Il diritto di accesso risponde al principio di trasparenza previsto dal GDPR e richiede un impegno notevole da parte di ogni titolare.
Infatti, stando al Regolamento, qualsiasi persona fisica può chiedere a qualsiasi titolare la conferma dell’esistenza del trattamento dei propri dati personali. Tale richiesta è, naturalmente, propedeutica al diritto di accesso e richiede che ogni titolare sia in grado di verificare puntualmente l’eventuale trattamento e sia in grado di esitare la richiesta. Pertanto, i titolari dovranno dotarsi di un sistema di ricerca piuttosto efficiente e completo (che estenda la ricerca a tutti i dati trattati dall’organizzazione) affinché possa fornire rapidamente risposta alle richieste, dopo aver verificato l’effettiva identità dell’interessato. L’eventuale risposta affermativa del titolare deve avere gli stessi contenuti previsti dall’informativa da fornire allorquando i dati personali non sono raccolti presso lo stesso interessato e che di seguito si riepilogano
Dati del DPO (se è obbligatorio nominarlo) e modalità per contattarlo
Categorie di dati personali in questione
Fonte da cui hanno origine i dati
Finalità del trattamento
Ragioni giuridiche sulle quali si basa il trattamento
Eventuali destinatari dei dati personali
Eventuale intenzione di trasferire i dati in paesi extra UE e basi giuridiche per poterli trasferire
Periodo di conservazione dei dati
Diritti dell’interessato
Diritto al reclamo al Garante per la Protezione dei Dati Personali
Conseguenze per l’interessato connessa alla mancata fornitura dei dati personali (qualora la ragione giuridica sia un contratto o una norma)
Esistenza di un processo decisionale automatizzato
Qualora l’interessato richieda l’effettivo accesso ai dati trattati, il titolare dovrà fornirgliene copia nel formato più gradito allo stesso interessato (per esempio, in formato elettronico). La prima copia è fornita senza costi per l’interessato; per le ulteriori copie il titolare potrà richiedere all’interessato un contributo spese proporzionato ai costi amministrativi sostenuti.
Il GDPR prevede che il titolare corrisponda senza ingiustificato ritardo alle richieste di accesso da parte dell’interessato e, comunque, entro un mese; tuttavia, tale termine può essere prorogato di ulteriori due mesi in casi di particolare complessità.
Le violazioni del diritto di accesso sono tra quelle che prevedono le sanzioni più severe (fino a 20.000.000 di euro).