Il diritto di accesso ai dati personali è sancito dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea, ribadiscono ai lettori le Linee guida 1/2022.
Facile sarebbe confonderlo col diritto di accesso ad atti e documenti pubblici, continenti parzialmente per effetto ma non per ratio: scopo del diritto di accesso ad atti e documenti pubblici è legato alla trasparenza amministrativa, la massima circolazione possibile delle informazioni sia all’interno del sistema amministrativo, sia fra questo ultimo ed il mondo esterno, mentre il diritto di accesso ai dati personali, mentre la finalità ultima del diritto di accesso ai dati personali passa dalla consapevolezza.
Indice degli argomenti
Uno, nessuno e centomila: le sfide del diritto di accesso
In un mondo dominato dall’informazione, si corona l’ideale del Vitangelo Moscarda di Uno, nessuno e centomila. Ci sono sostanzialmente tante versioni di quella miseranda pila di segreti (si consenta un paragone da un genere letterario considerato “inferiore” come l’adattamento videoludico) che è l’essere umano 2.0, ognuna custodita presso i diversi titolari del trattamento con cui si ha a che fare.
L’essere umano 2.0 non è più (solo, almeno) centro di imputazione di diritti e doveri, ma centro di imputazione di tutti quei dati necessari ad adempiere al diritto e dovere. L’essere umano guida un’automobile? Una incalcolabile quantità di dati che vanno dai dati necessari alla stipula del contratto a, potenzialmente, il contenuto di una black box da cui astrattamente desumere (sia pur con le tutele del Garante) metriche essenziali e potenzialmente profilanti come tempi, durate e aree di percorrenza. Iscriversi ad una facoltà universitaria? Attivare una tessera fedeltà presso un esercente? Effettuare una delle attività più umane dell’esistenza stessa come lavorare? Dal fatto che non è difficile capire quando un’attività richiede forme di profilazione, ma concepire una attività umana che non lo richieda è la prima parte del percorso.
Cui possiamo aggiungere la necessità della piena consapevolezza, sulla quale poggiare la ratio come evidenziata dalle Linee Guida: fornire alle persone informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei loro dati personali, in modo che esse possano essere consapevoli del trattamento e verificarne la liceità, anche per quanto riguarda l’esattezza dei dati trattati. Ciò renderà più agevole per le persone esercitare altri diritti, come il diritto alla cancellazione o alla rettifica, anche se non ne costituisce una condizione.
Non è scopo di questa esposizione una assai pedante analisi delle linee guida e del diritto di accesso di cui agli art. 12 e 15 del vigente GDPR: ma lo scopo è introdurre le conclusioni del Garante europeo della protezione dei dati (GEPD) sull’applicazione del diritto di accesso delle persone fisiche ai loro dati personali trattati dalle istituzioni, dagli organi e dagli organismi dell’UE (IUE) pubblicate il giorno 20 gennaio 2025.
A quasi due anni dall’adozione delle Linee Guida, si cominciano ad incontrare i primi ostacoli, non del o nel regolamento, ma nella sua applicazione.
La disomogeneità del metodo
“Chi controlla i controllori?” questa la domanda alla base di un questionario somministrato alle Autorità di controllo europee avente ad oggetto proprio il rispetto delle citate linee guida nei confronti delle istituzioni, dagli organi e dagli organismi dell’UE (IUE)
Sondaggio che metodologicamente però si scontra con una certa disomogeneità: l’Autorità di controllo italiana, ad esempio, ha reso possibile ai titolari completare il questionario in modo del tutto anonimo, mentre altre Autorità non hanno concesso tale beneficio.
Parimenti, lo studio evidenzia disomogeneità nelle categorie esaminate, dalle modalità di contatto (alcuni hanno contattato i titolari passando dai DPO, altri da altre figure) fino alla modifica del questionario stesso per renderlo aderente alle diverse realtà.
Dalla statistica non si sfugge: i limiti dell’indagine diventano quindi parte dell’indagine stessa. Ciò nonostante, si è riuscito a raggiungere oltre mille titolari nell’intera Europa: un’eguale rappresentanza di settore pubblico e privato, dove spiccano il 25% della grande imprenditoria e l’11% di enti amministrativi.
Tutti caratterizzati da una serie di sfide con una radice in comune: un vuoto interpretativo che trasla la natura plurima del soggetto interessato in una babele di difformità tra titolari dei dati.
