Linee Guida dell’EDPB: uno spunto sul diritto di accesso tra interessato e titolare
A seguito dell’adozione, lo scorso 28 marzo, delle Linee guida in materia da parte dell’European Data Protection Board (EDPB o Comitato Europeo per la Protezione dei Dati Personali) e dell’emanazione di alcune pronunce giurisprudenziali, è cresciuto l’interesse di studiosi e operatori nei confronti del diritto di accesso.
I dati personali che sono oggetto di una pluralità di trattamenti, determinano una posizione di debolezza dell’interessato che si trova spesso in una posizione di debolezza nei confronti del titolare.
In merito, il GDPR ha creato un assetto normativo robusto e coerente, impreziosito da alcune disposizioni che sanciscono i c.d. diritti dell’interessato, di cui il titolare deve impegnarsi ad assicurarne l’esercizio.
Tra questi, il diritto di accesso ai propri dati personali, già previsto nella Carta dei diritti fondamentali dell’Unione Europeo all’art. 8, rappresenta un caposaldo della Data Protection, anche in virtù del suo carattere propedeutico all’esercizio di altri diritti.
Gli atti menzionati hanno in comune la volontà di garantire all’interessato la massima trasparenza relativamente ai trattamenti che coinvolgono suoi dati personali.
Il GDPR mette a disposizione dell’interessato una serie di strumenti volti a garantirgli la possibilità di intervenire sui trattamenti aventi ad oggetto propri dati personali. Tra questi, il diritto di accesso riveste sicuramente un ruolo peculiare: da un lato rappresenta un diritto a sé stante, dall’altro risulta, spesso, propedeutico all’esercizio di altri diritti. L’art. 15 GDPR, statuisce che l’interessato ha il diritto di ottenere dal titolare del trattamento una serie di informazioni, che rappresentano una sorta di “aggiornamento” rispetto a quelle fornite ai sensi degli artt. 13 e 14 del Regolamento Europeo. L’esercizio del diritto di accesso è difatti da intendersi, come occasione per l’interessato di avere contezza dei trattamenti che vengono effettuati sui suoi dati personali, ottenendo la conferma di quanto già conosciuto attraverso l’informativa fornita dal titolare in sede di raccolta dati e una serie di informazioni ulteriori. L’interessato, infatti, deve essere edotto circa la sussistenza, o meno, di un trattamento sui suoi dati, deve essergli fornita copia dei dati oggetto di trattamento e deve avere accesso a tutte le informazioni relative al trattamento.
L’EDPB, attraverso le Linee Guida in materie adottate lo scorso 28 marzo, ha osservato che l’interessato ha il diritto di ottenere, con alcune eccezioni, tutti i dati a lui riferiti (non la mera indicazione delle categorie) e deve essere messo nella posizione di conoscere, addirittura, eventuali trattamenti illeciti oppure dati inesatti.
C’ò fa da trait d’union con il secondo significato del diritto d’accesso: la strumentalità all’esercizio di altri diritti. A seguito della risposta all’istanza volta all’ottenimento dell’accesso dei propri dati personali, l’interessato è messo nella posizione di poter esercitare altri diritti, sebbene non sia condizione necessaria per farlo.
La Corte di Giustizia dell’Unione e Europea, in una recente sentenza del 04/05/2023 n. 487, ha sintetizzato bene quanto detto in precedenza. Il caso di specie vede contrapposti un’agenzia di consulenza commerciale e il ricorrente, che aveva richiesto alla società di avere accesso ai dati personali che lo riguardassero, ritenendo che l’art. 15 del GDPR gli permettesse di ottenere anche una copia degli estratti di banche dati contenti, appunto, i suoi dati personali. In risposta alla richiesta dell’interessato, l’agenzia aveva trasmesso un mero elenco di categorie di dati e di destinatari relativi ai trattamenti riferibili all’interessato.
La Corte ha stabilito che il diritto di ottenere dal titolare del trattamento una copia dei dati personali oggetto di trattamento implica che sia consegnata all’interessato “una riproduzione fedele intelligibile dell’insieme di tali dati”. Pertanto, detto diritto presuppone quello di ottenere copia di estratti di documenti o addirittura di documenti interi o, ancora, di banche dati contenenti dati personali riferiti all’interessato, se la fornitura di una siffatta copia è indispensabile per consentire all’interessato stesso di esercitare effettivamente i diritti conferitigli dal GDPR, fermo restando che occorre tenere conto, al riguardo, dei diritti e delle libertà altrui.
Infine si chiarisce che se da un lato il diritto di accesso rappresenta un’opportunità, sul fronte dei titolari del trattamento l’istanza avanzata dall’interessato risulta, indiscutibilmente, un adempimento con cui dover fare i conti.
Infatti, sebbene il GDPR non vincoli il titolare a pesanti procedure standardizzate per rispondere alle richieste di accesso, il titolare è comunque tenuto a gestirle e ad evaderle in modo efficiente, nel pieno rispetto del principio di accountability. Il titolare, infatti – lo ribadisce l’EDPB nelle Linee Guida, ma viene previsto anche dal GDPR – deve fornire tutte le informazioni richieste dall’art. 15 del Regolamento in modo snello e comprensibile all’interessato. Inoltre, la richiesta deve essere evasa entro il termine di 1 mese, prorogabile a 2 in particolari casi. I dati devono essere comunicati in modo completo, chiaro e corretto: nel pieno rispetto del principio di Trasparenza, il titolare deve rendere noti, come anticipato, anche dati inesatti o trattamenti illecitamente.
In conclusione, l’esercizio del Diritto di accesso ai dati personali, come ricostruito, rappresenta uno dei momenti topici in cui, durante il trattamento, la condotta del titolare viene valutata alla luce del principio di Liceità, correttezza e Trasparenza.