Le tempistiche per rispondere alle richieste dell’interessato nel GDPR si applicano ancora quando un’organizzazione è temporaneamente chiusa o la capacità di gestire le richieste è ridotta a causa di COVID-19?
La Commissione per la protezione dei dati riconosce l’impatto significativo della crisi sanitaria di Covid-19 che può influire sulla capacità delle organizzazioni di rispondere alle richieste del GDPR da parte di individui, come le richieste di accesso.
Mentre le tempistiche per rispondere alle richieste degli individui sono stabilite dalla legge nel GDPR e non possono essere modificate, riconosciamo che inevitabili ritardi possono derivare come conseguenza diretta dell’impatto di COVID-19.
Per gli individui
I membri del pubblico dovrebbero comprendere che le organizzazioni di prima linea e di servizi critici come gli operatori sanitari, i dipartimenti governativi, in particolare il Dipartimento per l’occupazione e la protezione sociale, le entrate e le autorità locali potrebbero dover deviare le risorse verso aree di lavoro prioritarie con conseguenze consequenziali su altre aree come la gestione delle richieste di accesso.
Organi educativi come scuole e università e organizzazioni del settore privato potrebbero essere chiusi o avere una capacità ridotta in modo tale che la risposta alle richieste possa essere ritardata in modo significativo.
Ti chiediamo di tenerlo presente nel caso in cui si verificassero ritardi così comprensibili quando si tratta di queste organizzazioni o si considera di presentare un reclamo al DPC.
Ti ricordiamo inoltre di essere il più specifico possibile in relazione ai dati personali a cui desideri accedere.
Per le organizzazioni
Apprezziamo il fatto che molte organizzazioni, in particolare organizzazioni di prima linea e di servizi critici come l’assistenza sanitaria e i servizi sociali, potrebbero aver bisogno di dirottare le risorse verso aree di lavoro prioritarie con conseguenze conseguenti su altre aree come la gestione delle richieste di accesso.
Siamo molto vivi delle sfide senza precedenti che devono affrontare le organizzazioni e della necessità di un approccio regolamentare proporzionato in risposta a queste circostanze straordinarie.
Qualsiasi organizzazione in difficoltà nel rispondere alle richieste dovrebbe, ove possibile, comunicare con le persone interessate in merito alla gestione della loro richiesta, compresa l’eventuale proroga del periodo di risposta e le ragioni del ritardo nel rispondere.
Il GDPR prevede un’estensione di due mesi per rispondere a una richiesta, ove necessario, tenendo conto della complessità e del numero di richieste.
Le organizzazioni che incontrano difficoltà nell’attuare le richieste dovrebbero anche valutare se è possibile rispondere alle richieste per fasi. Ad esempio, un’organizzazione il cui personale lavora in remoto potrebbe avere difficoltà ad accedere ai documenti cartacei. In questo caso, potrebbe essere possibile fornire al richiedente documenti elettronici, con copie cartacee fornite in una fase successiva.
Ancora una volta, le organizzazioni dovrebbero comunicare chiaramente con le persone interessate. Le organizzazioni potrebbero anche voler interagire con le persone al fine di garantire che la richiesta sia il più specifica possibile in relazione ai dati personali richiesti.
Laddove un’organizzazione, a causa dell’impatto di COVID-19, non possa rispondere a una richiesta in tutto o in parte entro i termini previsti dalla legge, rimane obbligata a farlo e dovrebbe garantire che la richiesta venga eseguita il prima possibile.
Ai fini della responsabilità e della trasparenza, le ragioni del mancato rispetto delle scadenze dovrebbero essere documentate dall’organizzazione e chiaramente comunicate alle persone interessate.
Sebbene gli obblighi di legge non possano essere esentati, in caso di reclamo al DPC, i fatti di ciascun caso, comprese le circostanze attenuanti specifiche dell’organizzazione, saranno presi pienamente in considerazione.
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’IRLANDA