Un'azienda ha rifiutato o ignorato la mia DSAR: e adesso?

Prima, controlla cosa è davvero successo

Una risposta che sembra un rifiuto non sempre lo è. Ai sensi del GDPR (art. 15), un'organizzazione ha di norma un mese dalla data in cui riceve la tua richiesta e conferma la tua identità. Se quel mese non è ancora trascorso, l'organizzazione potrebbe semplicemente essere ancora nei termini. Per una richiesta complessa può prorogare il termine fino a ulteriori due mesi, ma deve informarti della proroga entro il primo mese.

Quindi il primo passo è leggere con calma ciò che ti è stato inviato. L'organizzazione ti ha chiesto di confermare la tua identità prima di iniziare? Ha spiegato che parte dei tuoi dati viene trattenuta in base a una limitata eccezione, ad esempio informazioni che rivelerebbero dati personali di un'altra persona? Conoscere la motivazione effettiva ti dice quale prossimo passo è adatto: una verifica di identità mancante è molto diversa da un rifiuto netto.

• Controlla la data in cui hai inviato la richiesta e se è trascorso un mese.
• Verifica se c'è un passaggio di verifica dell'identità in attesa da parte dell'organizzazione.
• Annota qualsiasi motivazione o eccezione fornita per trattenere parte dei dati.

Invia un sollecito breve e chiaro

Se il termine è scaduto senza risposta, o la risposta è incompleta, un breve sollecito scritto è spesso sufficiente. Mantienilo concreto: indica la data della tua richiesta originale, che si trattava di una richiesta di accesso ai tuoi dati personali ai sensi del GDPR e che non hai ricevuto una risposta completa entro un mese. Chiedi loro di confermare cosa conservano e di fornire la copia a cui hai diritto.

Mettilo per iscritto — l'email va bene — e conserva una copia di ciò che invii e di quando. Una chiara documentazione conta se in seguito decidi di intensificare. Non ti serve linguaggio giuridico o un modulo speciale; basta un messaggio semplice e datato che richiami il tuo diritto di accesso.

• Richiama la data della tua richiesta originale e il termine di un mese.
• Chiedi esplicitamente conferma di cosa conservano e una copia.
• Conserva copie datate di ogni messaggio, nel caso tu intensifichi.

Il tuo diritto di reclamo all'autorità di controllo

Se hai sollecitato e non sei ancora soddisfatto — l'organizzazione continua a rifiutare, resta in silenzio oltre il termine o dà una risposta che ritieni non corretta — hai il diritto di proporre reclamo presso l'autorità di controllo per la protezione dei dati. In Italia è il Garante per la protezione dei dati personali, l'autorità indipendente per la protezione dei dati, su garanteprivacy.it.

Il Garante può esaminare come un'organizzazione ha gestito la tua richiesta. Proporre reclamo è gratuito e puoi farlo da solo. Di solito è opportuno dare prima all'organizzazione una chiara possibilità di rimediare, ma la via verso l'autorità di controllo resta aperta se ciò non funziona.

Si tratta di informazioni generali, non di consulenza legale. Per indicazioni sulla tua situazione specifica, valuta di rivolgerti a un professionista qualificato.

• Puoi proporre reclamo al Garante su garanteprivacy.it: è gratuito e puoi farlo da solo.
• Prova prima con un chiaro sollecito all'organizzazione, poi intensifica se necessario.
• Conserva la tua corrispondenza datata a supporto del reclamo.

Domande frequenti

Termini correlati

• Richiesta di accesso ai dati personali (DSAR)
• Autorità di controllo per la protezione dei dati
• Titolare del trattamento