviando indagini formali, valutando se un'indagine formale fosse giustificata e/o svolgendo attività di accertamento dei fatti. Un totale di 1 185 controllori, costituiti da piccole e medie imprese (PMI) e grandi imprese attive in diversi settori e settori, nonché vari tipi di enti pubblici, hanno risposto all'azione.
Aree di miglioramento e principali sfide
I risultati suggeriscono che è necessaria una maggiore sensibilizzazione in merito agli orientamenti 01/2022, sia a livello nazionale che dell'UE, in quanto gli orientamenti aiutano i titolari del trattamento ad attuare il diritto di accesso, spiegano in che modo l'esercizio di tale diritto può essere agevolato ed elencano le eccezioni e le limitazioni del diritto di accesso.
A seguito dell'azione dell'MCE del 2024, sono state individuate sette sfide. Uno di questi è la mancanza di procedure interne documentate per gestire le richieste di accesso. Sono state inoltre osservate interpretazioni incoerenti ed eccessive dei limiti al diritto di accesso, come l'eccessivo ricorso a determinate eccezioni per rifiutare automaticamente le richieste di accesso. Un altro esempio sono gli ostacoli che le persone potrebbero incontrare nell'esercizio del loro diritto di accesso, come i requisiti formali o la richiesta di fornire documenti di identificazione eccessivi. Per ciascuna sfida individuata, la relazione fornisce un elenco di raccomandazioni non vincolanti di cui i titolari del trattamento e le autorità di protezione dei dati devono tenere conto.
Risultati positivi
Nonostante le sfide esistenti, due terzi delle autorità di protezione dei dati partecipanti hanno valutato il livello di conformità dei titolari del trattamento che hanno risposto per quanto riguarda il diritto di accesso da "medio" a "elevato". Un fattore importante identificato come avente un impatto sul livello di conformità è stato il volume delle richieste di accesso ricevute dai controllori, nonché le dimensioni dell'organizzazione. Più specificamente, i controllori di grandi dimensioni o i controllori che ricevono più richieste hanno maggiori probabilità di raggiungere un livello più elevato di conformità rispetto alle piccole organizzazioni con meno risorse.
Risultati positivi sono stati osservati in tutta Europa. Questi includono l'attuazione delle migliori pratiche da parte dei titolari del trattamento, come moduli online di facile utilizzo che consentono alle persone di presentare facilmente una richiesta di accesso e sistemi self-service per consentire alle persone di scaricare autonomamente i propri dati personali in pochi clic e in qualsiasi momento.
Contesto e prossime tappe
L'MCE è un'azione chiave dell'EDPB nell'ambito della sua strategia 2024-2027, volta a razionalizzare l'applicazione e la cooperazione tra le autorità di protezione dei dati.
Negli ultimi tre anni sono state realizzate due precedenti azioni dell'MCE.
I risultati di queste azioni nazionali sono aggregati e analizzati insieme per fornire informazioni più approfondite sull'argomento e consentire un follow-up mirato a livello sia nazionale che dell'UE.
Nel 2023 l'EDPB ha pubblicato la relazione sulla sua prima azione coordinata sull'uso dei servizi basati sul cloud da parte del settore pubblico.
Nel 2024 l'EDPB ha pubblicato anche la relazione sull'esito della seconda azione coordinata sulla designazione e la posizione dei responsabili della protezione dei dati.
L'azione dell'MCE 2025 riguarderà l'attuazione del diritto alla cancellazione.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.