dati personali e cookie

Diritto di accesso, perché spesso viene negato: i problemi

Il diritto di accesso è il più importante tra quelli che ci vengono riconosciuti dal GDPR, ma troppo spesso viene negato o viene subordinato al conferimento di ulteriori dati personali rispetto al set strettamente necessario. Richiesta illecita, dato che i titolari possono far ricorso ai cookie di identificazione

Pubblicato il 17 Apr 2023

Giovanni Ricci

Avvocato presso lo Studio legale Edoardo Ricci – Avvocati

Looking,At,European,Union,Gdpr,Bits,And,Bytes,Through,Magnifying

Il diritto di accesso ai dati personali oggetto di trattamento, esercitabile nei confronti di ogni titolare del trattamento (disciplinato dall’art. 15 del GDPR), è senza dubbio il diritto più importante tra quelli riconosciuti a ciascuno di noi dalla disciplina di settore (il GDPR appunto).

Il diritto di accesso, infatti, è il diritto dal quale dipende in linea di principio e di fatto l’esercizio di tutti gli altri diritti riconosciuti a tutti noi nei confronti dei titolari del trattamento: diritti di portabilità, rettifica e cancellazione dei dati personali, di limitazione del trattamento, di opposizione, di proporre reclamo all’autorità Garante.

Diritto di accesso: il nostro potere di controllo sui dati personali rafforzato dalla Corte Ue

Senza l’accesso, dunque senza la consapevolezza sul se un trattamento sia in corso, su quali dati ne siano l’oggetto, su come esso venga attuato, con quali misure di sicurezza e così via, noi non potremmo esercitare razionalmente e, di nuovo, consapevolmente, i nostri diritti (sopra elencati) a tutela dei nostri dati e, prima ancora, della nostra persona.

Le problematiche connesse all’esercizio del diritto di accesso

Questa riflessione di principio, di per sé sempre importante, assume oggi una valenza ancora maggiore alla luce della recente emersione di problematiche piuttosto rilevanti in ordine all’esercizio del diritto di accesso, laddove di frequente i titolari del trattamento reagiscono spesso con un diniego a tale richiesta, ovvero laddove ne condizionano l’accoglimento al conferimento da parte delle persone titolari dei dati di ulteriori informazioni, dunque di ulteriori dati personali, dei quali i titolari del trattamento stessi non dovrebbero e non potrebbero interessarsi.

Ciò è ancora più grave e rilevante ove si consideri che l’autenticazione presso i titolari del trattamento ai fini dell’esercizio del diritto di accesso da parte di ciascuno di noi ben può avvenire mediante cookie a ciò predisposti.

La centralità dell’autenticazione

La centralità dell’autenticazione dei titolari dei dati presso i titolari del trattamento ai fini dell’esercizio del diritto di accesso ai dati personali

Per comprendere esattamente le implicazioni dei problemi che stanno emergendo in punto di esercizio del diritto di accesso ai dati personali oggetto di trattamento è necessario inquadrare correttamente la fase dell’autenticazione della identità del soggetto richiedente nei confronti del titolare del trattamento.

Quando noi ci logghiamo in un account web, qualsiasi account, forniamo, spesso e volentieri in modo automatico, un set di credenziali (che sono dati personali) concepito dal gestore della pagina web al fine di identificarci con un grado di attendibilità più o meno elevato, ma comunque ritenuto sufficiente dal gestore medesimo.

Questo grado di attendibilità nell’identificare una persona, quando si parla di esercizio del diritto di accesso ai dati personali deve essere massimo; e ciò significa che il set di credenziali (dati personali) necessario per ottenere tale alto standard di certezza sulla identità della persona che è in procinto di esercitare tale diritto deve essere concepito in modo da garantire di evitare per così dire “falsi positivi”: è quindi pressoché inevitabile il ricorso a documenti di identità con valore legale, ed a più fasi di autenticazione (per esempio basate sull’invio di codici sui devices personali).

I cookie di autenticazione

È evidente, infatti, che un titolare del trattamento, non può in alcun caso correre il rischio di fornire l’accesso ai dati personali di una persona a qualcuno che è semplicemente riuscito a spacciarsi per il titolare degli stessi; e ciò comporta la necessità di trattare dati di autenticazione di alto livello, intrinsecamente conosciuti e conoscibili solo ai rispettivi titolari.

Le implicazioni insite in una autenticazione errata per i diritti e le libertà fondamentali delle persone (a causa della comunicazione di dati personali, spesso sensibili, a chi mai dovrebbe venirne a conoscenza) è infatti autoevidente.

Tutto questo può essere evitato efficientemente con il ricorso a cookie di autenticazione: cookie che compattano ed organizzano in formato elettronico, spesso criptato, informazioni di alto livello come quelle contenute in una carta di identità, in una tessera sanitaria, od in una patente di guida (si pesi per esempio alle credenziali SPID).

La richiesta di ulteriori dati personali rispetto a quelli strettamente necessari

Ricapitoliamo: come è possibile installare sui nostri devices cookie che ci profilano, oppure che semplicemente tengono conto delle nostre preferenze per ottimizzare la nostra esperienza di navigazione di una pagina web, così è altrettanto possibile installarvi cookie che organizzano e memorizzano set di dati di identificazione di alto livello in modo sicuro ed efficiente al fine di identificarci, come precondizione per l’esercizio del diritto di accesso ai nostri dati personali oggetto di trattamento.

Sembrerebbe tutto a posto, pulito, efficiente e lineare; tuttavia, e purtroppo, le cose non stanno esattamente in questi termini.

Sta emergendo, infatti, che spesso i titolari del trattamento negano puramente e semplicemente l’esercizio del diritto di accesso a coloro che ne fanno richiesta, oppure lo condizionano al conferimento di ulteriori dati personali rispetto al set strettamente necessario.

Sorvolando sul primo aspetto, in quanto frontalmente eversivo ed illecito rispetto a quanto imposto dal GDPR, anche il secondo contegno è certamente illegittimo: il principio di minimizzazione dei dati rispetto alla finalità del trattamento (la lettura dei dati necessari ad una identificazione personale è un trattamento in sé stessa) è infatti uno dei principi fondanti del GDPR.

Nessun dato ulteriore rispetto al set predisposto a priori, può dunque essere richiesto dai titolari del trattamento come precondizione per l’accoglimento della domanda di esercizio del diritto di accesso ai dati da parte dei loro titolari.

Questi contegni sono viepiù anacronistici e certamente illeciti proprio alla luce della possibilità di utilizzare, ai fini della autenticazione, cookie a ciò dedicati; ed in questa prospettiva è utile ricordare che il EDP, nelle linee guida dedicate all’esercizio del diritto di accesso ai sensi dell’art. 15 del GDPR, ha espressamente raccomandato l’impiego dei cookie di autenticazione per renderne più lineare, efficiente e sicura l’implementazione, sia nel nostro interesse di titolari dei dati, sia nell’interesse dei titolari del trattamento impegnati nel rendere effettivo un diritto di siffatta delicatezza.

Conclusioni

Non sorprende dunque che alcune associazioni di supporto ai diritti dei consumatori si stiano interessando al tema, ed abbiano già presentato, o siano in procinto di presentare numerose istanze giudiziali a tutela del diritto di accesso e nella prospettiva di garantirne il miglior esercizio da parte nostra.

Sarà sicuramente molto interessante analizzare e commentare in futuro i lineamenti della giurisprudenza che da questo filone di contenzioso emergerà.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2