Per la Corte di Giustizia dell’Unione europea il diritto di accesso non si esaurisce nell’elenco dei dati trattati dal titolare, ma comporta il dovere di consegnare all’interessato copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati.
La sentenza si segnala perché interpreta in modo specifico un punto non chiarissimo del GDPR.
La sentenza della Corte nella causa C-487/21 | Österreichische Datenschutzbehörde e CRIF
Un privato ha chiesto a Crif – società di consulenza commerciale che fornisce, su richiesta dei propri clienti, informazioni sulla solvibilità di terzi – di avere accesso ai dati personali che lo riguardavano, chiedendo anche copia dei documenti (messaggi di posta elettronica, estratti di banche etc).
Crif ha risposto con un elenco dei dati trattati, senza fornire la copia dei documenti richiesti, né gli estratti delle banche dati a cui aveva accesso.
Da qui il ricorso che ha portato – correttamente – al rinvio pregiudiziale avanti alla Corte di Giustizia dell’Unione europea, su un tema molto discusso quanto rilevante nella pratica, ossia la portata del diritto di accesso.
In particolare, Il Bundesverwaltungsgericht (Corte amministrativa federale austriaca), si interrogava sulla portata dell’obbligo di cui all’articolo 15, paragrafo 3, prima frase, del GDPR di fornire all’interessato una “copia” dei suoi dati personali oggetto di trattamento e se tale obbligo fosse soddisfatto nelle ipotesi in cui il titolare avesse trasmesso solo i dati personali sotto forma di tabella sintetica oppure se esso implichi anche la trasmissione di estratti di documenti o anche di documenti interi, nonché di estratti di banche dati, nei quali sono riprodotti detti dati.
Altro tema oggetto del rinvio pregiudiziale era l’esatta portata del termine “informazioni” che figura all’articolo 15, paragrafo 3, terza frase, del GDPR.
La Corte di Giustizia ha affermato che la consegna all’interessato una riproduzione fedele e intelligibile dell’insieme dei dati presuppone quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati, se indispensabile a consentire all’interessato di esercitare effettivamente i diritti conferitigli dal GDPR.
L’interpretazione della Corte si basa sulla portata del termine “copia” utilizzato all’articolo 15, paragrafo 3, del GDPR: “si deve tener conto del significato abituale di questo termine, il quale designa la riproduzione o la trascrizione fedele di un originale, cosicché una descrizione puramente generale dei dati oggetto di trattamento o un rinvio a categorie di dati personali non corrisponderebbe a detta definizione” (cs del 4 maggio 2023 CGUE).
Il tutto secondo un’interpretazione letterale, sistematica e teleologica che il termine “copia” assume nel linguaggio comune, atteso che non vi è, nel GDPR, definizione normativa.
Considerazioni sulla sentenza
Più che di un’interpretazione letterale, sistematica e teleologica, si dovrebbe parlare di interpretazione estensiva: data la definizione di “dato personale” presente nell’articolo 4 del GDPR, la tabella riassuntiva sembrava sufficiente.
Questa è la ragione per cui il Garante austriaco aveva respinto il reclamo.
Il punto è però che, a condizioni date, ridurre il diritto di accesso ad una mera “conferma” del fatto il che il titolare tratta certi dati, elencati pedissequamente, rischia di svuotare il diritto di accesso previsto dal GDPR.
In Italia, per esempio, ipotesi di diritto di accesso “allargato” si erano già registrate con riferimento al diritto dei dipendenti di ottenere dal datore di lavoro i certificati di formazione conseguiti in occasione del rapporto stesso.
Con provvedimento 63 del febbraio 2021, il Garante privacy aveva ammonito una società che non aveva consegnato ad un ex dipendente degli attestati di superamento del corso di auditor ai sensi della norma BS Oshas 18001, dichiarando illecita la condotta della società “ai sensi dell’art. 143 del Codice” dichiara illecita per la “violazione dell’art. 12, par. 4 con riferimento all’art. 15 del Regolamento, in relazione al riscontro che la società ha fornito al reclamante, privo dell’indicazione dei motivi dell’inottemperanza all’esercizio del diritto di accesso e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.
Secondo il Garante, «il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza […] atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14.12.2018, n. 32533)».
In questo caso, il diritto di accesso era stato “esteso” in ragione del rapporto sottostante, a tutela di un soggetto normativamente ritenuto debole – il lavoratore subordinato.
Conclusioni
È pacifico che un soggetto che venga censito da Crif abbia tutto l’interesse a sapere quali siano le pezze giustificative sulla base delle quali sono state effettuate delle valutazioni sulla sua solvibilità, eventualmente, anche, per chiedere la rettifica del rating e/o il risarcimento del danno per un errore di “calcolo”.
La Corte di Giustizia ha trovato una via interpretativa per salvaguardare il “vero” contenuto del diritto di accesso previsto dall’articolo 15, paragrafo 4, del GDPR, passando – forse in modo un po’ disinvolto – oltre la disciplina letterale.
Detto questo, la sentenza è destinata a fare giurisprudenza e a chiarire, in via definitiva, la portata del diritto di accesso: è evidente che questo andrà inteso in senso sostanziale, ossia toccando tutte le informazioni e fonti di informazioni utili all’interessato per il soddisfacimento dell’interesse sotteso al diritto di accesso.
