Come gestire le richieste degli interessati pervenute mediante il software MINE
Negli ultimi mesi abbiamo avuto evidenza in più di un’occasione di richieste per l’esercizio dei diritti degli interessati, ai sensi in particolare dell’articolo 17 del GDPR (“Diritto alla cancellazione”), pervenute secondo questa modalità ricorrente:
Hi___________________,
My name is ___________________, I’ve used your service in the past. However, I’m now making the conscious decision to reduce my digital footprint and as a result I ask you to please delete any personal data of mine you have stored on your systems. I have initiated this request myself and it was sent from my own personal inbox (see From address of this email). Would appreciate your cooperation and an email confirming when the deletion has been completed.
My personal details are:
Name: ___________________
Email: ___________________
Context: I received an email from your company on ___________________ which indicates your systems hold my personal data.
Companies: If you would like additional context and assistance to complete this request, please visit the secured Mine for Business portal.
Tale format altro non è se non l’automatismo creato dall’azienda israeliana MINE, la quale ha messo a disposizione degli utenti un software che consente loro di avere la visibilità pressoché totale dei siti/piattaforme a cui sono stati conferiti i propri dati personali.
Il software, sostanzialmente, richiedendo nome e cognome ed e-mail degli utenti effettuerà, con questi dati, una ricerca complessiva delle registrazioni on-line effettuate, inviando poi, una volta che l’utente ha rilasciato il consenso, la richiesta di cancellazione dei dati a nome dell’utente medesimo.
Senza contestare i diritti e le libertà di scelta degli utenti, chi scrive, tuttavia, non nasconde le proprie perplessità in merito a tale sistema, mediante il quale formalmente risulta essere l’interessato ad inviare la richiesta al Titolare del trattamento, ma in sostanza è il software ad effettuarla.
Un sistema che si basa, oltretutto, su algoritmi di apprendimento automatico, che necessiterebbero quindi di una specifica valutazione d’impatto, ai sensi dell’articolo 35 del GDPR.
Rimane fuor di dubbio per il titolare del trattamento la prescrizione, sancita dall’articolo 12, paragrafo 3 del GDPR, di “dare riscontro alla richiesta dell’interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della stessa”.
Si rammenta tuttavia come lo stesso GDPR (articolo 12, paragrafo 6) preveda che il Titolare del trattamento “qualora nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato”.
A tal riguardo, si consiglia quindi di procedere con un primo riscontro all’interessato, richiedendogli indicazioni più precise circa il servizio e il relativo trattamento di dati personali, in merito ai quali richiede la cancellazione.
Le ulteriori informazioni, che saranno fornite a questo punto direttamente dall’interessato, garantiranno inoltre una maggiore sicurezza, per tutte le parti, di soddisfare efficacemente la richiesta.