fbpx
Skip links

Entra a far parte del Cluster ICT del Friuli Venezia Giulia. Scopri come.

Chiamaci

0432 1698013

Scrivici

info@ditedi.it

Raggiungici

Indicazioni stradali

GDPR: un mese per rispondere agli interessati

Autore: Pubblicato il: Pubblicato in: News

Approfondimento a cura di Stefano Gazzella, DPO DITEDI

Il termine di un mese previsto dal GDPR

L’art. 12, par. 3 del GDPR stabilisce che il titolare del trattamento deve rispondere alle richieste di esercizio dei diritti da parte dell’interessato entro un mese.
Il termine può essere prorogato di ulteriori due mesi solo in casi eccezionali, quando la richiesta è particolarmente complessa o numerosa. In tali situazioni, però, la proroga deve essere giustificata, documentata e comunicata all’interessato entro il primo mese.

Il rischio di violazione se non si risponde entro un mese

La mancata comunicazione entro un mese, anche solo per informare della proroga, costituisce già di per sé una violazione del GDPR e può essere oggetto di reclamo al Garante Privacy.
Non basta quindi rispondere “in ritardo”: il GDPR pretende tempestività, trasparenza e tracciabilità.

Un aspetto critico nelle procedure privacy

Il tema dei tempi di risposta è centrale nella progettazione delle procedure interne di gestione dei diritti degli interessati, come confermato anche dal provvedimento n. 250 del 29 aprile 2025 del Garante Privacy.
Un uso eccessivo della proroga è considerato una vulnerabilità del processo, indice di scarsa efficacia organizzativa e della necessità di introdurre ulteriori misure di supporto.

L’organizzazione deve garantire tempi certi ed efficaci

Il titolare del trattamento deve essere in grado di:

  • rispondere entro un mese,

  • fornire risposte complete e accurate,

  • documentare eventuali proroghe,

  • monitorare il rispetto dei tempi tramite strumenti di controllo previsti nella procedura.

Il semplice possesso di una procedura non basta: è indispensabile che essa preveda parametri misurabili, responsabilità chiare e un flusso operativo efficiente.

Il ruolo dei responsabili del trattamento

Quando sono coinvolti uno o più responsabili del trattamento, la tempestività diventa ancora più delicata.
Ai sensi dell’art. 28, par. 3, lett. e) GDPR, il responsabile deve assistere il titolare nel soddisfare le richieste degli interessati, ma non può prendere decisioni autonome.

Per questo motivo:

  • le modalità operative di gestione delle richieste devono essere definite nei contratti,

  • il titolare deve condividere procedure, istruzioni e tempistiche,

  • entrambi devono garantire che la risposta finale sia completa e puntuale.

 

In conclusione, il GDPR impone al titolare una reale capacità organizzativa: le richieste degli interessati devono essere gestite in modo rapido, strutturato e verificabile.
Ritardi, proroghe non giustificate o risposte incomplete espongono l’organizzazione a violazioni e sanzioni. Una gestione efficace dei diritti, invece, è un segno di governance privacy matura e affidabile.

Ti potrebbero anche interessare