I mercoledì della privacy: la richiesta di accesso agli atti prevista dal Gdpr, tempi e modi di risposta

Secondo il Gdpr l'interessato ha la possibilità di esercitare una serie di diritti nei confronti del titolare del trattamento dei dati. Tra questi, quello che sicuramente impegna maggiormente l'amministratore di condominio, è il diritto di accesso previsto dall'articolo 15. Laddove l'interessato decida di avviare l'azione di accesso agli atti verso l'amministratore, questo deve fornire la risposta, come detta il Codice privacy, entro un mese (termine che può essere esteso sino a tre mesi in casi di particolare complessità) e deve farlo, anche in caso di diniego all'accesso, in modo conciso e trasparente, utilizzando un linguaggio semplice e chiaro.

A chi rivolgersi in condominio
La richiesta, in ambito condominiale, potrà rivolgersi al condominio titolare del trattamento, oppure all'amministratore quale responsabile in relazione al condominio in questione o, infine, all'amministratore quale titolare per la gestione delle informazioni in relazione ad ogni trattamento effettuato nelle attività extra mandato.

Il termine di 30 giorni indicato nella norma è sicuramente sufficiente laddove l'amministratore (e il condominio) sia già conforme alla normativa al momento della ricezione della richiesta, avendo già implementato quei processi e quelle procedure tecnico/organizzative che richiede l'accountability. Il termine in questione, però, diventa stringente quando lo studio di amministrazione si fa cogliere impreparato a gestire la richiesta.

Cosa deve fare l’amministratore
L'attività di adeguamento la possiamo definire, infatti, un percorso che, come tale, necessita di tempi per la sua applicazione e di un indispensabile aiuto consulenziale da soggetti che abbiano la conoscenza specialistica della materia (consulenti privacy o figure similari). In più, l'estensione del termine a tre mesi, che pure va comunicata al richiedente, non può rappresentare una scappatoia, posto che deve essere opportunamente motivata; né può considerarsi una “particolare complessità” la negligenza rispetto agli obblighi di adeguamento.

Le pesanti sanzioni previste
Una mancata risposta nei termini può costare all'amministratore molto cara, posto che gli ostacoli frapposti all'esercizio dei diritti degli interessati, sono oggetto delle sanzioni più gravi comminate dal Gdpr, indicate nella norma nel loro tetto massimo, che arriva sino a 20 milioni di euro o al 4% del fatturato globale annuo dell'esercizio precedente, se superiore. Assume dunque particolare importanza per l'amministratore agire conformemente all'articolo 24 Gdpr, che impone l'adozione di misure tecniche ed organizzative adeguate ad assicurare l'osservanza del regolamento, nonché di dotarsi di procedure predeterminate tali da fornire compiuto e tempestivo riscontro alle richieste di esercizio dei diritti da parte degli interessati e far sì che quanto declamato nell'informativa non rimanga una semplice dichiarazione di principio.

L’esperto sulle questioni privacy
Lo studio di amministrazione dovrà, quindi, predisporre un'organizzazione che sia in grado di fornire le risposte alle domande richieste nei termini di legge e dovrà farlo innanzitutto inserendo nel suo organigramma di studio un soggetto che sarà il referente interno sulle questioni privacy, che dovrà prendere in carico le istanze degli interessati e procedere alla loro gestione. Il personale coinvolto nella gestione delle richieste di accesso dovrà essere adeguatamente formato dal titolare di studio in relazione alla materia del trattamento dei dati personali.

Si dovrà protocollare ciascuna richiesta, nonché ogni comunicazione da e verso gli interessati tenendo aggiornato il Registro delle richieste degli interessati, anche al fine di disciplinare eventuali richieste reiterate, considerando tali quelle pervenute allo studio in un periodo di tempo inferiore a 15 giorni e aventi un oggetto sostanzialmente identico.

Le richieste infondate
La norma, infine, specifica che la richiesta di accesso agli atti è gratuita, ma laddove le richieste dell'interessato risultassero manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può: - addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni/comunicazioni o intraprendere l'azione richiesta; - o rifiutare di soddisfare la richiesta laddove lo studio di amministrazione dimostri il carattere manifestamente infondato o eccessivo della stessa, informandone comunque l'interessato senza ritardo, (sempre entro il mese dall'istanza), motivando il diniego ed informando il richiedente della possibilità di proporre, avverso il rifiuto, reclamo a un'autorità di controllo o ricorso giurisdizionale.

La modulistica predisposta dal Garante
Il diritto di accesso è particolarmente valorizzato dal medesimo Garante nazionale che ha anche predisposto sul proprio sito un modello specifico per favorirla e renderla praticabile ai soggetti che ne avessero bisogno. Per fornire le risposte in maniera chiara e sintetica, così come impone la normativa, lo studio dell'amministratore deve prendere spunto per la risposta andando a verificare le procedure interne ed i trattamenti svolti come indicati nel Registro dei trattamenti.

Questo infatti, sarà la cartina di tornasole che deve rappresentare in maniera semplice e chiara “chi fa cosa, come e perché”, in relazione ai trattamenti dei dati personali dei soggetti interessati. Per l'amministratore poter disporre di una informativa conforme e di una procedura per la gestione dei consensi, nonché di un corretto ed aggiornato registro dei trattamenti che tenga fede del percorso del dato dal momento della raccolta a quello della cancellazione e/o distruzione, significa poter dormire sonni più tranquilli perché, quanto meno, da un punto di vista privacy, vuol dire essere “accountability” verso la norma.

Per concludere, si ricorda che qualora le attività di trattamento coinvolte dalla richiesta siano svolte anche (o soltanto) da un Responsabile esterno (fornitore), quest'ultimo, secondo l'articolo 30 del regolamento, dovrà fornire al titolare supporto ed assistenza con misure tecniche e organizzative adeguate.