Privacy

La procedura in materia di “gestione dell’esercizio dei diritti degli interessati” si avvale delle seguenti fonti normative:

• Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in GUUE, L 119, 4 maggio 2016;
• Gruppo di lavoro articolo 29 per la protezione dei dati^[1], Linee guida sulla trasparenza ai sensi del regolamento 2016/679, 11 aprile 2018;
• Garante per la protezione dei dati personali, Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, https://www.garante privacy.it/regolamentoue/diritti-degli-interessati;
• Edpb, Guidelines 01/2022 on data subject rights – Right of access, 18 January 2022.
• Corte di giustizia dell’Unione europea, causa C‑154/21, RW contro Österreichische Post, ECLI:EU:C:2023:3.

^[1] Il Gruppo di lavoro per la protezione dei dati, istituito dall’articolo 29 della direttiva 95/46/CE, è stato sostituito dal Comitato europeo per la protezione dei dati, istituito dall’art. 68 del Regolamento 2016/679.

Il Regolamento generale per la protezione dei dati (Regolamento (UE) 2016/679, di seguito anche “regolamento” o “Gdpr”) prevede al Capo III (Diritti dell’interessato) i diritti che gli interessati possono esercitare nei confronti del titolare del trattamento e che quest’ultimo è tenuto ad agevolare ai sensi dell’art. 12 del Gdpr. In base a quanto previsto dal predetto Capo, l’interessato può pertanto esercitare i seguenti diritti:

– diritto di accesso (art. 15, Gdpr): al fine di chiedere conferma che sia o meno in corso un trattamento di dati personali e, in tal caso, di ottenere l’accesso ai dati personali e alle informazioni sul trattamento dei dati che lo riguardano, compreso il diritto di proporre reclamo al Garante per la protezione dei dati personali;

– diritto di rettifica (art. 16, Gdpr): per chiedere di rettificare dati inesatti o integrare dati personali incompleti;

– diritto alla cancellazione (art. 17, Gdpr): per chiedere che i dati trattati vengano cancellati nei casi previsti all’art. 17.1 del regolamento;

– diritto di limitazione di trattamento (art. 18, Gdpr): affinché i dati trattati vengano contrassegnati in modo da limitarne il loro trattamento in futuro;

– diritto alla portabilità dei dati (art. 20, Gdpr): al fine di ottenere la ricezione di dati personali o la trasmissione dei dati ad altro titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico;

– diritto di opposizione (art. 21, Gdpr): per opporsi in qualunque momento al trattamento dei dati che lo riguardano per motivi connessi a una propria situazione particolare;

– diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (art. 22, Gdpr).

Al fine di agevolare l’esercizio dei diritti dell’interessato e ridurre i tempi di riscontro, l’Aics mette a disposizione sul proprio sito web istituzionale (https://www.aics.gov.it/) il modello di richiesta di “Esercizio dei diritti in materia di protezione dei dati personali”, reso disponibile dal Garante per la protezione dei dati personali (v. Allegato). L’Aics procederà a valutare la richiesta anche in assenza dell’utilizzo del predetto modello.

La procedura operativa (“Procedura per la gestione dell’esercizio dei diritti degli interessati”) è attuata dagli Uffici interessati dell’Agenzia italiana per la cooperazione allo sviluppo (Aics) con il supporto del Responsabile della protezione dati e dell’Ufficio IX Affari legali, gare, contratti e contenzioso dell’Aics (di seguito, per brevità, Ufficio IX).

Una volta ricevuta la richiesta, l’Ufficio IX, con il supporto del Responsabile della protezione dati, svolge le seguenti attività:

– individuazione degli Uffici, sedi estere o altre strutture interne all’Aics interessate dalla richiesta;

– gestione delle richieste degli interessati;

– riscontro all’interessato nei tempi previsti dal Gdpr.

Nello svolgimento delle attività di gestione e riscontro delle istanze, i responsabili degli Uffici e di altre strutture, e i titolari delle sedi estere (“designati alle funzioni di titolare del trattamento”), investiti dalle richieste degli interessati, anche con riguardo ai trattamenti effettuati dai responsabili esterni del trattamento, collaborano con l’Ufficio IX e il Responsabile della protezione dei dati.

La procedura operativa di gestione dell’esercizio dei diritti degli interessati è basata sull’art. 12 del Gdpr e prevede le seguenti fasi:

3.1. Identificazione degli interessati

L’Aics, adotta tutte le misure adeguate a verificare l’identità dell’interessato che esercita i diritti previsti dal Gdpr.

Se l’identità del richiedente non può essere verificata, l’Aics informerà il richiedente che la richiesta non può essere soddisfatta fornendo i motivi (art. 12.2, Gdpr) e indicando le ulteriori informazioni necessarie per confermare l’identità dell’interessato (art. 11.2, Gdpr). Tale risposta verrà fornita al più tardi entro un mese dal ricevimento della richiesta (art. 12.3, Gdpr). Se l’interessato fornisce le informazioni richieste, l’Aics procede in merito alla richiesta avanzata dal medesimo.

Con riguardo alla raccolta di ulteriori informazioni per verificare l’identità dell’interessato, l’Aics raccoglie solo dati personali che siano strettamente necessari e funzionali a stabilire il collegamento tra lo stesso e i dati personali in relazione ai quali l’interessato ha esercitato la sua richiesta.

