Iscriviti
  1. Blog
  2. Conformità
  3. Cos'è un DSAR? Come gestire le richieste di accesso ai dati personali

Cos’è un DSAR? Come gestire le richieste di accesso ai dati personali

DSAR illustration showing a magnifying glass inspecting a stylized data profile with personal data elements like name, email, cookie ID and IP address becoming visible, with bold DSAR text, on a purple to blue gradient background with geometric data patterns

La richiesta di accesso ai dati personali, nota a livello internazionale come DSAR (Data Subject Access Request), è uno dei diritti più importanti previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR). Consente a qualsiasi individuo di chiedere a un’organizzazione quali dati personali detiene su di lui e di riceverne una copia.

Per gli editori, i DSAR sono una realtà concreta della gestione di un sito web ai sensi del GDPR. Che si raccolgano dati tramite iscrizioni alla newsletter, sistemi di commenti, strumenti di analisi o cookie, gli utenti hanno il diritto di sapere cosa si conserva e come vengono utilizzati i loro dati. Questa guida spiega cosa sono i DSAR, cosa prevede la legge e come impostare un processo che li gestisca in modo efficiente.

Cos’è un DSAR?

DSAR è l’acronimo di Data Subject Access Request, ovvero richiesta di accesso dell’interessato. È il nome formale del diritto delle persone fisiche – definite “interessati” dal GDPR – di richiedere l’accesso ai dati personali che un’organizzazione detiene su di loro.

Questo diritto è stabilito dall’Articolo 15 del GDPR, che prevede che gli interessati abbiano il diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che li riguardano e, in tal caso, di ricevere una copia di tali dati insieme a specifiche informazioni supplementari.

Un DSAR non riguarda soltanto l’ottenimento di una copia dei dati. L’individuo ha anche il diritto di conoscere:

  • Le finalità del trattamento – perché i dati vengono utilizzati
  • Le categorie di dati oggetto di trattamento – quali tipi di informazioni sono conservati
  • I destinatari – a chi i dati sono stati o saranno comunicati, compresi inserzionisti terzi e fornitori di servizi di analisi
  • Il periodo di conservazione – per quanto tempo i dati saranno conservati
  • La fonte – da dove sono stati raccolti i dati, qualora non siano stati ottenuti direttamente dall’interessato
  • L’esistenza di processi decisionali automatizzati – inclusa la profilazione e la logica utilizzata
  • I trasferimenti internazionali – se i dati vengono trasferiti a paesi terzi o organizzazioni internazionali, e le garanzie previste
  • Gli altri diritti dell’interessato – il diritto di chiedere la rettifica, la cancellazione o la limitazione del trattamento, il diritto di opposizione e il diritto di proporre reclamo a un’autorità di controllo

In sintesi, un DSAR offre agli individui una visione completa di come vengono gestiti i loro dati.

Cos’è un interessato?

Un interessato (in inglese “data subject”) è qualsiasi persona fisica identificata o identificabile i cui dati personali sono oggetto di trattamento. Ai sensi del GDPR, ciò comprende qualsiasi persona che possa essere identificata, direttamente o indirettamente, tramite un identificatore come nome, indirizzo email, indirizzo IP, ID cookie o altri elementi specifici della sua identità.

Per gli editori, gli interessati includono chiunque interagisca con il sito web: utenti registrati, iscritti alla newsletter, commentatori e persino visitatori anonimi i cui dati vengono raccolti tramite cookie o strumenti di analisi. Se è possibile collegare un dato a una persona fisica, quella persona è un interessato.

I diritti dell’interessato ai sensi del GDPR

Il diritto di accesso (DSAR) è uno dei diversi diritti che il GDPR riconosce agli interessati. Comprendere come si colloca rispetto agli altri diritti aiuta gli editori a costruire un processo di conformità completo.

