Cos’è una DSAR e perché dovrebbe interessarti
Una DSAR (Data Subject Access Request) è una richiesta con cui una persona esercita il diritto di sapere quali dati personali un’organizzazione possiede su di lei e come vengono utilizzati.] [Una DSAR (Data Subject Access Request) è una richiesta con cui una persona esercita il diritto di sapere quali dati personali un’organizzazione possiede su di lei e come vengono utilizzati.
Immagina di ricevere un’email da un ex cliente che scrive: “Voglio sapere quali dati avete su di me.”
Niente di strano, in apparenza.
Eppure quella semplice richiesta è una DSAR, una Data Subject Access Request. E il modo in cui la gestisci può fare la differenza tra una richiesta gestita correttamente e un reclamo dell’interessato al Garante privacy.
Gli articoli dal 15 al 22 del GDPR riconoscono a ogni persona una serie di diritti sui propri dati personali: dall’accesso alla rettifica, dalla cancellazione alla portabilità. La richiesta di accesso, disciplinata dall’articolo 15, è la più frequente, ma una DSAR può riguardare l’esercizio di qualsiasi diritto dell’interessato.
Non serve che chi scrive usi formule giuridiche o citi l’articolo di legge. Qualsiasi richiesta relativa alle informazioni che lo riguardano, inviata via email, PEC, messaggio sui social o persino formulata a voce, è una DSAR valida a tutti gli effetti.
Per le aziende, questo significa una cosa precisa: serve un processo chiaro per la gestione delle DSAR. E serve prima che arrivino, non dopo.
Gestione DSAR: quanto tempo hai per rispondere e cosa succede se non lo fai
Il GDPR fissa un termine chiaro: il titolare deve rispondere senza ingiustificato ritardo e comunque entro un mese di calendario, calcolato dal giorno successivo alla ricezione della richiesta. Il termine è prorogabile di due mesi ulteriori nei casi di particolare complessità, a condizione che l’interessato venga informato della proroga entro il primo mese. Non è una raccomandazione: è un obbligo.
Indipendentemente dal canale utilizzato, se la DSAR arriva il 5 marzo, il mese parte dal 6 marzo. È una scadenza precisa prevista dal GDPR, non indicativa.”
Cosa succede se non rispondi o rispondi in ritardo?
La persona che ha esercitato il diritto può presentare reclamo al Garante per la protezione dei dati personali.
E il Garante, come dimostrano numerosi provvedimenti degli ultimi anni, non è indulgente con chi ignora o gestisce in modo scorretto le richieste di accesso ai dati.
Le sanzioni per violazioni del GDPR continuano, infatti, a crescere: secondo i dati del GDPR Enforcement Tracker, nel 2025 le autorità per la protezione dei dati hanno emesso centinaia di provvedimenti, per un valore complessivo superiore al miliardo di euro.
Non tutte riguardano le DSAR, naturalmente. Tuttavia, non è raro che un procedimento dell’Autorità nasca proprio dal mancato riscontro a una richiesta di accesso ai dati personali.
I 5 errori più comuni nella gestione delle DSAR
Molte aziende non ignorano le DSAR intenzionalmente. Più spesso non le riconoscono, non sanno a chi assegnarle o non hanno una procedura.
Ecco gli errori che si ripetono più spesso.
1. Non riconoscere la richiesta per quello che è.
Un cliente scrive al servizio clienti chiedendo quali informazioni l’azienda conservi su di lui. Il team risponde con indicazioni commerciali generiche, senza rendersi conto che quella richiesta rientra nei diritti di accesso previsti dal GDPR.
Non è necessario che chi scrive citi l’articolo 15 o utilizzi il termine “DSAR”. Se una persona chiede di conoscere quali dati personali siano trattati su di lei, quella è a tutti gli effetti una richiesta di accesso.
