Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 7 Agosto 2022 09:00
Autore: Stefano Gazzella
Nel momento in cui un interessato rivolge una richiesta per esercitare i propri diritti garantiti dal GDPR al titolare del trattamento, quest’ultimo ha generalmente un mese di tempo per fornire un riscontro ed eventualmente può indicare un termine maggiore per poter provvedere (comunque non superiore ad ulteriori due mesi).
Altrimenti, nel caso in cui vi sia un ingiustificato ritardo o una condotta che non agevola ma anzi ostacola l’esercizio dei diritti è possibile incorrere in provvedimenti sanzionatori come la recente sanzione del Garante Privacy in seguito ad un reclamo presentato da un interessato per il mancato riscontro di una richiesta di accesso.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’EDPB ha fornito dei chiarimenti operativi all’interno delle Guidelines 01/2022 on data subject rights – Right of access, precisando così le responsabilità del titolare in tale ambito. Nelle ipotesi in cui le richieste sono “manifestamente infondate o eccessive” il titolare del trattamento ha la facoltà di opporre un rifiuto o altrimenti richiedere un contributo spese per provvedere (art. 12.5 GDPR).
Ovviamente, ciò è possibile a condizione che sia in grado di fornire una dimostrazione a riguardo tramite evidenze, dovendo indicare per l’infondatezza una carenza degli elementi essenziali che consentono di poter dare seguito alla richiesta mentre per l’eccessività una condotta dell’interessato abusiva rispetto alle tutele cui provvedono i diritti oggetto di richiesta.
È bene considerare che le alternative rappresentate non sono equivalenti e l’EDPB ha indicato l’esigenza che vengano riferite a circostanze concrete e rispondano al parametro di adeguatezza. Ad esempio, nel caso di una richiesta infondata la richiesta di contributo è una risposta generalmente inadeguata.
Nell’ipotesi di rifiuto, è sufficiente che entro un mese (o al più il maggior termine previsto comunque non superiore ad altri due mesi) il titolare comunichi tale decisione corredata di una sintetica esposizione delle motivazioni, e l’indicazione del diritto di proporre reclamo all’autorità di controllo e della possibilità di ottenere una tutela in via giurisdizionale.
Nell’ipotesi in cui invece intenda formulare una richiesta di addebito di un contributo spese, il titolare deve indicare tale intenzione prima di proseguire al soddisfacimento della richiesta dell’interessato sempre nei termini definiti dall’art. 12.4 GDPR (un mese, prorogabile di ulteriori due). Inoltre, occorre porre una particolare attenzione al rispetto dei criteri indicati dalla norma e in relazione ai quali – in ragione di accountability – il titolare dovrà sempre essere in grado di rendicontare la decisione assunta anche per la determinazione del quantum richiesto.
Il contributo deve infatti essere “ragionevole” nonché riferibile ai “costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta”. In sostanza deve consistere in una comprovata compensazione per quello sforzo ulteriore che viene richiesto al titolare in conseguenza al carattere eccessivo della richiesta formulata. In caso contrario, il rischio è che la richiesta venga connotata da un carattere punitivo e dunque si ponga in contrasto con l’obbligo di agevolare l’esercizio dei diritti dell’interessato previsto dall’art. 12.2 GDPR.
Stefano GazzellaIl ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