Il GDPR stabilisce i seguenti diritti dell’interessato:

  1. Diritto di accesso (Articolo 15) – Il diritto di ottenere una copia dei dati personali e informazioni su come vengono trattati. Questo è il DSAR.
  2. Diritto di rettifica (Articolo 16) – Il diritto di far correggere i dati personali inesatti.
  3. Diritto alla cancellazione (Articolo 17) – Noto anche come “diritto all’oblio.” Il diritto di far cancellare i dati personali in determinate circostanze.
  4. Diritto alla limitazione del trattamento (Articolo 18) – Il diritto di limitare le modalità con cui un’organizzazione utilizza i dati personali.
  5. Diritto alla portabilità dei dati (Articolo 20) – Il diritto di ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare.
  6. Diritto di opposizione (Articolo 21) – Il diritto di opporsi a determinate tipologie di trattamento, incluso il marketing diretto.
  7. Diritti relativi ai processi decisionali automatizzati (Articolo 22) – Il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione.

Un DSAR spesso funge da porta d’accesso agli altri diritti. Una volta che l’interessato vede quali dati vengono conservati, può richiederne la cancellazione, la rettifica o opporsi al trattamento.

Chi può presentare un DSAR?

Qualsiasi interessato i cui dati personali sono trattati dalla tua organizzazione può presentare un DSAR. Non è necessario essere cliente, abbonato o utente registrato. Se conservi dati personali di qualcuno – anche solo un indirizzo IP registrato dal server web – quella persona può inoltrare una richiesta.

I DSAR possono essere presentati anche da:

  • Rappresentanti autorizzati – Chi agisce per conto dell’interessato, come un avvocato o un genitore che agisce per un minore
  • Minori – I minori possono presentare DSAR, sebbene nella pratica un genitore o tutore agisca spesso per loro conto
  • Dipendenti – I dipendenti possono presentare DSAR relativi ai propri dati lavorativi

Non esistono requisiti formali sulle modalità di presentazione di un DSAR. Può arrivare tramite email, lettera, modulo web, messaggio sui social media o persino come richiesta verbale. Non è necessario che menzioni esplicitamente “DSAR” o “Articolo 15” – qualsiasi richiesta relativa ai dati personali è valida.

Requisiti legali per la gestione dei DSAR

Il GDPR stabilisce regole precise su come le organizzazioni devono rispondere ai DSAR. La mancata conformità può comportare reclami alle autorità di controllo e, in ultima analisi, provvedimenti sanzionatori.

Termine di risposta

La risposta a un DSAR deve pervenire entro un mese di calendario dalla ricezione della richiesta. Il termine decorre dalla data di ricezione: ad esempio, una richiesta ricevuta il 5 marzo deve ottenere risposta entro il 5 aprile. Se l’ultimo giorno cade in un fine settimana o giorno festivo, il termine è prorogato al primo giorno lavorativo successivo.

Per richieste complesse o numerose, è possibile prorogare il termine di ulteriori due mesi (per un totale di tre mesi). Tuttavia, è necessario informare l’interessato della proroga e dei motivi entro il termine iniziale di un mese.

Costi

I DSAR sono gratuiti nella stragrande maggioranza dei casi. È possibile addebitare un “contributo spese ragionevole” solo se la richiesta è manifestamente infondata o eccessiva – ad esempio, se la stessa persona presenta richieste identiche ripetute. Anche in tal caso, è necessario giustificare l’addebito.

Formato della risposta

Se la richiesta è stata presentata in formato elettronico (ad esempio via email), la risposta deve essere fornita in un formato elettronico di uso comune, come PDF o CSV. I dati devono essere presentati in modo conciso, trasparente e di facile comprensione.

Verifica dell’identità

Prima di comunicare i dati personali, è necessario verificare che la persona che presenta la richiesta sia effettivamente chi dichiara di essere. Inviare i dati di un’altra persona in risposta a una richiesta fraudolenta costituirebbe di per sé una violazione dei dati.

Per gli utenti registrati, la verifica dell’identità può avvenire chiedendo di accedere al proprio account. Per altri soggetti, è possibile richiedere informazioni identificative aggiuntive – senza tuttavia chiedere più dati del necessario per confermare l’identità.

