la centralità del dato

Accesso ai dati, Pizzetti: “Le linee guida EDPB uno snodo cruciale. Ecco perché”

Le Linee Guida dei Garanti europei sono state elaborate nella piena consapevolezza della centralità che i dati come tali (e dunque non solo i dati personali) hanno nella società digitale e di quanto importante sia il “possesso” dei dati stessi. Ecco i motivi per cui si tratta di un documento di estrema importanza

Pubblicato il 07 Feb 2022

Franco Pizzetti

professore emerito diritto costituzionale all'Università di Torino, ex Garante Privacy

big data

Il 18 gennaio 2022, il Comitato europeo per la Protezione dei Dati (EDPB) ha adottato nuove Linee Guida sul diritto di accesso dell’interessato ai propri dati personali trattati da un titolare (art. 15 del GDPR).

Se ben lette e comprese, le Linee Guida chiariscono che al centro della regolazione europea, e comunque del diritto nell’epoca digitale, non stanno solo (né soprattutto) i dati personali ma i dati in quanto tali e sembrano segnare l’avvio concreto di una nuova grande avventura per le Autorità di protezione dati e per tutti i regolatori che governano la nostra comune convivenza: l’avventura di costruire un nuovo grande “Corpus Iuris” che sappia traghettare nell’epoca digitale le grandi conquiste giuridiche ed etiche del mondo greco-romano sulle quali la civiltà occidentale ha costruito tutto il suo sviluppo.

Accesso ai dati personali: diritto incondizionato o pretesa da motivare? Le “risposte” del Gdpr

Il documento

Le Linee Guida, dopo la loro pubblicazione in G.U. della UE, dal 28 gennaio dello stesso anno sono sottoposte a consultazione pubblica per un periodo di sei settimane allo scadere del quale lo EDPB procederà a una analisi delle reazioni alla proposta per pervenire poi alla definitiva adozione.

Si tratta di un documento corposo, costituito da ben 60 pagine che, pur senza contenere rilevanti novità, tratta una ampia serie di interrogativi essenziali relativi al diritto di accesso come disciplinato nel GDPR. Esso comprende infatti anche i criteri che il titolare del trattamento deve seguire nell’analizzare una richiesta dell’interessato, nello stabilire la sua identità, nel valutare lo scopo che l’esercizio del diritto di accesso intende concretamente perseguire. Inoltre, il documento costituisce anche una guida su come il titolare può, e deve, corrispondere alla richiesta e precisa i limiti che il diritto di accesso incontra nel GDPR.

Nel loro insieme queste Linee Guida contengono rilevanti chiarimenti su come le Autorità nazionali che compongono l’EDPB interpretano il diritto di accesso e dunque costituiscono, e ancor più costituiranno dopo la loro definitiva adozione, una pietra miliare per garantire anche la uniformità di applicazione del diritto di accesso in tutto lo EEA. L’uniformità di applicazione nei Paesi membri delle disposizioni del GDPR è infatti una preoccupazione costante dello EDPB come anche una lettera della Presidente Andrea Jelinek, approvata nella stessa seduta dallo EDPB, testimonia e ripete mentre sollecita tutte la Autorità nazionali a garantire appunto uniformità di applicazione nello EEA rispetto a tutta la normativa contenuta nel GDPR.

Richiesta di accesso ai dati, le precisazioni delle linee guida

Più in dettaglio, le Linee Guida precisano, quanto alla forma che deve avere la richiesta di accesso, che i titolari possono ricevere tali richieste anche attraverso canali da loro appositamente istituiti mentre conferma che essi non sono tenuti a rispondere alle richieste ricevute utilizzando indirizzi mail o postali sbagliati e ricercati “random”, senza seguire le istruzioni fornite dal titolare e, soprattutto, i canali da lui predisposti, qualora il titolare abbia provveduto proprio a definire e indicare canali appositi a tale scopo. Le Linee Guida precisano, però, che questo criterio, relativo alla possibilità del titolare di non dare risposta a richieste inviate random o senza seguire i canali indicati, si applica solo alle richieste inviate usando canali rispetto ai quali è ragionevole che il titolare non si aspetti di ricevere richieste di questo tipo. Il criterio non si applica invece se la richiesta è stata inoltrata attraverso canali che i titolari usano normalmente e giornalmente per le loro attività d’affari.

