Diritti degli interessati

Richiesta di accesso ai dati: modello di riscontro

Modello di riscontro alla richiesta di accesso ex art. 15 GDPR: lettera di risposta, proroga e diniego motivato, con il workflow del termine di 1 mese.

Also available in:Français·Deutsch

Quando ricevi una richiesta di accesso ai dati ex art. 15 del Regolamento (UE) 2016/679 (GDPR), hai un mese per fornire un riscontro: una risposta completa, una proroga motivata di ulteriori due mesi, oppure un diniego argomentato. Il silenzio non è un’opzione — l’assenza di riscontro è tra le violazioni che il Garante sanziona con maggiore regolarità, spesso con importi da alcune migliaia a decine di migliaia di euro. Qui trovi i tre modelli di riscontro pronti da adattare (risposta piena, proroga, diniego) e il workflow per gestire il termine senza scoprirsi.

Punti chiave

  • Il riscontro va dato senza ingiustificato ritardo e comunque entro un mese dalla richiesta (art. 12, par. 3 GDPR).
  • Il termine è prorogabile di due mesi per richieste complesse o numerose, dandone comunicazione entro il primo mese.
  • Il riscontro è gratuito, salvo richieste manifestamente infondate o eccessive (art. 12, par. 5).
  • L’art. 2-undecies del Codice Privacy prevede limitazioni specifiche al diritto di accesso.
  • Ignorare una richiesta è una violazione autonoma, a prescindere dal merito.

Cosa deve contenere il riscontro

L’art. 15 dà all’interessato il diritto di ottenere conferma che sia in corso un trattamento e, in tal caso, l’accesso ai dati e a una serie di informazioni: finalità, categorie di dati, destinatari, periodo di conservazione, esistenza dei diritti di rettifica/cancellazione/limitazione/opposizione, diritto di reclamo al Garante, origine dei dati, esistenza di processi decisionali automatizzati. Va inoltre fornita copia dei dati oggetto di trattamento.

Il riscontro, quindi, non è una semplice conferma «sì, la trattiamo»: è una risposta strutturata che ricalca i contenuti dell’informativa, calati sulla posizione specifica del richiedente. Per il perimetro sostanziale del diritto rimando alla guida sul diritto di accesso ai dati; questa pagina fornisce i template di risposta.

Modello 1 — Lettera di riscontro (risposta piena)

Oggetto: Riscontro alla richiesta di accesso ai dati personali (art. 15 GDPR)

Gentile [Nome], in riscontro alla Sua richiesta del [data], La informiamo di quanto segue.

Conferma del trattamento: confermiamo che è in corso un trattamento dei Suoi dati personali.

Finalità: [elencare]. Categorie di dati: [anagrafici, contatto, …]. Destinatari o categorie di destinatari: [elencare]. Periodo di conservazione: [indicare o criterio]. Origine dei dati (se non raccolti presso di Lei): [indicare]. Processi decisionali automatizzati: [presenti/assenti; se presenti, logica e conseguenze]. Diritti: rettifica, cancellazione, limitazione, opposizione, portabilità; reclamo al Garante.

In allegato trova copia dei dati oggetto di trattamento.

Resta a disposizione per ogni chiarimento. [Titolare / RPD]

Modello 2 — Comunicazione di proroga (art. 12, par. 3)

Quando la richiesta è complessa o le richieste sono numerose, puoi prorogare di due mesi, ma devi comunicarlo entro il primo mese spiegando i motivi.

Oggetto: Proroga del termine di riscontro (art. 12, par. 3 GDPR)

Gentile [Nome], con riferimento alla Sua richiesta del [data], considerata la [complessità / numerosità] delle richieste, La informiamo che il termine per il riscontro è prorogato di due mesi, e quindi fino al [data]. Provvederemo comunque nel più breve tempo possibile.

Modello 3 — Diniego motivato

Il diniego è legittimo solo in casi tipizzati: richiesta manifestamente infondata o eccessiva (art. 12, par. 5), o limitazioni previste dall’ordinamento. In Italia l’art. 2-undecies del Codice Privacy limita l’esercizio dei diritti quando dall’esercizio possa derivare pregiudizio, tra l’altro, alla riservatezza dell’identità di chi segnala illeciti, agli interessi in sede di indagini difensive o di attività giudiziaria, alla difesa in giudizio. Anche in caso di diniego, devi rispondere motivando.

