Cosa dice l’articolo 15 del GDPR (e cosa succede quando qualcuno lo usa per davvero)
Prima di metterlo in discussione, mettiamo le cose in chiaro: l’articolo 15 del GDPR è una norma sensata, e il principio che difende è giusto. È l’articolo che dà a ogni persona il diritto di chiederti di vedere i dati che custodisci su di lei. Non un favore, un diritto. Si chiama diritto di accesso, ed è uno dei pochi che ti arrivano davvero via email, un lunedì mattina, quando meno te lo aspetti.
Tradotto da imprenditore a imprenditore, l’articolo 15 dice una cosa precisa: il cliente può scriverti “fatemi vedere tutto quello che avete su di me”, e tu sei tenuto a rispondere. Ma non finisce lì. Può chiederti molto di più della semplice lista dei suoi dati. Può chiederti perché li tratti, da dove sono arrivati se non glieli ha dati lui di persona, a chi li hai passati (il corriere, il commercialista, chi ti gestisce le email), per quanto tempo pensi di tenerli, e una copia di quei dati in mano. È un raggio X della tua azienda, puntato su una persona sola.
La regola che quasi nessuno tiene a mente te la dico subito: hai un tempo per rispondere, di norma un mese. Non puoi rimandare a piacere, non puoi far finta di niente, non puoi rispondere “tra un po’”. La persona ha chiesto, e parte un orologio. Un mese sembra tanto, finché non ti accorgi che per mettere insieme la risposta devi rincorrere i suoi dati in sei posti diversi, sperando di non saltarne nessuno.
E qui arriva la parte che fa cadere le braccia alla maggior parte degli imprenditori: “tanto chi me lo chiede mai”. Te lo chiede il cliente arrabbiato che ha deciso di chiuderti i conti. Te lo chiede l’ex dipendente che si è licenziato male. Te lo chiede chi ha ricevuto una pubblicità che non si aspettava e vuole capire dove hai preso il suo contatto. La richiesta di accesso non è un esercizio teorico da manuale: è lo strumento che le persone usano proprio quando il rapporto si è incrinato, cioè nel momento peggiore per scoprire che non sai dove sono i loro dati.
Fin qui è tutto ragionevole, e un imprenditore serio è il primo a trovare giusto che una persona possa sapere cosa custodisci su di lei. Questo è il punto da cui partiamo: l’articolo 15 è sacrosanto, e il diritto di accesso è sano. Il punto non è se la norma esista o se ti riguardi. Ti riguarda. Il punto è un altro, ed è il motivo per cui sei finito su questa pagina: il giorno in cui qualcuno ti chiede di vedere tutto quello che hai su di lui, sapresti metterlo insieme, o partiresti a caccia su sei programmi?
Accesso non è cancellazione: l’articolo 15 ti chiede di mostrare, non di far sparire
Cominciamo da una distinzione che leva metà della confusione. C’è un articolo vicino, fratello di questo, con cui l’articolo 15 viene quasi sempre confuso: il diritto alla cancellazione, il famoso diritto all’oblio. Sono due cose diverse e vale la pena tenerle separate, perché ti chiedono lavori opposti.
L’articolo 15 ti chiede di mostrare: fammi vedere cosa hai, da dove arriva, a chi l’hai dato, dammene una copia. Il dato resta dov’è, tu lo fotografi e lo consegni. L’altro, quello di cui parlo per intero nel pezzo sul diritto all’oblio e la cancellazione dei dati, ti chiede l’opposto: far sparire quel dato da ovunque si trovi. Uno è una fotografia, l’altro è una cancellazione. Spesso arrivano insieme nella stessa email (“fatemi vedere tutto e poi cancellate tutto”), ma sono due gesti distinti, e qui parliamo del primo: il mostrare.
Ed è qui che casca l’asino, perché mostrare sembra il più facile dei due e invece, col backend a pezzi, ti mette in difficoltà per primo. Per far sparire un dato ti basta trovarlo e premere cancella. Per rispondere a una richiesta di accesso devi ricostruire un quadro completo. Non basta dire “sì, ti ho nel gestionale”: devi dire dove sei, perché ti tratto, da chi ti ho ricevuto, a chi ti ho passato, per quanto ti tengo. È un censimento di una persona sola, e lo devi fare a mano se i suoi dati vivono sparpagliati.
Non hai un problema con l’articolo 15. Hai un problema con dei dati che dovresti saper mostrare in un quadro solo e che invece sono spalmati su sei posti: la richiesta è semplice, è la tua azienda a essere complicata.