Dati di terzi

Se i dati in proprio possesso contengono informazioni relative ad altre persone, è necessario evitare di divulgarle. Il GDPR richiede di bilanciare il diritto di accesso dell’interessato con i diritti alla privacy dei terzi. In pratica, ciò significa oscurare i dati personali di altre persone dalla risposta.

È possibile rifiutare un DSAR?

Un DSAR può essere rifiutato solo in circostanze limitate:

  • Richieste manifestamente infondate – Quando l’individuo non ha chiaramente alcuna reale intenzione di esercitare i propri diritti (ad esempio, dichiara esplicitamente di voler causare disturbo)
  • Richieste manifestamente eccessive – Richieste ripetute dalla stessa persona senza un intervallo ragionevole, o richieste sproporzionate nell’ambito

La soglia per il rifiuto è elevata. È necessario dimostrare perché una richiesta sia manifestamente infondata o eccessiva. In caso di rifiuto, occorre informare l’interessato dei motivi e comunicargli il diritto di presentare reclamo a un’autorità di controllo.

Non è possibile rifiutare un DSAR semplicemente perché sarebbe scomodo, dispendioso in termini di tempo o costoso da evadere.

Quali dati devono fornire gli editori?

Per gli editori, rispondere a un DSAR significa raccogliere i dati personali da tutti i propri sistemi. Le tipologie di dati da fornire possono includere:

  • Informazioni sull’account – Nome utente, indirizzo email, nome visualizzato, data di registrazione
  • Commenti e contenuti – Commenti pubblicati, contributi nei forum o contenuti generati dall’utente
  • Dati della newsletter – Stato dell’iscrizione, preferenze email, storico degli invii
  • Dati analitici – Cronologia di navigazione, pagine visitate, dati di sessione collegati all’individuo
  • Registri del consenso – Registrazioni di ciò a cui l’utente ha acconsentito e quando, inclusi i log della consent management platform (CMP) e i partner pubblicitari ai quali l’utente ha dato il consenso
  • Log tecnici – Indirizzi IP, informazioni sul browser, log di accesso al server
  • Registri delle comunicazioni – Email di supporto, messaggi inviati tramite moduli di contatto

L’obbligo riguarda esclusivamente i dati detenuti in qualità di titolare del trattamento. La maggior parte degli editori non raccoglie direttamente i dati di tracciamento pubblicitario: quando un utente dà il consenso tramite una CMP, acconsente a un elenco di partner pubblicitari dichiarati (come ad exchange, SSP e DSP) che in genere operano come titolari indipendenti per il proprio trattamento. Se un utente desidera accedere ai dati detenuti da tali partner, deve presentare richieste separate a ciascuno di essi. Il compito dell’editore è informare il richiedente sui partner con cui collabora e fornire i link alle rispettive informative sulla privacy, in modo che l’utente sappia a chi rivolgere ulteriori DSAR.

Detto ciò, il rapporto giuridico tra un editore e i suoi partner ad tech non è sempre lineare. In alcuni casi – in particolare quando un editore incorpora tag o plugin di terze parti che attivano la raccolta di dati – i tribunali hanno stabilito che il gestore del sito e il terzo possono essere contitolari del trattamento per la raccolta iniziale dei dati. In presenza di un rapporto di contitolarità con un partner, potrebbe essere necessario coordinarsi sulla risposta ai DSAR nell’ambito dell’accordo previsto dall’Articolo 26.

Non è inoltre obbligatorio fornire dati che effettivamente non si detengono o che non è ragionevolmente possibile identificare come appartenenti al richiedente. Ad esempio, se i dati analitici sono completamente anonimizzati e non possono essere collegati a un individuo, non rientrano nell’ambito di un DSAR.

Come gestire un DSAR: procedura passo dopo passo

Definire un processo chiaro prima di ricevere il primo DSAR rende la gestione molto più semplice. Ecco un approccio pratico in sei fasi:

Fase 1: Riconoscere la richiesta

Un DSAR non deve utilizzare un linguaggio specifico. È importante formare il team a riconoscere le richieste che sostanzialmente chiedono “quali dati avete su di me?” Queste possono arrivare tramite email di supporto, moduli di contatto, social media o qualsiasi altro canale.

