L’ignorare una richiesta presentata in base agli artt. 15-22 del Regolamento Europeo per la Protezione dei Dati Personali (GDPR) espone un’organizzazione a rischi sia legali che reputazionali considerevoli. Tali esercizi dei diritti da parte degli interessati possono generare reclami al Garante della Privacy e aprire un’istruttoria procedurale formale. Nel contesto di questo delicato tema, il Responsabile della Protezione dei Dati (DPO), la tracciabilità interna e una collaborazione costruttiva con l’Autorità diventano elementi essenziali per minimizzare rischi. L’effetto sistemico più pericoloso che si osserva frequentemente è un atteggiamento periferico all’argomento, in cui la gestione delle richieste venga affidata a figure interne sprovviste di consapevolezza completa del valore legale della questione. Questo scenario spesso si traduce in un silenzio da parte dell’azienda, che può costituire di per sé un illecito, in quanto le istanze non devono essere trascurate né gestite in modo informale e senza base normativa.

Rischi operativi e normativi

L’art. 12, paragrafo 3, del GDPR impone un termine di un mese per rispondere alle istanze di esercizio di diritti, con la possibilità di proroga per due mesi in caso di particolare complessità. La normativa prevede inoltre l’obbligo di comunicazione entro il primo mese di eventuale proroga e delle relative motivazioni. Violare tale scadenza costituisce comunque un illecito amministrativo punibile con sanzioni rilevanti. Secondo l’articolo 83, paragrafo 5, lettera b) del GDPR, l’assenza di risposta è classificata come una violazione grave, equiparabile per sanzionabilità a quelle relative ai principi fondanti del trattamento. Per l’Autorità, la mancata risposta rientra tra quelle violazioni che possono determinare pesanti conseguenze sanzionatorie e giudicate di estrema rilevanza.

Il ruolo del Garante e l’istruzione procedurale

Il reclamo formale da parte dell’interessato è disciplinato dall’art. 77 del GDPR, mentre a livello nazionale sono applicabili gli articoli 140-bis e seguenti del Codice Privacy italiano (d.lgs. 196/2003, aggiornato dal d.lgs. 101/2018), che conferiscono al Garante poteri investigativi in base all’art. 58 del GDPR. Gli strumenti utilizzati includono richiesta di informazioni, accesso a documentazione interna, audizioni, sopralluoghi e interrogazioni formali. Quando il reclamo è sottoposto all’azienda in accordo con la normativa, si apre un tempo limitato per fornire risposta e documentazione richiesta, che di solito è di trenta giorni.

Un’esperienza comune rileva però una significativa distanza tra la dottrina della gestione della privacy e la prassi interna: molte organizzazioni spesso non mantengono registrazioni strutturate delle richieste ricevute, né tengono traccia del momento di ricezione, dell’identità del richiedente o dell’applicazione di un processo chiaro con responsabilità assegnate. Queste lacune si rivelano spesso in momenti di stress, quando l’Autorità richiede informazioni dettagliate. Il personale, in queste situazioni, tende a minimizzare, affermando, ad esempio, di aver risposto pur non avendo rispettato la normativa o di aver creduto all’irrilevanza della richiesta.

Esiti di un reclamo e sanzioni possibili

I reclami possono evolversi verso diverse traiettorie legali, ognuna con implicazioni distinte:

    • Archiviazione: Avviene quando si dimostra di aver risposto nei tempi previsti, oppure quando la richiesta rientrava in eccezioni specifiche, o si è proceduto con un ritardo corretto seguito da una ricostruzione documentabile delle причин;
    • Ammonimento formale: È il risultato più comune nei casi di inadempienze che non rappresentano una strutturale violazione; si procede con correzioni richieste all’organizzazione, senza multa pecuniaria;
    • Risposta coatta
    • Sanzioni pecuniarie: Si applicano in casi reiterati, sistemici, con evidente assenza di procedure interne. I parametri considerati includono la natura, la durata, la gravità della violazione, l’ammonimento ricevuto, il rispetto dimostrato, e la cooperazione con l’Autorità.

La cooperazione efficace tra azienda e Autorità è un fattore chiave non solo per risolvere un reclamo, ma inoltre per limitare gli effetti reputazionali e legali. L’enfasi sulla collaborazione è ribadita dall’art. 83, paragrafo 2, lettera f), del GDPR, che considera espressamente tale criterio nella quantificazione delle sanzioni.

Il ruolo fondamentale del DPO

Il Responsabile della Protezione dei Dati (DPO) ha un ruolo centrale nella gestione sia proattiva che reattiva di istanze di esercizio di diritti. Ai sensi dell’art. 39, primo paragrafo, lettera b), del GDPR, il DPO deve supervisionare il rispetto della normativa e fornire pareri quando richiesto. La sua funzione non si limita però al momento della richiesta ufficiale, ma estende naturalmente a ogni fase di interazione con l’Autorità di controllo. Nell’ambito dei reclami, in particolare, il DPO deve produrre un parere scritto, formale, firmato e datato, che rimane documentalmente importante indipendentemente dal risultato del procedimento.

Questo parere svolge una duplice funzione:

    • Da un lato, fornisce un supporto documentale all’azienda per dimostrare l’esistenza di un sistema di controllo interno funzionante;
    • D’altro canto, protegge la posizione del DPO stesso, che ai sensi dell’art. 38, paragrafo 3, gode di indipendenza professionale e non può essere punito per aver svolto correttamente le sue funzioni.

Un DPO che non redige formale documentazione e limita la sua influenza a interazioni informali o verbali, perde uno strumento di tutela professionale fondamentale e lascia l’azienda senza una rappresentazione tecnica obiettiva dei fatti. La redazione di tali pareri non è quindi un adempimento occasionale, ma un elemento strutturale e necessario per la governance privacy sostenibile.

Conclusione

La gestione efficace delle istanze di esercizio dei diritti in base al GDPR non si limita a rispettare le scadenze o a rispondere in un momento specifico: richiede una struttura organizzativa solida, una cultura di compliance diffusa, e la presenza attiva e documentale del DPO. Le sanzioni e il rischio reputazionale da inadempienze o ritardi evidenziati da un reclamo non colpiscono solo il bilancio aziendale, ma mettono a rischio