E qui c’è una distinzione che ti toglie metà delle preoccupazioni, se la conosci. Un avvocato o un consulente bravo fa un lavoro vero: scrive l’informativa che dichiara questo diritto, ti spiega in che tempi rispondere, ti dice cosa puoi legittimamente trattenere e cosa no. È il loro mestiere, ed è prezioso. Ma c’è una cosa che il documento non può fare al posto tuo: andare a prendere i dati. La carta descrive il diritto della persona; quando la richiesta arriva, sei tu (i tuoi programmi, le tue caselle, i fogli del tuo staff) a dover trovare quel cliente e ricostruirne il quadro. Il diritto è il campo del legale; raccogliere tutto quello che hai su una persona, in un mese, è un altro lavoro. Non sono due mestieri in conflitto: sono due metà della stessa cosa che, se non si parlano, ti lasciano scoperto.
Lo stesso cliente vive in sei posti, e l’articolo 15 ti chiede di fotografarli tutti
Mettiamo che tu abbia tutto in regola sulla carta: l’informativa giusta, il diritto di accesso dichiarato come si deve, le scadenze chiare. Resta il fatto che i dati di quel cliente, una volta entrati in azienda, non stanno fermi in un posto solo. Si muovono, si copiano, si spargono. Ed è qui che nasce il guaio vero, quello operativo, di cui l’articolo 15 è solo lo specchio.
Pensa a cosa succede dietro le quinte dopo un solo contatto. La persona compila un modulo sul sito, e il suo nome entra nel gestionale. La sua email finisce nello strumento con cui mandi la newsletter. Il commerciale se la salva nel suo Excel, sul suo portatile. Lo storico delle conversazioni vive nella casella di posta, su un altro computer. Qualche scambio è rimasto su WhatsApp. La fattura sta nel programma di fatturazione. Lo stesso cliente, dopo un solo passaggio, vive in sei posti diversi, ognuno con la sua copia di un dato che non torna mai uguale. È la definizione di un Frankenstein operativo: pezzi cuciti a mano, nessuno che parla con gli altri.
Il risultato lo conosci anche se non l’hai mai chiamato così. Arriva l’email: “vorrei sapere tutti i dati che avete su di me, da dove li avete presi e a chi li avete dati”. Tu apri il gestionale e copi. Apri lo strumento della newsletter e copi. Apri l’email e scorri due anni di scambi. Poi ti ricordi del foglio del commerciale, che però è sul suo portatile e magari oggi è in ferie. Poi della chat. Metti insieme un quadro a pezzi e per tutto il tempo ti resta il dubbio di aver dimenticato un posto. Hai risposto, sì, ma “a memoria”, sperando che fosse tutto. E “sperando” è esattamente la parola che non vuoi usare quando rispondi a una richiesta scritta su cui parte un orologio.
C’è un dettaglio dell’articolo 15 che rende il quadro ancora più scomodo: non ti chiede solo “quali dati hai”, ti chiede anche da dove arrivano e a chi li hai dati. Cioè la storia del dato, non solo il dato. Con i contatti sparsi su sei isole, la provenienza la ricostruisci a fatica e i destinatari ancora meno: a chi è finito davvero questo nome, in due anni di lavoro? La richiesta è semplice da scrivere per il cliente. È difficile da onorare per te, e non per colpa della legge.
E c’è il lato proprietà, che con questa richiesta pesa. Diversi di quei sei posti non sono nemmeno tuoi: una chat su un’app altrui, un account in affitto, il telefono personale di chi lavora con te. Quando devi mostrare “tutto quello che ho su questa persona”, una parte di quel “tutto” vive su strumenti che controlli a metà, a cui accedi finché paghi e finché quel servizio esiste. Mostrare per intero qualcosa che possiedi solo in parte è una promessa che il sottosuolo operativo fa fatica a mantenere.
Il modo più rapido per dirlo: l’articolo 15 non ti chiede una carta più severa, ti chiede di saper raccontare in un quadro solo tutto quello che hai su una persona, e di farlo in un mese. Lo si ottiene facendo confluire i dati di clienti, contatti e dipendenti in un archivio unico dove ogni persona vive una volta sola: un database tuo, sotto il tuo controllo, dove la storia di un contatto (da dove è arrivato, a chi è passato, da quanto lo tieni) è scritta in un punto solo. Da lì, quando arriva la richiesta di accesso, c’è un posto solo dove guardare. È lo stesso principio che vale per cosa significa davvero il GDPR per la tua azienda: non una carta più bella, un sottosuolo dove la carta diventa vera.