Le Linee Guida precisano inoltre che le richieste di accesso devono essere intese e interpretate in termini ampi. Il titolare può chiedere le ragioni della richiesta solo quando possa avere ragionevoli dubbi che davvero l’interessato voglia ricevere tutti i dati trattati che lo riguardano. In questi casi, la richiesta delle ragioni per cui l’interessato vuole conoscere i dati trattati può costituire un aiuto al titolare per soddisfare a pieno la domanda dell’interessato. Allo stesso tempo, il titolare può chiedere le ragioni della domanda quando i trattamenti possono ricadere nell’ambito di eccezioni o restrizioni del diritto di accesso.

Accesso ai dati e ai documenti

In ordine al punto, spesso sollevato, se il diritto di accesso riguardi l’accesso ai documenti piuttosto che ai dati in essi contenuti e trattati dal titolare, lo EDPB conferma la posizione già espressa dalla Corte di Giustizia, secondo la quale l’interessato ha diritto di accesso ai dati che lo riguardano e non ai documenti nei quali essi sono contenuti. Le Linee Guida confermano, quindi, la posizione tenuta da molti titolari di soddisfare la richiesta estraendo i dati che ne sono oggetto dai documenti in cui sono contenuti e di raccogliere tali dati in nuovi documenti o supporti forniti dagli interessati.

I tempi

Per quanto riguarda i tempi nei quali la richiesta deve essere soddisfatta, lo EDPB, andando in contrasto con la linea di tre mesi seguita da molti titolari, precisa che il tempo normale per soddisfare la richiesta deve essere contenuto in un mese al massimo mentre la estensione ad altri due mesi non può essere sovrautilizzata. Precisa, inoltre, lo EDPB che se i titolari si trovano spesso nella necessità di prolungare i termini, questo deve essere interpretato come un chiaro segno che le loro procedure devono essere migliorate.

Diritto di accesso: il bilanciamento con altri diritti

Lo EDPB precisa anche che l’esercizio del diritto di accesso non può giustificare, come recita il Considerando 63 del GDPR, che siano lesi i diritti o le libertà di altri compresi il segreto o la proprietà intellettuale e in particolare il copyright, fermo restando che anche che gli esempi non sono esaustivi e che deve essere sempre tenuta presente la confidenzialità degli indirizzi e-mail dei dipendenti. Ovviamente, lo EDPB rimarca che l’eventuale contrasto tra il diritto di accesso e altri diritti e libertà di terzi non giustifica un rifiuto da parte del titolare ma comporta, al contrario, che il titolare deve sforzarsi di conciliare i diritti in conflitto (ad esempio rimuovendo o redigendo diversamente le informazioni relative a terzi). Se una conciliazione non è possibile, spetta al titolare decidere quali diritti di quale tra le parti coinvolte debbano prevalere.

Come si è già detto, le Linee Guida contenute in questo documento contengono indicazioni e interpretazioni normative del GDPR già ampiamente note e presenti in altri documenti dello EDPB e dello EDPS sul medesimo tema nonché affermati e ribaditi, come il documento stesso ricorda, da decisioni della Corte di Giustizia.

Da questo punto di vista, dunque, non vi sono novità tali da giustificare una particolare attenzione che, infatti, non sembra esserci stata da parte degli studiosi e degli esperti di protezione dati.

Perché le linee guida sono importanti

Tuttavia, il documento è molto importante per almeno due aspetti.

Il primo aspetto riguarda il fatto che esso è stato adottato nella stessa riunione che ha approvato la lettera della Presidente Jelinek che ha ribadito la necessità che le Autorità di protezione dati nazionali promuovano il più possibile una interpretazione uniforme del GDPR su tutto il territorio della UE o, meglio, della EEA. Sembra evidente, infatti, che la contemporanea adozione di un documento così lungo sul diritto di accesso, che ripete contenuti interpretativi dell’art. 15 del GDPR e norme connesse già molte volte affermati, sia un esempio di una linea che lo EDPB intende promuovere finalizzata, appunto, a dettare Linee Guida rivolte innanzitutto alle Autorità per spingere, riaffermando e ordinando anche principi e criteri già noti, a una comune lettura interpretativa e una eguale attuazione del GDPR su tutto il territorio unionale e su tutto lo spazio economico europeo.