Registrare immediatamente la richiesta e annotare la data di ricezione: da quel momento decorre il termine di un mese.

Fase 2: Verificare l’identità del richiedente

Confermare che la persona sia effettivamente chi dichiara di essere. I metodi includono:

  • Chiedere di inviare la richiesta dall’indirizzo email registrato
  • Chiedere di accedere al proprio account e utilizzare un modulo dedicato
  • Richiedere un dato identificativo già in proprio possesso (ad esempio, confermare il nome utente dell’account)

Non richiedere documenti di identificazione eccessivi. Non è opportuno chiedere passaporto o carta d’identità a meno che non si raccolgano già quel tipo di dati.

Fase 3: Individuare i dati

Eseguire una ricerca in tutti i sistemi in cui possono essere conservati dati personali. Per un editore tipico, questi includono:

  • Sistema di gestione dei contenuti (WordPress, Drupal, ecc.)
  • Piattaforma di email marketing (Mailchimp, SendGrid, ecc.)
  • Piattaforma di analisi (Google Analytics, ecc.)
  • Piattaforme pubblicitarie e strumenti di gestione del consenso
  • Sistemi di assistenza clienti
  • Log del server
  • Processori di pagamento (per i siti con abbonamento)

Disporre di un documento di mappatura dei dati – un registro di quali dati personali si raccolgono, dove sono conservati e chi vi ha accesso – rende questa fase significativamente più rapida.

Fase 4: Raccogliere e verificare

Raccogliere tutti i dati pertinenti e verificarli prima dell’invio. Controllare:

  • Dati personali di terzi da oscurare
  • Informazioni commercialmente sensibili o legalmente protette
  • Completezza – tutti i sistemi sono stati verificati?

Fase 5: Rispondere entro il termine

Inviare i dati al richiedente in un formato chiaro e accessibile. Includere le informazioni supplementari previste dall’Articolo 15: finalità del trattamento, categorie di dati, destinatari, periodi di conservazione e informazioni sugli altri diritti dell’interessato.

Se è necessario più tempo, notificare la proroga all’interessato entro il periodo iniziale di un mese.

Fase 6: Documentare tutto

Conservare un registro della richiesta, del processo di verifica, dei dati forniti e della data di risposta. Questa documentazione dimostra la conformità qualora la richiesta venga esaminata da un’autorità di controllo.

Quanti DSAR possono aspettarsi gli editori?

Per la maggior parte degli editori di piccole e medie dimensioni, i DSAR sono ancora relativamente rari. Molti ne ricevono solo qualcuno all’anno, o nessuno. Tuttavia, la tendenza è chiaramente in crescita: la consapevolezza dei consumatori sui diritti relativi ai dati è in aumento e le indagini di settore mostrano un incremento significativo dei volumi di DSAR anno dopo anno. Per questo è importante predisporre un processo anche se non si è ancora ricevuta alcuna richiesta.

La buona notizia è che non è necessario investire subito in una piattaforma automatizzata dedicata alla gestione dei DSAR. Ciò che conta è essere preparati: sapere quali dati si detengono, disporre di un processo documentato e poter rispondere entro il termine legale quando arriva una richiesta. Un semplice foglio di calcolo per tracciare le richieste, un set di risposte tipo e una mappatura chiara dei dati sono sufficienti per la maggior parte degli editori. Se i volumi di richieste crescono in modo significativo, si potranno valutare strumenti più sofisticati in un secondo momento.