Cosa ti chiede l’articolo 15, e cosa fa il tuo backend sotto
L’articolo 15 non dice solo “fammi vedere i dati”. Aggiunge richieste concrete, e ognuna diventa difficile quando i dati sono sparsi. Messe a confronto si vede subito dove si rompe il giocattolo.
| Dati sparsi nei sei posti | Dati in un posto solo, tuo | |
|---|---|---|
| ”Quali dati avete su di me” | Caccia su sei programmi, a memoria | Una ricerca, un quadro completo |
| Da dove arriva il dato | Quasi impossibile da ricostruire | Scritto: la storia del contatto è lì |
| A chi l’avete dato | Difficile dire dove è finito davvero | Tracciato: i passaggi sono noti |
| Una copia dei dati | Ricuci a mano sei file diversi | La esporti in un gesto, completa |
| Entro un mese | Corri sempre dietro al tempo | Il tempo che serve a una ricerca |
| Chi li ha visti dentro l’azienda | Impossibile da dire | Registrato: si sa chi ha aperto cosa |
| Sei sicuro di aver mostrato tutto | No, hai risposto sperando | Sì, perché c’è un posto solo da guardare |
Letta così, sparisce la domanda sbagliata (“ho il diritto di accesso scritto nell’informativa?”) e resta quella giusta: se un cliente domani mi chiede di mostrargli tutto quello che ho su di lui, da dove arriva e a chi l’ho dato, lo so ricostruire in un quadro solo, o devo rincorrere i suoi dati su sei programmi sperando di non dimenticarne nessuno?
Prima di rispondere alla prossima richiesta di accesso, scopri a che punto sei davvero: il voto di conformità della tua azienda in pochi minuti, gratis e senza carta di credito.
Una richiesta di accesso che non sai onorare ti costa due volte: in lavoro e in esposizione
Tenere i dati sparsi su sei programmi mentre la legge ti chiede di saperli mostrare in un quadro solo ti presenta il conto da due lati nello stesso momento.
Dal lato del lavoro sprecato: ogni richiesta di accesso che arriva ti ruba mezza giornata, a volte di più. Parti a esportare da un programma, copi da un altro, scorri due anni di email, rincorri il foglio del commerciale, e ricostruisci a mano un quadro che dovrebbe essere a portata di clic. È un lavoro a perdere, che non produce niente, e che torna ogni volta che qualcuno esercita questo diritto. L’avvocato che ti ha scritto l’informativa ha fatto bene il suo mestiere, ma il documento giusto non ti raccoglie i dati al posto tuo: quel lavoro resta a te, e con il backend a pezzi è sempre lento e sempre incerto.
Dal lato del rischio concreto: il mese passa in fretta, e una richiesta di accesso ignorata o evasa a metà non è una sbavatura, è una scopertura vera. Se rispondi “ecco i tuoi dati” e poi salta fuori che ne avevi altri tre in un posto che non hai guardato, hai dato una risposta incompleta a una richiesta formale. E se è il cliente arrabbiato di cui dicevamo, è proprio lui a controllare se gli hai mostrato tutto. La distanza tra quello che la carta promette e quello che il backend riesce a mostrare diventa visibile tutta insieme, e ricade nella fascia di rischio che il GDPR collega a chi non sa governare i propri dati. Quello che ti difende, quel giorno, non è l’aver scritto bene il diritto nell’informativa: è il poter dimostrare le misure e l’ordine che hai adottato, cioè saper dire dove stanno i dati, da dove arrivano, chi li ha visti.
Qui l’articolo 15 smette di essere un argomento da avvocati e diventa un pezzo del tuo backend operativo, cioè della macchina che fa girare l’azienda sotto le carte. Il principio è lo stesso che applico ovunque: il dato vive in un posto solo, tuo, con scritta la sua storia e un registro di chi lo tocca. Da lì discendono in automatico le cose che l’articolo 15 ti chiede e che sparso non puoi mantenere: mostrare in un quadro la provenienza e i destinatari di un contatto, consegnarne una copia completa, rispettare il mese senza affannarti. È lo stesso percorso della guida all’adeguamento GDPR per le PMI: si parte sempre da dove vivono i dati, non dalla carta. Non un documento migliore: un sottosuolo dove “fatemi vedere tutto” è un’operazione sola.
La domanda non è “ho scritto il diritto di accesso nell’informativa”. È: se un cliente me lo esercita oggi, gli so mostrare in un quadro solo tutto quello che ho, da dove arriva e a chi l’ho dato, o i suoi dati sono ancora sparsi su sei posti che non controllo del tutto?