2. Non verificare l’identità del richiedente.
Rispondere a una richiesta senza verificare chi la sta presentando può comportare rischi significativi. Se le informazioni vengono inviate alla persona sbagliata, si può verificare una violazione dei dati personali (data breach).
Per questo il GDPR prevede che il titolare del trattamento possa, e in molti casi debba, chiedere informazioni aggiuntive per verificare l’identità dell’interessato prima di fornire una risposta.
Attenzione però: la verifica deve essere proporzionata alla richiesta.
Chiedere copia della carta d’identità a chi vuole cancellarsi da una newsletter è una misura eccessiva e non conforme al principio di minimizzazione. Il livello di verifica va calibrato sulla natura della richiesta e sulla sensibilità dei dati coinvolti.
3. Rispondere in modo incompleto.
Una DSAR non si esaurisce con l’invio dei dati presenti in un CRM o in un gestionale.
L’articolo 15 del GDPR richiede, infatti, di fornire anche informazioni specifiche: le finalità del trattamento, le categorie di dati trattati, i destinatari a cui le informazioni sono state o saranno comunicate, i periodi di conservazione e, se i dati non sono stati raccolti direttamente presso l’interessato, la loro origine.
Una risposta parziale può essere considerata dal Garante alla stregua di un mancato riscontro.
4. Non avere idea di dove siano i dati.
In molte PMI le informazioni personali sono distribuite tra sistemi diversi: gestionali, fogli Excel, email, CRM e backup. Senza una mappatura aggiornata dei trattamenti diventa molto difficile fornire una risposta completa a una DSAR entro i termini previsti dal GDPR.
5. Gestire tutto “a mano”, senza una procedura.
Le prime richieste di accesso possono essere gestite in modo informale. Con il tempo, però, il rischio di errori aumenta: le scadenze si avvicinano, le informazioni vanno recuperate da più sistemi e la risposta rischia di diventare incompleta o tardiva.
Senza una procedura definita, ogni DSAR finisce per essere gestita come un caso urgente, con conseguenze organizzative e legali che possono diventare rilevanti.
Come gestire una DSAR nel modo corretto: i passaggi chiave
La gestione di una DSAR richiede una procedura chiara e passaggi ben definiti. Di seguito gli elementi fondamentali che ogni azienda dovrebbe avere già predisposto.
Ricezione e registrazione.
Ogni richiesta dovrebbe essere registrata immediatamente, annotando la data di ricezione (che fa partire il termine di un mese previsto dal GDPR), il canale attraverso cui è arrivata e la tipologia di richiesta.
Anche un semplice registro interno può essere sufficiente, purché sia aggiornato e facilmente consultabile.
Verifica dell’identità.
Prima di trasmettere qualsiasi informazione, è necessario accertare che chi richiede l’accesso sia effettivamente l’interessato.
La verifica può essere effettuata utilizzando le informazioni già disponibili presso l’organizzazione, evitando di raccogliere dati aggiuntivi non necessari.
Raccolta dei dati.
In questa fase entra in gioco la mappatura dei trattamenti.
Occorre individuare tutti i sistemi in cui sono conservate informazioni riferite alla persona che ha presentato la richiesta: non solo il database principale, ma anche email, archivi cartacei, CRM, piattaforme esterne e backup.
Le Linee guida 1/2022 dell’EDPB precisano che le informazioni fornite devono essere complete, corrette e aggiornate allo stato del trattamento al momento della richiesta.
Preparazione della risposta.
La risposta deve includere una copia delle informazioni personali trattate e tutte le indicazioni previste dall’articolo 15 del GDPR: finalità del trattamento, categorie di dati, destinatari, tempi di conservazione, diritti dell’interessato ed eventuale origine delle informazioni se non raccolte direttamente presso l’interessato.
Il formato deve essere chiaro e accessibile. Se la richiesta è stata presentata per via elettronica, anche la risposta dovrebbe essere fornita in un formato elettronico di uso comune.
Invio e archiviazione.