I DSAR nelle altre normative sulla privacy

Sebbene i DSAR siano più comunemente associati al GDPR, diritti di accesso analoghi esistono in altre normative sulla privacy:

  • UK GDPR – Il Regno Unito ha mantenuto il framework DSAR dopo la Brexit. Le regole sono sostanzialmente identiche a quelle del GDPR dell’UE, con applicazione affidata all’Information Commissioner’s Office (ICO).
  • CCPA/CPRA – I consumatori californiani hanno il “diritto di conoscere” quali informazioni personali un’azienda ha raccolto. Il termine di risposta è di 45 giorni (prorogabile di ulteriori 45 giorni).
  • LGPD (Brasile) – Gli interessati possono richiedere la conferma del trattamento e l’accesso ai propri dati. Il titolare deve rispondere entro 15 giorni.
  • Altre leggi statali USA – Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) e altri stati con leggi sulla privacy prevedono diritti di accesso analoghi con termini di risposta variabili.

Se il proprio sito web si rivolge a un pubblico globale, è possibile ricevere richieste di accesso ai sensi di diversi quadri normativi. Costruire un unico processo solido che soddisfi i requisiti del GDPR generalmente sarà sufficiente anche per i diritti di accesso previsti da altre normative, poiché il GDPR tende ad essere il più rigoroso.

Best practice per la gestione dei DSAR da parte degli editori

Sulla base delle indicazioni dell’ICO e di altre autorità di controllo, ecco le best practice per gli editori che gestiscono DSAR:

Creare un canale dedicato per le richieste

Pubblicare un metodo chiaro per presentare DSAR sul proprio sito web: un indirizzo email dedicato (ad esempio privacy@tuodominio.com) o un modulo web collegato dall’informativa sulla privacy. Questo riduce il rischio che le richieste vengano trascurate o ritardate in una casella di posta generica.

Mantenere una mappatura dei dati

Documentare quali dati personali si raccolgono, dove sono conservati, per cosa vengono utilizzati e chi vi ha accesso. Una mappatura dei dati aggiornata trasforma una ricerca di più giorni in una procedura sistematica.

Conservare i registri del consenso

Utilizzare una consent management platform (CMP) consente di mantenere registri chiari di ciò a cui ogni utente ha acconsentito e quando. Questi registri fanno spesso parte di ciò che è necessario fornire in risposta a un DSAR e dimostrano inoltre la conformità al GDPR in senso più ampio.

Clickio Consent, una CMP certificata da Google, mantiene automaticamente registri dettagliati del consenso per ogni interazione dell’utente, inclusi timestamp, scelte di consenso e i partner pubblicitari ai quali l’utente ha dato il consenso. Registra inoltre informazioni dettagliate su ciascun partner: la loro informativa sulla privacy, le tipologie di dati trattati, i cookie utilizzati e le finalità del trattamento. Questo semplifica il recupero dei dati relativi al consenso in risposta ai DSAR e fornisce una traccia verificabile che dimostra la conformità alle autorità di controllo.

Prova Clickio Consent Gratis

Formare il team

Assicurarsi che chiunque possa ricevere un DSAR – redazione, assistenza clienti, marketing – sappia come riconoscerlo e a chi inoltrarlo. Una richiesta non riconosciuta può facilmente diventare una violazione della conformità.

Preparare risposte tipo

Creare lettere tipo per la conferma di ricezione, la verifica dell’identità, la comunicazione dei dati e la spiegazione di eventuali proroghe. Le risposte tipo accelerano i tempi di risposta e garantiscono uniformità.

Verificare la conservazione dei dati

Meno dati personali si conservano, meno informazioni è necessario verificare quando arriva un DSAR. Una buona politica di conservazione dei dati – cancellare i dati non più necessari – semplifica la conformità ai DSAR e riduce il rischio complessivo.

