mento è tenuto a verificare che chi presenta l’istanza sia il soggetto (o suo delegato) a cui si riferiscono i dati personali oggetto della richiesta di esercizio dei diritti. In assenza della idonea verifica (che l’ADPPA rafforza prevedendo la possibilità per il Titolare del tratta- mento di richiedere informazioni aggiuntive al richiedente, senza poterle utilizzare – una volta ricevute – per altri fini), o quando non sia ragionevolmente possibile attuare le veri- fiche appena sopra previste da parte del Titolare del trattamento, questi potrà legittima- mente respingere l’istanza ricevuta. Anche i meccanismi per richiedere all’interessato – in deroga la principio di totale gratuità – un pagamento per l’esercizio dei diritti riecheggiano quelli previsti dal GDPR. Un Titolare del trattamento è tenuto a consentire gratuitamente l’esercizio di uno dei diritti previsti, purchè in un periodo di 12 mesi non vengano inoltrate più di due istanze: ogni volta che si superano questi limiti, ogni richiesta successiva alle prime due nel corso dei 12 mesi com- porterà il pagamento di una ”tariffa ragionevole”. Per quanto riguarda, poi, la tempistica del riscontro alle istanze di esercizio inoltrate dagli interessati, queste differiscono a seconda del Titolare del trattamento che ne è destinata- rio. Ad esempio, i Large Data Holders devono riscontrare le richieste entro 45 giorni dalla verifica dell’istanza ricevuta mentre per tutti i Titolari che non sono Grandi Detentori di Dati la tempistica varia da 60 giorni a 90 giorni (ad esempio per le piccole imprese come definite alla Section 209 dell’ADPPA). I termini per il riscontro, come già accade nel GDPR, possono essere prorogati – solo per una volta – per un massimo 45 giorni se ragionevolmente necessario, in considerazione della complessità e del numero delle richieste della persona interessata, a condizione che il Titolare del trattamento informi l’interessato di tale proroga entro la scadenza del primo termine iniziale per la risposta, indicando i motivi della proroga. Infine, la Federal Trade Commission mediante regolamenti esecutivi (da adottarsi entro due anni dalla adozione dell’ADPPA) potrà stabilire le procedure con cui i Titolari del trat- tamento devono conformarsi alle regole sostanziali e procedurali in merito all’esercizio dei diritti come disciplinato della section 203, prendendo in considerazione: 1. le dimensioni e la natura, la portata e la complessità delle attività svolte dal Titolare del trattamento, compreso il fatto che si tratti di un Grande Detentore di Dati, di un’orga- nizzazione senza scopo di lucro, di un Titolare rappresentato da una piccola impresa, di un fornitore di servizi, di una terza parte o di un’entità di raccolta terza; 2. la sensibilità dei dati coperti raccolti, trattati o trasferiti dal Titolare del trattamento; 3. il volume dei dati personali raccolti, elaborati o trasferiti dal Titolare del trattamento; e
47
Made with FlippingBook Online newsletter maker