Il lungo cahier de doleances delle raccomandazioni
La citata inevitabile disomogeneità del metodo si trasla in una disomogeneità di prassi, con il CEF (Coordinated Enforcement Framework, traducibile quindi con “Piattaforma per l’applicazione coordinata” da intendersi nell’accezione più completa di gruppo di studio e lavoro)pronto a richiedere ai vari titolari al trattamento dati un’analisi preventiva e ovviamente coordinata della portata dell’articolo 15 GDPR allo scopo di valutare quali sono i tipi di informazioni da essa coperte: dato non così scontato in un’era dell’informazione che ormai ha superato il frusto 2.0 per riguadagnare una velocità che supera l’impulso normativo che dovrebbe inquadrarla.
La mancanza di una consapevolezza comune
La mancanza di una consapevolezza comune (lo studio usa proprio il termine awareness, non mera omogeneità, ma consapevolezza) si riflette nel non avere un’idea omogenea dei dati e dove essi siano custoditi, rendendo sovente i registri delle attività di trattamento un rassicurante feticcio più che uno strumento di verifica e controllo, istituzionalizzando quindi nella disomogeneità avanzata una inquietante tendenza a quel formalismo che dona false sicurezze.
Il problema delle tempistiche
Anche le tempistiche diventano un problema, con la loro assenza di fatto equiparabile alla loro feticistica applicazione acritica. Lo studio dimostra infatti sia la tendenza all’assenza di criteri obiettivi documentati in base all’art. 5 del GDPR che la loro applicazione con logiche di default anziché in base ad un processo valutativo interno (da valutarsi in base al caso di specie e in concordanza con le norme di diritto interno, rendendo quindi in qualche modo la discordanza non pari ad una dissonanza ma un’armonia ad ampio spettro) da documentarsi e, soprattutto, con le richieste di accesso custodite separatamente per non diventare parte del mare magnum dei dati in un circolo ricorsivo.
L’adozione di Codici di Condotta
Circolo da cui poter fuggire grazie all’adozione di Codici di Condotta (cfr. art 40 GDPR)ed una adozione delle Linee Guida 01/2022 che si regga sulle due gambe di cooperazione e formazione. Il titolare dovrà quindi gestirsi con due forme di umiltà: l’umiltà di ammettere che la formazione deve essere costante, periodica e costantemente aggiornata e l’umiltà di ammettere di doversi interfacciare non solo con figure essenziali come il DPO, ma con lo stesso soggetto interessato in ogni caso in cui la richiesta di accesso non risulti sufficientemente chiara anziché procedere di autorità con una risposta spesso tardiva e insufficiente se non confusa e inefficace.
Aiuto che non potrà però prescindere dall’aiutare ad aiutarsi: chi legge queste pagine con assiduità sarà a conoscenza della necessità per un titolare del trattamento di munire i propri portali di rete di una Privacy Policy che consideri la chiarezza e la semplicità espositiva parte dei requisiti: una buona pratica nello studio suggerisce applicare la stessa logica ad un web form, un questionario online che l’interessato potrà usare come linea guida per le sue richieste.
Questionario che, attenzione, lo studio stesso suggerisce sin dall’introduzione (giustamente legata alle vulnerabilità) non può e non deve diventare un mezzo per il titolare di far passare l’interessato da dissuasive forche caudine: se la richiesta non proviene da canali dedicati, bisognerà essere pronti a fornire replica agendo comunque al meglio delle proprie possibilità.
Da questo punto di vista, la formazione e la cooperazione dovranno comprendere in modo diretto le Autorità Garanti e in modo indiretto rilevanti casi giurisprudenziali nazionali ed europei, pervenendo ad un bilanciamento tra il diritto di accesso e forme di tutela del dato in grado da fornirne restrizione o inibizione legate a politiche interne chiare, esplicabili e possibilmente con strumenti di controllo self-service o comunque personalizzati.
Come tali distorsioni si riflettono nella prassi
Si potrà ora provare a tradurre nella pratica gli effetti delle distorsioni di quanto sopra, e gli effetti della mancanza di consapevolezza sulla qualità del dato.