Errori comuni da evitare nella gestione dei DSAR

Le autorità di controllo hanno evidenziato diversi errori comuni che le organizzazioni commettono nella gestione dei DSAR:

  • Mancato rispetto del termine – Il termine di un mese decorre dalla data di ricezione della richiesta, non dal giorno successivo. Se è necessario più tempo, occorre avvisare il richiedente entro il primo mese.
  • Richiesta di documenti di identità eccessivi – Richiedere la copia del passaporto quando basterebbe una semplice conferma via email è sproporzionato e potrebbe violare il principio di minimizzazione dei dati del GDPR.
  • Ricerche incomplete – Verificare il CMS ma dimenticare l’email marketing, gli strumenti di analisi o i sistemi di backup. Ogni sistema che contiene dati personali deve essere verificato.
  • Divulgazione di dati di terzi – Non oscurare le informazioni personali di altre persone dalla risposta.
  • Addebito di un costo – A meno che la richiesta non sia manifestamente infondata o eccessiva, non è possibile addebitare alcun costo per un DSAR. Questo rappresenta un cambiamento rispetto alle regole pre-GDPR e può cogliere alcune organizzazioni impreparate.
  • Ignorare le richieste verbali – Un DSAR presentato telefonicamente è altrettanto valido di uno scritto. Se si riceve una richiesta verbale, documentarla e avviare il processo.

Cosa succede in caso di mancata conformità?

La mancata gestione corretta di un DSAR può avere conseguenze concrete. Gli interessati insoddisfatti della risposta – o che non ricevono alcuna risposta – possono presentare reclamo a un’autorità di controllo come il Garante per la protezione dei dati personali in Italia o la corrispondente autorità nazionale nell’UE.

Le autorità di controllo possono:

  • Ordinare di ottemperare alla richiesta entro un termine specifico
  • Emettere un ammonimento
  • Comminare sanzioni amministrative – il GDPR consente sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale importo sia superiore, per le violazioni gravi
  • Ordinare la sospensione delle attività di trattamento

Nella pratica, la maggior parte dei reclami relativi ai DSAR si risolve con l’autorità che ordina all’organizzazione di rispondere correttamente, anziché procedere direttamente con sanzioni. Tuttavia, un’abitudine a ignorare le richieste o un inadempimento particolarmente grave possono portare a provvedimenti sanzionatori.

Gli interessati hanno inoltre il diritto di chiedere un risarcimento attraverso i tribunali per danni materiali o immateriali causati da violazioni del GDPR, inclusa la mancata conformità ai DSAR.

Checklist DSAR per gli editori

Utilizzare questa checklist per verificare che il processo DSAR sia completo:

FaseAzione
1Pubblicare un canale chiaro per le richieste DSAR (email dedicata o modulo web) nell’informativa sulla privacy
2Formare tutto il personale che potrebbe ricevere richieste a riconoscere e inoltrare i DSAR
3Creare e mantenere una mappatura di tutti i dati personali raccolti e dei luoghi in cui sono conservati
4Preparare risposte tipo per la conferma di ricezione, la verifica dell’identità e la comunicazione dei dati
5Implementare procedure di verifica dell’identità proporzionate ai dati trattati
6Predisporre un sistema di monitoraggio per rispettare le scadenze dei DSAR
7Utilizzare una CMP per mantenere registri del consenso verificabili
8Verificare e minimizzare la conservazione dei dati per ridurre l’ambito dei DSAR
9Documentare il processo di gestione dei DSAR e conservare i registri di tutte le richieste e risposte

Semplificare la conformità con gli strumenti giusti

Gestire i DSAR in modo efficace è molto più semplice quando la raccolta dei dati e la gestione del consenso sono ben organizzate. Una consent management platform centralizza i registri del consenso, rendendo più rapido il recupero dei dati relativi al consenso che spesso costituiscono parte della risposta a un DSAR.

Clickio Consent è una CMP certificata da Google, utilizzata da oltre 2.000 editori in tutto il mondo. Gestisce la raccolta del consenso ai sensi del GDPR, del CCPA/CPRA, di altre leggi statali USA sulla privacy e di altre normative globali sulla protezione dei dati, mantenendo registri dettagliati di ogni interazione relativa al consenso. Questo non solo facilita le risposte ai DSAR, ma supporta la strategia complessiva di conformità al GDPR, incluso il principio di responsabilizzazione che richiede di dimostrare la conformità su richiesta.

Inizia con Clickio Consent
(Visited 2 times, 1 visits today)
Vedi altri articoli su questo argomento: Conformità
Iscriviti