3.2. Esercizio dei diritti da parte dell’interessato e ricezione della richiesta

Gli interessati possono esercitare i propri diritti nei confronti dell’Aics in maniera gratuita, salvo quanto previsto al successivo par. 3.5.

L’interessato può esercitare i propri diritti anche tramite un soggetto terzo che sia munito di apposita delega debitamente sottoscritta.

Per le richieste effettuate attraverso la posta elettronica l’Aics ha previsto l’indirizzo dpo@aics.gov.it. Tale richiesta, che il Responsabile della protezione dei dati trasmette all’Ufficio IX, sarà protocollata in entrata dall’Ufficio stesso.  Nei casi in cui un interessato invia la propria richiesta a un indirizzo con dominio ‘@aics.gov’ diverso da quello indicato, il titolare di tale indirizzo deve immediatamente inoltrare la richiesta al predetto indirizzo.

Dopo la ricezione, l’Ufficio IX, coadiuvato dal Responsabile della protezione dati, accerta la fondatezza (ossia la validità) della richiesta; in caso di richiesta fondata, sulla base delle informazioni fornite dall’interessato, individua il “designato alle funzioni di titolare del trattamento” (Ufficio, altra struttura interna all’Aics, sede estera) a cui compete la gestione della richiesta, anche con riguardo ai trattamenti effettuati dai responsabili esterni del trattamento. L’Ufficio IX, con il supporto del Responsabile della protezione dati, si coordina con il designato per l’elaborazione del riscontro da fornire all’interessato, compresa l’eventuale richiesta di documentazione aggiuntiva necessaria ai fini della completezza della risposta.

Con riguardo alle richieste di esercizio dei diritti dell’interessato che implicano interventi su sistemi informatici (es., diritto alla portabilità, diritto alla cancellazione), l’Ufficio IX, con il supporto del Responsabile della protezione dati, si avvale degli Amministratori di Sistema.

A conclusione della procedura, il Responsabile della protezione dati provvede alla trasmissione della risposta all’interessato.

3.2.1. Registro delle istanze degli interessati

Ai fini del rispetto del principio di accountability, l’Aics adotta un “Registro delle istanze degli interessati” gestito dall’Ufficio IX.

L’Ufficio IX annota nel suddetto registro i seguenti dati:

– numero di protocollo dell’istanza;

– data di ricezione della richiesta;

– canale di comunicazione (posta, e-mail);

– dati identificativi dell’interessato;

– descrizione dell’istanza con specificazione del diritto esercitato;

– ufficio/struttura/sede estera competente;

– data scadenza di riscontro alla richiesta (un mese dalla data di ricezione);

– completezza della richiesta (si/no);

– fondatezza della richiesta (si/no);

– motivazione della eventuale mancata fondatezza;

– data e numero di protocollo del riscontro all’interessato;

– canale di comunicazione della risposta (posta, e-mail);

– note.

3.3. Tempi di risposta agli interessati

L’Aics fornisce all’interessato le informazioni relative alle attività intraprese riguardo il diritto azionato; tali informazioni sono fornite, al più tardi, entro un mese dalla data di ricevimento della richiesta riportata nel “Registro delle istanze degli interessati” (art. 12.3, Gdpr). Come previsto dal Gdpr, se ritenuto necessario in relazione alla complessità e al numero delle richieste, l’Aics potrà prorogare il suddetto termine di due mesi. In tale evenienza, l’Aics informerà l’interessato di tale proroga e dei motivi, entro un mese dalla data di ricevimento della richiesta (art. 12.3, Gdpr).

3.4. Richiesta infondata

Se la richiesta è infondata – perché non ricorrono le condizioni di applicabilità previste dal Gdpr (ad esempio, per il suo carattere pretestuoso ovvero in relazione a limitazioni di cui all’art. 23 del Gdpr) – l’Aics rigetta la richiesta dell’interessato (art. 12.5.b) del Gdpr). In tale evenienza, l’Aics informa l’interessato al più tardi entro un mese dalla data di ricevimento della richiesta, indicandogli i motivi del rigetto e informandolo della possibilità di proporre reclamo al Garante per la protezione dei dati personali e di proporre ricorso giurisdizionale (art. 12.4, Gdpr).

3.5. Richiesta manifestamente eccessiva

Se la richiesta dell’interessato è manifestamente eccessiva (in particolare, per il suo carattere ripetitivo), ai sensi dell’art. 12.5, Gdpr, l’Aics valuterà nei singoli casi se:

– soddisfare ugualmente la richiesta, addebitando all’interessato un contributo monetario ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta (art. 12.5.a), Gdpr);

3.6. Riscontro all’interessato

L’Aics elabora il documento del riscontro all’interessato che viene classificato e conservato per assolvere ai doveri di accountability.

Nel caso in cui l’interessato abbia esercitato i propri diritti attraverso mezzi elettronici, l’Aics fornisce il riscontro allo stesso mediante gli stessi mezzi elettronici, salvo diversa indicazione dell’interessato (art. 12.3, Gdpr). In tale ultima evenienza l’Aics utilizzerà la raccomandata A.R. o altro servizio di corrispondenza.

Modulo per l’esercizio dei diritti in materia di protezione dei dati personali