Cinque domande oneste su cosa faresti alla prossima richiesta di accesso
Non serve una consulenza da migliaia di euro per capire se sapresti onorare una richiesta di accesso o se sei scoperto. Bastano cinque domande.
- Se un cliente domani ti scrive “fatemi vedere tutti i dati che avete su di me”, lo sai ricostruire di getto, o dovresti rincorrere sei file diversi sperando di non saltarne nessuno?
- L’articolo 15 ti chiede anche da dove arriva un dato e a chi l’hai passato: lo sapresti dire per un cliente preso a caso, o è una storia che si è persa per strada?
- Quanti posti diversi dovresti aprire per mettere insieme tutto quello che hai su una persona sola: gestionale, email, fogli, chat, fatturazione, portatili?
- Hai un mese per rispondere: oggi quanto ci metteresti davvero, e quanto saresti sicuro di aver mostrato proprio tutto?
- Una parte di quei dati vive su strumenti che non sono tuoi (una chat, un account in affitto, il telefono di chi lavora con te): la sapresti recuperare per intero, o resterebbe fuori dal quadro?
Se a queste domande hai risposto con un sospiro, non sei nei guai: sei nella situazione di quasi tutte le PMI italiane, che hanno il diritto di accesso scritto bene sulla carta e un backend disordinato sotto. La differenza non la fa sapere a memoria il testo dell’articolo 15, ma sapere con precisione dove vivono oggi i dati di una persona e quanto sapresti raccoglierli in fretta. E questo lo puoi misurare adesso, da solo, in pochi minuti.
GDPR Quick Audit · il voto di conformità del tuo sito
Rispondi a poche domande sulla tua azienda (cosa raccogli, dove tieni davvero i dati dei clienti, chi vi accede, come gestiresti una richiesta di vedere tutto quello che hai su una persona) e in pochi minuti hai un voto chiaro su quanto saresti davvero in grado di onorare una richiesta di accesso e dove sei più scoperto. Niente gergo da avvocato, solo dove intervenire per primo.
Inserisci i dati e parti. Senza carta di credito. Il risultato lo salvi nella tua Officina con la sola email, se vuoi tenertelo.
Il voto è il punto di partenza. Dice quanto saresti pronto oggi; cosa farne, lo decidi tu.
Le domande che ti stai facendo adesso
Cos’è il diritto di accesso dell’articolo 15 del GDPR?
È il diritto della persona a sapere e a vedere quali dati personali custodisci su di lei. In pratica il cliente ti scrive “fatemi vedere tutto quello che avete su di me” e tu sei tenuto a rispondere. Ma l’articolo 15 va oltre la semplice lista: la persona può chiederti anche perché tratti quei dati, da dove li hai presi se non glieli ha dati lui, a chi li hai passati, per quanto tempo li tieni, e una copia dei dati in mano. È una fotografia completa di quello che la tua azienda sa di una persona sola. Sulla carta è una frase nell’informativa; nei fatti è un’operazione che riesce solo se i dati di quella persona vivono in un posto che puoi controllare, e non sparsi su sei programmi che non si parlano.
Qual è la differenza tra l’articolo 15 e il diritto all’oblio?
Sono due diritti vicini ma opposti, e vale la pena non confonderli. L’articolo 15 è il diritto di accesso: ti chiede di mostrare i dati, da dove arrivano e a chi li hai dati, e di darne una copia. Il dato resta dov’è. Il diritto all’oblio, l’articolo 17, è il diritto alla cancellazione: ti chiede di far sparire quei dati. Uno è una fotografia, l’altro è una cancellazione. Spesso arrivano insieme nella stessa richiesta, ma sono due gesti distinti. Del secondo parlo per esteso nel pezzo sul diritto all’oblio e la cancellazione dei dati. Quello che li accomuna è che entrambi diventano difficili, e per lo stesso motivo, quando i dati di una persona vivono in sei posti diversi.
Quanto tempo ho per rispondere a una richiesta di accesso?
Hai un termine entro cui rispondere, di norma un mese dalla richiesta, non puoi ignorarla o rimandarla a piacere. Il problema pratico non è il termine in sé: è che se i dati sono sparsi, anche solo metterli insieme ti porta via giorni, e rischi di rispondere “ecco tutto” quando invece ne è rimasto un pezzo in un posto che non hai guardato. Con i dati in un posto solo, la richiesta la chiudi nel tempo che serve a una ricerca. Con il backend a pezzi, corri sempre dietro al tempo. Per le scadenze precise e le eccezioni affidati a chi cura la parte legale: io ti dico solo che il mese si rispetta molto più facilmente quando i dati stanno in un punto solo.
