A causa del mancato avviso all’interessato entro i 30 giorni della necessità di proroga altri 60 giorni per riscontrare la richiesta sui diritti privacy, un avvocato è stato ammonito dal Garante Privacy Provvedimento del 27 gennaio 2022 .
Il caso. Un avvocato, il 25 marzo 2021, riceve una richiesta di esercizio dei diritti privacy da parte di un cittadino italiano che invia la missiva dall'estero senza allegare il documento di identità. In mancanza di qualsivoglia riscontro, in data 5 maggio 2021 l'interessato scriveva al Garante Privacy che con nota 11 giugno 2021 chiedeva all'avvocato se intendesse esercitare la facoltà di adesione spontanea alla richiesta del reclamante. Tuttavia, come documentato nello stesso 11 giugno 2021 dall'interessato, l'avvocato aveva già risposto spontaneamente il 20 maggio 2021 sebbene chiaramente in ritardo. Il Garante registra la violazione dell' articolo 12 comma 3 GDPR ai sensi del quale il titolare del trattamento deve fornire all'interessato le informazioni relative all'azione intrapresa riguardo alla richiesta senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi in caso di difficoltà ma è obbligatorio avvisare comunque l'interessato entro i 30 giorni. Con nota del 29 luglio 2021 l'Authority comunica all'avvocato l'inizio del procedimento sanzionatorio. Il 21 agosto 2021 giunge memoria difensiva di questo titolare del trattamento. Qui si spiega che la richiesta dell'interessato era sfornita di documento di identità obbligando così l'avvocato a fare tutte le verifiche necessarie per capire se quanto riportato attenesse a una delle pratiche curate. Ipoteticamente poteva trattarsi di un procedimento penale in fase di dibattimento in cui il legale era costituito come parte civile per una ex dipendente - ormai deceduta - di una certa società. Così l'avvocato ha vagliato sia il fascicolo presso il tribunale sia quello del proprio studio alla ricerca delle informazioni personali che l'interessato riteneva potessero essere trattate e in particolare “documenti che avrebbero riguardato le « sue condizioni si salute » ” però nontrova alcun dato. L'avvocato pertanto si giustifica asserendo che tutte queste ricerche hanno assorbito molto tempo e che “ l'imprevisto superamento della scadenza ha comportato quindi che non rivolgessi istanza di proroga, concentrandomi comunque nel rispondere, come ritengo di aver fatto, nel più breve tempo possibile. ” Il Garante non ritiene plausibile la motivazione e osserva che “tale argomentazione non risulta idonea a giustificare la condotta del titolare che, avendo deciso di concentrarsi nel rispondere “ nel più breve tempo possibile”- ma ben oltre i termini di legge - ha unilateralmente prorogato il termine di legge omettendo di adempiere all ' obbligo di informativa del ritardo prescritto dalla disposizione eurounitaria, il cui adempimento era del resto di facile esecuzione, consistendo nella mera comunicazione all ' interessato, senza particolari oneri o formalità, dei motivi del ritardo ”. Ecco dunque integrata la violazione dell' articolo 12, par. 3, GDPR . Constatata l'attenuante della mancanza di precedenti, il Garante decide di applicare la sanzione più lieve dell'ammonimento. Rimedio per attenuare il rischio di sanzioni la procedura di gestione delle richieste privacy. Uno studio legale, come qualsiasi altra struttura, lavora sempre sotto lo stress di mille incombenti. Non è facile riuscire ad essere sempre presenti su tutto e purtroppo, a volte, proprio per queste ragioni possono verificarsi delle criticità. Ormai quasi tutti i titolari di trattamenti hanno disposto la privacy policy interna ed esterna. Tuttavia, l'adeguamento GDPR è un percorso dinamico-evolutivo nessuno è mai a posto per sempre. Occorre revisionare e riaccomodare continuamente individuando le criticità che richiedono soluzioni strutturate. Nell'ambito del riscontro alle istanze privacy ex articolo 15-22 GDPR il “rimedio strutturato” è costituito dalla “procedura di gestione delle richieste privacy”. Chissà? Se il nostro avvocato avesse adottato tale procedura probabilmente non avrebbe sforato il termine dei 30 giorni. Le strutture più grandi tra gli studi legali hanno già adottato tale procedura. Tuttavia, è verosimile che il singolo avvocato o la piccola struttura non abbiano ancora provveduto integralmente. Ecco dunque che per questi ultimi, al fine di rendere un servizio utile ai lettori ma con nessuna pretesa di esaustività, si è redatto una procedura-base per gestire le richieste privacy. Questa si compone di due modelli e un registro il modello che l'interessato deve adottare per l'istanza reso disponibile sul sito web dello studio o sul profilo social o in ogni altro spazio digitale e/o materico il modello interno alla struttura per rispondere il registro per tenere traccia delle istanze e delle risposte. Una volta ricevuta dalla struttura l'istanza privacy a mezzo racc., mail o PEC , occorre che venga subito annotata nel registro indicando la data di ricezione, l'esistenza o meno dell'allegazione di un valido documento di identità, la scadenza dei 30 giorni. Entro una settimana la compilazione del registro dev'essere definita specificando se vi siano o meno difficoltà nella ricerca dei dati. Ove si presenti l'ipotesi di difficoltà provvedere immediatamente e comunque entro i 30 giorni a spedire all'interessato l'avviso di avvalimento della proroga di ulteriori 60 giorni fornendo motivazioni. Infine, specificare nel registro la data della risposta e ovviamente conservare il tutto in un dedicato fascicolo elettronico e/o cartaceo necessario anche per eventuali riesami del Garante Privacy.
Provvedimento 27 gennaio 2022 Registro istanze privacy Modello esercizio diritti interessato