In tempo di pandemia e della conseguente vorticosa circolazione di dati personali di utenti che, costretti a casa, assolvono ai bisogni personali più o meno essenziali approvvigionandosi attraverso le piattaforme del web, occorre porsi alcune domande.
Essenzialmente tre: i dati, le tracce che lascio nel corso delle innumerevoli transazioni online di chi sono? Poi, posso conoscerli nel dettaglio? Infine, le piattaforme che ne fanno uso, possono opporsi alle mie richieste?
La risposta la troviamo nel Gdpr, che fornisce gli adeguati presidi normativi a tutela dell’accesso ai dati personali.
Vediamo nel dettaglio quali sono.
Le finalità del diritto d’accesso
Ora, il potere di accesso alle informazioni riguardanti il trattamento dei propri dati personali è uno dei diritti che il Regolamento (UE) 2016/679 attribuisce all’interessato ed è altresì riconosciuto dall’art. 8, par. 2, della Carta dei Diritti Fondamentali dell’Unione Europea. Il diritto di accesso si pone, dunque, in un rapporto di propedeuticità-strumentalità rispetto a ulteriori diritti, quali il diritto di chiedere la rettifica o la cancellazione dei dati, in quanto l’interessato sarà in grado di esercitarli proprio a seguito della conoscenza delle informazioni relativa al trattamento dei propri dati personali.
La finalità del diritto di accesso sta nel mantenere un controllo sul trattamento dei propri dati personali, di verificare la legittimità di tale trattamento ed eventualmente di modificarlo attraverso richieste di integrazione, cancellazione od opposizione. Il diritto di accedere viene, quindi, riconosciuto a prescindere dall’esistenza di una lesione lamentata dall’interessato (v. European Data Protection Supervisor, Guidelines on the Rights of Individuals with regard to the Processing of Personal Data, caso 2011-0483, in edps.europa.eu) e senza che possano essere fatti valere limiti temporali (CGCE, 7 maggio 2009, C-553/07, College van burgemeester en wethouders van Rotterdam/M.E.E. Rijkeboer).
Proprio per consentire un controllo costante sul trattamento dei dati da parte dell’interessato, le piattaforme web, tecnicamente “titolari” del dato, sono tenute a permettere l’accesso e il Considerando n. 63 prevede che l’accesso possa essere ripetuto a intervalli ragionevoli, senza specificare la misura dell’intervallo.
Rafforzare la fiducia delle persone nel digitale: principi e tecniche
Le modalità di richiesta
Quanto alle modalità della richiesta, l’art. 15 non indica ne indica alcuna, cosicché la richiesta potrà essere inoltrata al titolare del trattamento in qualunque forma, una volta che questo sia stato individuato dall’interessato.
D’altra parte, il Considerando n. 63 del Regolamento ha specificato che il diritto di accesso, per essere effettivo, deve poter essere esercitato facilmente, mentre l’art. 12, par. 2, indica che il titolare deve agevolare l’esercizio dei diritti riconosciuti all’interessato; ciò significa che se, da un lato, la forma continua a rimanere libera, dall’altro si è inteso specificare che il titolare del trattamento non deve in alcun modo limitare il diritto di accesso con particolari modalità od oneri, ad esempio con modelli predisposti a pena di irricevibilità della domanda. Anche il considerando n. 59 specifica che il titolare del trattamento può agevolare l’esercizio del diritto di accesso, ad esempio, predisponendo mezzi per inoltrare le richieste in via elettronica, soprattutto quando i dati personali siano trattati con mezzi elettronici.
Proprio nella realtà dei social media e delle piattaforme web, le domande di accesso seguono percorsi obbligati e predefiniti dal gestore, così che eventuali richieste inoltrate tramite modalità diverse da quelle predefinite rischiano di rimanere inevase, limitando di conseguenza il diritto di accesso dell’interessato.
La richiesta di accesso non deve essere necessariamente motivata; l’eventuale rigetto per assenza di motivazione si porrebbe in contrasto con quanto previsto dal legislatore europeo. Sotto questo profilo, come chiarito dall’art. 59 del Codice privacy, il diritto di accesso in materia di protezione dei dati personali si distingue dal diritto di accesso ai documenti amministrativi, il cui esercizio comporta la necessità di motivare la richiesta di accesso, che tra l’altro soggiace a determinate formalità procedurali (l. 241/1990).
Gestire i limiti del Gdpr per costruire il futuro della società digitale
L’identificazione dell’interessato
L’accesso ai dati personali è, ovviamente, subordinato all’identificazione dell’interessato richiedente, che non consiste nella semplice acquisizione delle generalità del soggetto dei cui dati personali si tratta, bensì nell’accertamento della corrispondenza dell’identità dell’interessato con quella del richiedente l’accesso.
Ove il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che richiede l’accesso, ai sensi dell’art. 12, par. 6, del Regolamento potrà pretendere ulteriori informazioni necessarie per confermare la sua identità.
Qualora la richiesta di accesso sia effettuata da un soggetto diverso dall’interessato (ad esempio, nel caso di esercizio post mortem da soggetti diversi dal de cuius), il titolare dovrà evidentemente accertare, da un lato, l’identità dell’interessato, onde potere poi individuare l’eventuale trattamento, mentre dall’altro dovrà accertare l’identità del richiedente e, questa volta, non più la corrispondenza con l’identità dell’interessato, bensì l’esistenza di una delle seguenti condizioni: la sussistenza di un interesse proprio del richiedente, il fatto che questo agisca a tutela dell’interessato o per ragioni familiari meritevoli di protezione o ancora l’esistenza di un mandato conferito dall’interessato.
La risposta del titolare del trattamento
L’art. 12 del Regolamento, in attuazione del considerando n. 59, prevede che il titolare del trattamento debba rispondere alle richieste dell’interessato, compresa quella di accesso, « senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa ». Qualora l’interessato non ottenga risposta nel termine (iniziale o prorogato dal titolare), questi potrà ricorrere all’autorità di controllo.
Nel caso di ricorso per mancata risposta, il Garante si rivolgerà al titolare invitandolo a ottemperare alla richiesta e, qualora questo fornisca una risposta adeguata, il Garante dichiarerà il non luogo a procedere; nel caso di inottemperanza, invece, il Garante potrà adottare un provvedimento di natura decisoria e imporre al titolare l’adozione di un determinato comportamento.
Conclusioni
Come si vede dunque, i presidi normativi introdotti dal GDPR a tutela dell’accesso ai propri dai personali, se ben utilizzati, consentono, almeno parzialmente e con funzione di deterrenza per usi impropri, di verificare la consistenza e l’utilizzo dei dati che disseminiamo quotidianamente nei servizi e acquisti online, oggi tanto necessari quanto insidiosi nell’offrire dati utilissimi per le aziende del web al fine di comporre i nostri identikit consumeristici e mirare così le loro offerte commerciali.