È ragionevole dunque attendersi che nel futuro non mancheranno altre Linee Guida su punti interpretativi e applicativi del GDPR di particolare complessità e delicatezza. Linee Guida finalizzate innanzitutto, come del resto è già nella logica del ruolo dello EDPB, a promuovere una medesima e coerente applicazione normativa in tutto l’ambito dell’Unione.

Il secondo aspetto riguarda il fatto che queste Linee Guida siano dedicate a un tema tanto complesso come l’accesso ai dati personali trattati da un titolare così come regolato dall’art. 15 del GDPR.

Va infatti sottolineato che tanto il diritto di accesso ex art. 15 GDPR, quanto l’esercizio di questo diritto riguardano i dati in sé, sia pure limitatamente ai dati personali, come è proprio della logica del GDPR.

Insomma, lo EDPB sembra volutamente scegliere di avviare il lavoro di omologazione “spinta” dell’attività interpretativa da parte delle Autorità muovendo proprio dall’esercizio del diritto di accesso ai dati che, insieme al connesso diritto alla portabilità dei dati, si configura come una pietra miliare nell’epoca della Digital Age.

L’importanza dei dati in quanto tali

Se si presta la dovuta attenzione, infatti, nelle Linee Guida qui in esame non si spende neanche una riga a chiarire per l’ennesima volta quali siano i dati personali per i quali può essere esercitato il diritto di accesso, ma si dedica tutta l’attenzione ai dati in quanto tali. Lo testimonia con chiarezza anche l’attenzione dedicata a esaminare il problema se il diritto in questione debba consistere nell’avere i dati in quanto tali o anche il supporto sul quale essi sono considerati dal titolare, o se invece il titolare debba trasmetterli come dati o anche su un apposito supporto appositamente predisposto.

Sono temi, questi, che poco hanno a che vedere coi dati personali intesi come identificativi di un soggetto e connessi al suo diritto fondamentale di libertà alla tutela dei dati che lo riguardano mentre invece sono temi evidentemente legati ai dati in quanto tali, indipendentemente dalle caratteristiche che essi hanno.

Nello stesso senso va interpretata l’attenzione dedicata a limitare l’ambito del diritto del titolare a chiedere le ragioni della richiesta di trasferimento di dati o di ricevere i propri dati da lui conservati o trattati.

Il diritto alla portabilità dei dati

Proprio questa parte del provvedimento, che chiaramente sottolinea come il diritto di chiedere le ragioni della domanda di accesso è limitato alla esigenza di accertare l’identità del richiedente, e dunque la sua natura di interessato, ci ribadisce che il diritto di accesso non è tanto legato alla tutela dei dati personali e al controllo su tali dati da parte dell’interessato, quanto invece – sembra di capire – al diritto alla portabilità dei dati e al suo esercizio da parte dell’interessato.

Conferma e ribadisce questa convinzione l’attenzione dedicata dalle Linee Guida a che ogni sforzo debba essere messo in atto al fine di garantire che la richiesta degli interessati sia integralmente soddisfatta dai titolari proprio anche rispetto al tipo e alla quantità di dati richiesti rispetto ai quali va garantito non solo l’accesso in termini di “conoscenza” del numero e della qualità/contenuto dei dati ma il loro possesso stesso, sia pure anche se messo a disposizione su supporti definiti e individuati dal titolare invece che su quelli indicati dall’interessato.

Insomma, queste Linee Guida sono particolarmente interessanti sia per l’attenzione e la centralità date al diritto di accesso ai dati, sia per la precisazione che esso non è soddisfatto solo dalla comunicazione di quali siano i dati posseduti e trattati ma anche, se richiesto, l’accesso ai dati stessi e il loro possesso, anche se messi a loro disposizione su supporti definiti dal titolare.

Tutto questo ci dice che queste Linee Guida sono state elaborate già nella piena consapevolezza della centralità che i dati come tali (e dunque non solo i dati personali) hanno nella società digitale e di quanto importante sia il “possesso” dei dati stessi, sia nella forma della conservazione da parte del titolare che in quella del possesso, indipendentemente dal supporto scelto, da parte dell’interessato.

È evidente che tanta importanza a questi aspetti si comprende bene se ci si colloca nella prospettiva che assume nella società digitale l’attività di scambio e anche di vendita o di cessione dei diritti di uso dei dati e sui dati.

Da questo punto di vista queste Linee Guida appaiono certamente importanti anche perché danno una chiara e preziosa indicazione sulla via da intraprendere per costruire rapidamente un nuovo diritto conforme alle esigenze della società digitale ovvero, almeno, per adeguare a queste nuove esigenze le regole giuridiche ereditate dalla società off-line.

La strada da percorrere per costruire una armoniosa convivenza nella società digitale e dar vita a sistemi economici, etici e politici con essa compatibili, è appunto quella di muovere dai dati come tali e dalle modalità con le quali essi sono conservati e scambiati.

La nuova centralità del dato nella società digitale

È la nuova centralità del dato che segna la società digitale e da questa nuova centralità occorre partire per adeguare le regole ereditate dal passato al nuovo mondo e per dare tanto ai rapporti di diritto privato, quanto a quelli di diritto pubblico il contenuto necessario a regolare e organizzare la società digitale.

Questo non significa affatto, come le Linee Guida si preoccupano di sottolineare in più punti, che vengano meno o siano messi in discussione i diritti fondamentali delle persone, e tanto meno quelli contenuti nella Carta dei diritti dell’Unione. Significa però che il governo dei dati non può più esser inteso solo come funzionale alla tutela e all’inveramento di tali diritti proprio perché i dati stessi sono al centro di ogni relazione nella società digitale e dunque costituiscono l’ossatura di ogni relazione economica e patrimoniale così come di ogni scambio tra gli esseri umani che vivono in questa dimensione.

Conclusioni

Insomma, e per concludere: a saper ben leggere queste Linee Guida, si intravede facilmente l’avvio di una nuova fase dei rapporti, anche giuridici, tra i membri della società digitale. Una fase destinata a fare i conti con la centralità del dato e nella quale le Autorità di protezione dei dati – e quindi anche l’EDPB – sono chiamate a svolgere un ruolo ogni giorno più centrale nelle relazioni tra i cittadini, andando anche oltre la pura tutela – sempre importantissima – dei diritti fondamentali dell’Unione.

Una nuova grande avventura per le Autorità nazionali

Come abbiamo già accennato., si prospetta ora l’avvio di una nuova importante impresa per i Garanti: la costruzione di un nuovo grande “Corpus Iuris” che trasporti nell’epoca digitale le grandi conquiste giuridiche ed etiche del mondo greco-romano.

Del resto, che questo sia, consapevolmente o no, il ruolo che i Garanti europei stanno assumendo nell’epoca digitale lo dimostrano non solo le Linee Guida qui esaminate ma tutte quelle che lo EDPB ha adottato negli ultimi anni. In tutte, infatti, lo EDPB si è concentrato assai di più sulle modalità operative di applicazione delle disposizioni da parte delle Autorità e su quelle relative ai trattamenti dei dati che non sui problemi legati alla interpretazione puramente giuridica e sistemica delle norme del GDPR. Una ulteriore conferma che nella Digital Age il GDPR è il solo Corpus normativo che, in materia di dati e dei loro trattamenti, ha anticipato l’evoluzione digitale e ha fornito, e tuttora fornisce, una adeguata cornice normativa per trarne regole e, soprattutto, modalità di trattamento dei dati compatibili con il riconoscimento dei diritti e con una convivenza regolata delle società digitali.

La grande intuizione che l’Europa prima e l’Unione Europea poi hanno avuto è stata, dunque, quella di costruire intorno alla tutela dei dati personali non solo il riconoscimento di un nuovo diritto delle persone ma anche e soprattutto una moderna “cassetta per gli attrezzi” per i tempi che noi oggi abbiamo cominciato a vivere. I Garanti e lo EDPB lo sanno, così come sanno anche che, proprio per questo, il loro compito è oggi fondamentale non solo per il futuro degli europei ma anche per quello di tutti gli esseri umani e delle loro comunità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati