La sicurezza dei dati personali degli interessati deve essere garantita in ogni fase del trattamento. A tal fine, il Titolare del trattamento prima di dare riscontro ad un interessato che esercita i propri diritti deve assicurarsi dell’identità dello stesso e, se nutre dubbi, richiedere informazioni ulteriori. Il Regolamento (UE) 2016/679 non impone alcun requisito riguardo ai metodi per determinare l’identità dell’interessato, tuttavia la richiesta arbitraria di informazioni ulteriori ovvero la richiesta del documento di identità si pone in contrasto con i principi dettati dal Regolamento stesso.
La corretta gestione delle richieste di esercizio dei diritti degli interessati impone la precisa individuazione ed identificazione dell’interessato.
Per garantire la sicurezza del trattamento e ridurre al minimo il rischio di divulgazione non autorizzata dei dati personali, il titolare deve essere certo dell’identità dell’interessato e, in caso di dubbi richiedere informazioni ulteriore atte a confermare l’identità dello stesso.
Tale richiesta è lecita solo nella misura in cui, in base alle informazioni a disposizione del Titolare questi non riesca ad identificare circa l’identità dell’interessato che faccia richiesta di esercizio dei diritti. Pertanto, è esclusa la richiesta arbitraria di tali informazioni ulteriori così come del documento di identità dell’interessato: il titolare deve valutare di volta in volta quali informazioni gli consentano di confermare l’identità dell’interessato stesso.
Resta inteso che il Titolare, in virtù dei principi di sicurezza dei trattamenti, di minimizzazione, di limitazione delle finalità e della conservazione e del più generale principio di liceità di cui all’art. 5 del GDPR, può richiedere solo dati strettamente necessari al perseguimento della finalità e l’uso di tali dati deve essere limitato a soddisfare la richiesta degli interessati e, inoltre, la conservazione deve essere limitata al periodo in cui tale attività sia necessaria per identificare il soggetto che vuole esercitare i suoi diritti, escludendo qualsiasi forma di conservazione del dato.
La circostanza che il Titolare possa richiedere informazioni supplementari per valutare l’identità dell’interessato non può portare a richieste eccessive ed alla raccolta di dati personali non pertinenti o necessari a confermarne l’identità. Sicché quando le informazioni raccolte online sono collegate a pseudonimi o altri identificatori, il Titolare deve implementare procedure appropriate che consentano alla persona richiedente di fare una richiesta, ad esempio, di accesso ai dati e ricevere i dati che la riguardano.
Si pensi ad esempio all’interessato che esercita i propri diritti nei confronti del titolare in relazione alle attività di marketing on-line. In siffatta ipotesi per confermare l’identità della persona che effettua la richiesta sarebbe sufficiente generare un codice univoco ed inviarlo, per conferma, all’indirizzo e-mail fornito dall’interessato al momento dell’iscrizione.
______________________
Immagine del post (link qui).
Hai dubbi in merito? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà aziendale.