Oggetto: Riscontro alla richiesta di accesso — impossibilità di accoglimento

Gentile [Nome], con riferimento alla Sua richiesta del [data], non possiamo darvi seguito nei termini richiesti in quanto [motivazione: es. la richiesta è manifestamente eccessiva ai sensi dell’art. 12, par. 5 GDPR / ricorre la limitazione di cui all’art. 2-undecies del Codice Privacy per …]. La informiamo che può proporre reclamo al Garante o ricorso all’autorità giudiziaria.

Il workflow del termine di un mese

Il termine decorre dal ricevimento della richiesta. Un workflow minimo:

  1. Registrazione della richiesta con data certa (il cronometro parte da qui).
  2. Identificazione del richiedente: se hai dubbi motivati, puoi chiedere informazioni aggiuntive per confermare l’identità (art. 12, par. 6), ma non usarlo come pretesto dilatorio.
  3. Ricerca dei dati in tutti i sistemi (CRM, gestionale, email, backup): è la fase più lunga e va avviata subito.
  4. Verifica dei diritti dei terzi: la copia non deve ledere i diritti altrui (art. 15, par. 4).
  5. Decisione: risposta piena, proroga o diniego motivato.
  6. Invio e archiviazione del riscontro come prova dell’adempimento.

Quando la richiesta riguarda il ricevere i dati in formato strutturato per trasferirli altrove, entra in gioco anche il diritto alla portabilità dei dati, che ha presupposti in parte diversi dall’accesso. La supervisione del processo, quando c’è, spetta al Responsabile della protezione dei dati (RPD/DPO). Un aiuto concreto alla fase 3 — la ricerca dei dati — viene da un registro dei trattamenti aggiornato: se sai già dove risiedono i dati di ciascuna categoria di interessati, la ricostruzione entro il termine diventa un’operazione ordinata anziché una caccia al tesoro tra sistemi diversi.

Perché la puntualità conviene

Nel registro dei provvedimenti del Garante, l’ipotesi ricorrente non è tanto il contenuto sbagliato del riscontro, quanto il mancato riscontro: aziende che non rispondono, rispondono in ritardo o solo dopo il reclamo. Sono violazioni facili da accertare — c’è una data di richiesta e non c’è una risposta — e vengono sanzionate anche quando, nel merito, il titolare avrebbe avuto ragione. Un processo che garantisce risposta entro il termine è la difesa più economica.

Gestire richieste che arrivano da canali diversi, rispettare il termine e ricostruire i dati sparsi tra più sistemi è oneroso senza un processo strutturato. Strumenti come Legiscope tracciano le richieste, avvisano sulle scadenze e aiutano a comporre il riscontro a partire dai trattamenti mappati, riducendo il rischio del ritardo che fa scattare la sanzione.

Per approfondire: il testo dell’art. 15 GDPR su EUR-Lex, le linee guida dell’EDPB sul diritto di accesso e la modulistica del Garante per la protezione dei dati personali.

Domande frequenti

Entro quanto tempo devo rispondere a una richiesta di accesso?

Senza ingiustificato ritardo e comunque entro un mese dal ricevimento (art. 12, par. 3 GDPR). Il termine è prorogabile di due mesi per richieste complesse o numerose, ma la proroga va comunicata all’interessato entro il primo mese, con i motivi. Il mancato rispetto del termine è di per sé una violazione.

Posso chiedere un pagamento per il riscontro?

No, il riscontro è di regola gratuito. Solo se la richiesta è manifestamente infondata o eccessiva, in particolare per il suo carattere ripetitivo, puoi addebitare un contributo spese ragionevole oppure rifiutare, motivando (art. 12, par. 5 GDPR). L’onere di dimostrare il carattere eccessivo è a carico del titolare.

Posso rifiutare l’accesso per proteggere altri soggetti?

In parte. Il diritto di ottenere copia non deve ledere i diritti e le libertà altrui (art. 15, par. 4 GDPR): puoi oscurare i dati di terzi. In Italia l’art. 2-undecies del Codice Privacy prevede ulteriori limitazioni specifiche (indagini difensive, riservatezza del segnalante, difesa in giudizio). Il rifiuto totale resta l’eccezione e va sempre motivato.

Come verifico l’identità di chi presenta la richiesta?

Se hai dubbi ragionevoli sull’identità del richiedente, puoi chiedere informazioni aggiuntive necessarie a confermarla (art. 12, par. 6 GDPR). La verifica deve essere proporzionata e non trasformarsi in un ostacolo: chiedere documenti sproporzionati o usarla per far scadere il termine è a sua volta una condotta contestabile.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →