La gestione del diritto di accesso come cartina di tornasole

La vicenda ha evidenziato come una procedura apparentemente strutturata possa rivelarsi inefficace nella pratica. Dopo una risposta iniziale parziale, l’organizzazione ha chiesto ulteriori dettagli per “individuare puntualmente le informazioni da rendere”, ma il riscontro completo è giunto solo a seguito del procedimento istruttorio avviato dal Garante. Il ritardo è costato caro: violazione degli articoli 12, par. 3 e 15 del GDPR, relativi alla tempestività e alla completezza della risposta al diritto di accesso.

Il titolare ha adottato, nel frattempo, misure correttive per rafforzare la procedura interna, ma tali interventi – seppur apprezzabili – non sono stati considerati esimenti: sono stati introdotti a posteriori e quindi non rilevanti ai fini dell’idoneità ex ante delle misure di protezione.

La regola della tempestività: il limite del “mese” è la norma, non l’eccezione

Il provvedimento richiama espressamente le Linee guida 1/2022 dell’EDPB sui diritti dell’interessato, chiarendo che il termine di un mese per la risposta deve essere rispettato nella generalità dei casi. La proroga fino a due mesi aggiuntivi è ammessa solo in presenza di circostanze specifiche, oggettive e dimostrabili, come un elevato numero di richieste complesse.

Ricorrere sistematicamente alla proroga o invocarne genericamente la possibilità, senza giustificazione concreta, rappresenta un abuso. Ma, ancora di più, è un sintomo: segnala l’inadeguatezza della procedura interna e la necessità di aggiornare il modello organizzativo per garantire la conformità anche in condizioni di stress.

Il rischio organizzativo e il principio della prevenzione

Le giustificazioni addotte dall’organizzazione – “errore umano”, carichi di lavoro elevati, cambiamenti organizzativi – non hanno retto al vaglio del Garante. In base al principio di accountability, l’organizzazione ha il dovere di prevedere scenari di crisi (come riorganizzazioni o picchi di richieste) nell’ambito della propria analisi del rischio, predisponendo ex ante misure di mitigazione efficaci.

È chiaro: il sovraccarico di lavoro non può essere una scusante, ma un fattore da includere nella progettazione delle misure, eventualmente aggiornando il sistema alla luce del mutato contesto operativo.

Verso una responsabilità proattiva e misurabile

L’elemento chiave del provvedimento è l’invito – implicito ma netto – a non considerare le procedure come cristallizzate. Al contrario, l’organizzazione deve svolgere un’attività ciclica di controllo e riesame, scegliendo strumenti idonei al proprio contesto: dagli audit calendarizzati agli stress test interni, fino alla definizione di KPI specifici per misurare la tempestività e la qualità delle risposte agli interessati.

La responsabilità dell’organizzazione non è solo nell’adempimento, ma nella capacità di dimostrarne l’efficacia nel tempo. È questa la vera accountability: agire con autonomia, ma anche rispondere con coerenza e tracciabilità.