Cosa devo consegnare di preciso al cliente che esercita l’accesso?
In sintesi, una fotografia completa: i dati che hai su di lui, le finalità per cui li tratti, i destinatari a cui li hai passati, da quanto tempo li conservi, da dove li hai ottenuti se non glieli ha dati lui di persona, e una copia dei dati stessi. Quali eccezioni esistano e come formulare la risposta sul piano legale è il mestiere di un consulente o di un avvocato, e fanno bene a curarlo loro. Quello che resta a te è la parte operativa: andare a recuperare per davvero tutte queste informazioni. Ed è la parte che si rompe se i dati di quella persona, e la loro storia, sono sparpagliati su sei isole che non si parlano.
La mia azienda è piccola, mi arriverà mai una richiesta di accesso?
Più spesso di quanto pensi, e quasi sempre nel momento peggiore. La richiesta di accesso non te la manda il cliente contento: te la manda chi ha deciso di chiuderti i conti, l’ex dipendente uscito male, chi ha ricevuto una pubblicità che non si aspettava e vuole capire dove hai preso il suo contatto. È lo strumento che le persone usano proprio quando il rapporto si è incrinato. La dimensione dell’azienda non c’entra: una SRL con cinque dipendenti è tenuta a rispondere come una multinazionale. Cambia che la multinazionale ha un ufficio per farlo, tu hai te stesso e mezza giornata persa.
Da dove inizio, senza impegno?
Dagli strumenti diagnostici gratuiti: misuri in pochi minuti quanto saresti davvero in grado di mostrare tutto quello che hai su una persona (dove vivono i dati, da dove arrivano, chi vi accede), senza carta di credito e senza parlare con nessuno. Poi, se ha senso, ne parliamo.
Puoi continuare a tenere i dati dei tuoi clienti sparsi in sei posti, sperando che nessuno ti chieda mai di mostrarli tutti. Oppure puoi sapere, con un numero, quanto saresti pronto a rispondere alla prossima richiesta di accesso.
Smetti di sperare che nessuno te lo chieda. Mettiti in condizione di mostrare tutto in un gesto.
La maggior parte degli imprenditori che mi scrive non ha un problema con l’articolo 15 come norma. Spesso non pensa nemmeno che possa arrivargli una richiesta di accesso, e quando arriva scopre che i dati di quel cliente vivono dove vivono tutti gli altri: nel gestionale, nella casella email, nel foglio del commerciale, nella chat, nel programma di fatturazione. La legge gli chiede una fotografia completa in un mese; la realtà gli offre sei isole che non si parlano.
Una carta più severa non lo risolve, perché il buco non è nell’informativa: è in dove finiscono a vivere i dati che dovresti poter mostrare, e nella storia di quei dati che si è persa per strada. Lo risolve far confluire tutto in un posto solo che è tuo, un archivio unico dove ogni persona vive una volta sola, con scritta la sua provenienza e i suoi passaggi, e un registro di chi l’ha aperta. Così “fatemi vedere tutto” diventa una ricerca e una copia, invece di una caccia al tesoro a memoria. E quando il cliente, nella stessa email, ti chiede anche di cancellare i suoi dati, parti dallo stesso posto. Poi l’avvocato scrive un’informativa che descrive un sistema in ordine, invece di rincorrere un caos. Se vuoi vedere il percorso intero, passo per passo, c’è la guida all’adeguamento GDPR per le PMI: si parte sempre da dove vivono i dati, non dalla carta.
Non ti chiedo di firmare niente e non ti chiedo di credermi. Non sono un avvocato e non ti vendo la conformità garantita: l’interpretazione legale la cura chi di dovere, e fa un mestiere vero. Io sigillo i buchi operativi sotto le carte: metto i dati in un posto solo, tuo, con la loro storia e un registro di chi li tocca, così che il diritto di accesso che il legale scrive nell’informativa tu lo possa onorare per davvero, in un gesto. Ti chiedo solo di guardare il voto della tua azienda, gratis, in pochi minuti. Se quello che vedi ti suona familiare, andiamo avanti. Se non fa per te, chiudiamo qui senza rancore.
Un cliente, prima o poi, ti chiederà di vedere tutto quello che hai su di lui. Adesso scopri se glielo sapresti mostrare in un gesto, o se partiresti a caccia su sei programmi!
Strumenti gratuiti. Senza carta di credito. Senza parlare con nessuno.
