Attenzione ai tempi di risposta nelle richieste di accesso ai dati personali: il ritardo è una violazione

Non si può rispondere in ritardo, nemmeno di pochi giorni, a una richiesta di accesso ai dati personali: anche in assenza di danni concreti per la persona interessata, un ritardo oltre il termine previsto costituisce una violazione del Regolamento generale sulla protezione dei dati (Gdpr, Regolamento UE n. 2016/679). La legge stabilisce chiaramente che si può usufruire di un'estensione del termine fino a due mesi, ma solo se entro il primo mese si informa la persona richiedente, fornendo motivazioni valide per la proroga. Questo principio è stato ribadito dal Garante per la privacy nel provvedimento n. 67 del 13 febbraio 2025, con il quale è stato formalmente ammonito un Ateneo per aver risposto troppo tardi a una richiesta senza darne comunicazione preventiva.

Il caso specifico

Nel caso oggetto del provvedimento, un partecipante a un concorso aveva chiesto all'Università l'accesso ai propri dati personali. Non avendo ricevuto alcun riscontro, si è rivolto al Garante con un reclamo formale.

La giustificazione dell'Università

Durante l’istruttoria, l’Ateneo ha spiegato che il ritardo era stato limitato a dieci giorni lavorativi e che l’assenza di una comunicazione preventiva era dovuta alla necessità di esaminare con attenzione alcuni aspetti giuridici complessi e delicati legati al caso. Ha inoltre evidenziato che non c’era stata alcuna intenzione di danneggiare l’interessato o di procrastinare la risposta.

Obblighi imposti dal Gdpr

Tuttavia, le motivazioni fornite non sono state ritenute sufficienti. L’articolo 12 del Gdpr impone infatti di fornire una risposta entro un mese dal ricevimento della richiesta. Se non è possibile rispettare questo termine, il titolare del trattamento – come un’Università o una scuola – deve comunque informare l’interessato, sempre entro un mese, spiegando i motivi del mancato riscontro e indicando la possibilità di rivolgersi al Garante o all’autorità giudiziaria.

Quando è ammessa una proroga

Il Regolamento consente, in presenza di richieste particolarmente articolate o numerose, di allungare i tempi di risposta fino a due mesi. Tuttavia, anche in questi casi, l’interessato va informato entro il primo mese, con indicazione chiara delle ragioni che giustificano l’estensione.

Nel caso esaminato, l’Università ha risposto solo dopo 45 giorni, senza inviare alcuna comunicazione preliminare nei termini stabiliti, né per segnalare difficoltà né per preannunciare il ritardo.

Una “fedina” privacy macchiata

L’Ateneo, pur avendo violato le regole, ha evitato una sanzione economica, che avrebbe potuto arrivare – almeno in teoria – fino a 20 milioni di euro. Tuttavia, ha ricevuto un’ammonizione formale, con pubblicazione del provvedimento sul sito del Garante e annotazione nel registro delle violazioni. Questo precedente potrebbe pesare negativamente in eventuali futuri procedimenti.

Un monito per le scuole e le pubbliche amministrazioni

Il messaggio del Garante è chiaro e deve essere preso molto sul serio da tutte le istituzioni scolastiche e pubbliche: il Gdpr non ammette ritardi. Anche se la richiesta non può essere accolta, è comunque necessario fornire una risposta nei tempi previsti. Il semplice silenzio o l’inattività sono di per sé sanzionabili.

La lezione da trarre

Per evitare provvedimenti disciplinari, ammonizioni o multe, le scuole e gli enti devono sempre dare una risposta entro 30 giorni. La risposta può consistere nella consegna dei dati, in un rifiuto motivato oppure nella comunicazione – altrettanto motivata – dell’estensione del termine, qualora la richiesta richieda un’analisi più approfondita.