La risposta deve essere inviata entro i termini previsti dal GDPR.
È inoltre opportuno conservare copia della documentazione relativa alla gestione della richiesta (richiesta ricevuta, verifiche effettuate, risposta inviata e data di invio) per dimostrare la conformità in caso di controlli.
Un periodo di conservazione di 12–24 mesi per questo tipo di documentazione è generalmente considerato una prassi ragionevole, anche se la normativa non prevede un termine specifico.
Perché sempre più aziende esternalizzano la gestione delle DSAR
Le DSAR non sono più un’eventualità rara. Sempre più cittadini sono consapevoli dei propri diritti in materia di dati personali e il volume delle richieste tende ad aumentare.
Per un’azienda che ne riceve poche all’anno, gestirle internamente può essere sostenibile. Ma quando il numero cresce o quando manca personale formato sul tema, il rischio di errori e ritardi aumenta rapidamente.
L’esternalizzazione della gestione delle DSAR a un team specializzato offre vantaggi concreti.
Innanzitutto, la certezza del rispetto dei tempi: un servizio dedicato ha procedure rodate per garantire risposte entro i termini di legge.
Poi, la completezza: professionisti che lavorano quotidianamente con il GDPR sanno esattamente quali informazioni includere nella risposta e come strutturarla.
Infine, la documentazione: ogni passaggio viene tracciato, creando un archivio che protegge l’azienda in caso di verifiche.
Non si tratta di delegare la responsabilità, quella resta sempre in capo al titolare del trattamento. Si tratta di dotarsi degli strumenti giusti per adempiere a quell’obbligo senza trasformarlo in un collo di bottiglia operativo.
Domande frequenti sulla gestione delle DSAR
La DSAR deve arrivare per PEC o in forma scritta per essere valida?
No. Il GDPR non prevede alcun requisito formale per la presentazione di una DSAR. Può arrivare via email ordinaria, tramite un modulo sul sito, per messaggio sui social media o addirittura a voce. L’azienda non può imporre un canale esclusivo per l’invio delle richieste.
Posso addebitare un costo per rispondere?
In linea di principio no: l’esercizio dei diritti è gratuito per l’interessato. Il titolare può chiedere un contributo ragionevole solo se le richieste sono manifestamente infondate o eccessive, ad esempio perché ripetitive (art. 12, par. 5, GDPR). In questi casi, però, spetta al titolare dimostrare che la richiesta è effettivamente infondata o eccessiva.
Cosa faccio se la richiesta riguarda anche dati di altre persone?
Devi comunque rispondere, ma non puoi comunicare i dati personali di terzi senza una base giuridica che lo consenta (art. 15, par. 4, GDPR). In questi casi è necessario oscurare o eliminare le informazioni riferite ad altre persone prima di inviare la risposta.
Posso rifiutare una DSAR?
Solo in circostanze molto limitate: se la richiesta è manifestamente infondata o eccessiva, oppure se il diritto di accesso è limitato da specifiche disposizioni normative (ad esempio, per la tutela di diritti altrui o per motivi di sicurezza nazionale). In ogni caso, il rifiuto va motivato e comunicato all’interessato entro il termine di un mese, informandolo della possibilità di presentare reclamo al Garante.
Non aspettare il reclamo per organizzarti
Le DSAR non riguardano solo le grandi aziende. Oggi la maggior parte delle organizzazioni tratta dati personali e una richiesta di accesso ai dati può arrivare in qualsiasi momento.
Chi ha già definito una procedura interna riesce a gestirla in modo ordinato e nei tempi previsti. Chi non è preparato rischia invece ritardi, risposte incomplete e possibili reclami al Garante.
Avere una procedura chiara, sapere dove sono conservate le informazioni e definire chi deve gestire queste richieste non è burocrazia: è un modo concreto per proteggere l’organizzazione e ridurre i rischi.
La tua azienda è pronta a gestire una richiesta di accesso ai dati?