Secondo quanto rilevato dalle autorità garanti, il titolare-burocrate e il titolare-giurista sono legati ad una concezione archiviale, se non “primordiale” del dato. Citando espressamente il testo senza cedere a esemplificazioni ulteriori che potrebbero nel semplificare il concetto per i non addetti distorcerne il contenuto in modo pedante e lezioso, non tutti i titolari sembrano pienamente consapevoli del fatto che il dato personale può essere contenuto in file non di testo, metadati o file di backup. Un’autorità in particolare ha indicato che taluni titolari non includono le comunicazioni titolare-interessato, ed un’altra che non vengono forniti i dati pseudonimizzati.
Potremmo quindi ricordare che, specialmente nell’era dell’informatica di massa il dato personale resta tale anche se non leggibile direttamente dall’umano, ma con passaggio da ciò che umano non è, come un programma di backup, l’analisi del metadato croce e delizia dell’archivista moderno e un ricorso alla moderna tecnologia.
Concezione che, nel caso delle richieste di accesso plurime, tende a tradursi nella pessima pratica di interpretare ogni richiesta successiva alla prima come incrementale anche oltre le intenzioni del richiedente, fornendo quindi il solo riscontro di eventuali variazioni del dato già fornito intestando quindi al solo titolare del trattamento la decisione di rilevanza e opportunità.
L’elefante nella stanza: il “tempo non superiore”, ma a quanto?
Sarà capitato anche a voi un arbitrario e laconico “I dati saranno conservati per il tempo necessario alla finalità”evasivamente usato per liquidare il problema della conservazione che avrete sicuramente studiato in queste pagine.
Sarà capitato, ma non deve capitare: la richiesta archiviata “per il tempo necessario alle finalità legali”, archiviata e protocollata in modo spurio seguendo ad esempio il destino del “generico fascicolo cliente” e della “documentazione fiscale” non può e non deve diventare scorciatoia solo perché il GDPR non dispone una tempistica universale per la ritenzione del dato.
Accountability non può e non deve significare l’impero del “fai come ti pare”, tampoco una decisione di imperio alla Marchese del Grillo o un “turismo del dato” per cui la data retention nei Paesi Bassi diventa una lotteria dai sei mesi ai 20 anni mentre nella Repubblica Ceca si arriva facilmente ai 45: una vita tutta intera intrappolata nella richiesta di osservare la propria vita.
La Torre di Babele delle interpretazioni inconsistenti e delle barriere all’accesso
Anche qui, l’effetto finale investe e si riflette sull’interessato. La mancanza di procedure standard si riflette in diverse richieste di accesso non valutate come tali, inficiando dunque la portata stessa dello studio, che diventa l’analisi di un fenomeno non troppo chiaro alle persone presso cui viene valutato, l’equivalente tecnico-giuridico dell’unicorno invisibile rosa o dell’elefante del mito arabo, possente animale rinchiuso in una stanza con diversi sapienti non vedenti pronti a sentenziare di aver incontrato un animale “a forma di pestello”, “a forma di colonna”, “a forma di rigido serpe”, “a forma di serpente con la bocca aperta” a seconda della parte anatomica toccata.
La stessa accountability diventa una chimera evanescente, quando non sai come considerare una richiesta di accesso ai dati, o non sai se la tratterai come tale.
E così facendo, i suggerimenti del Framework possono diventare incubi. Il citato webform? Ove redatto in base a linee di condotta e linee guida trasparenti, esso sarà uno strumento prezioso, altrimenti uno sbarramento secco volto a trasformare il digital divide in una sorta di Squid Game dell’interessato, laddove la falcidia del soggetto poco avvezzo alla tecnologia precederà le citate difficoltà nella compilazione di un form che può essere sia semplice che ostico.
Caso di specie citato nello studio, un titolare che pretendeva una determinata forma scritta di sua scelta, rigettando ulteriori forme di interlocuzione diretta per partito preso, o un’autorità che ha riscontrato un 70% di richieste di accesso scartate per difetto di identificazione, di cui il 30% evitabili con strumenti di identificazione plurima e potenziale sbarramento per invalidi sensoriali, anziani o soggetti con disabilità cognitive.
Ulteriore ostacolo è una forma di pigrizia mentale e spesso tecnica: i casi citati mostrano richieste di registrazioni video omissate perché gli strumenti “base” di elaborazione video consentono agevolmente il taglio ma non la censura dei volti, se non una forma di totale asimmetria di potere, laddove il datore di lavoro potrebbe decidere che dati giuridicamente rilevanti come il contenuto di email professionali e telefonate non siano “rilevanti ai fini della Privacy”, virando quindi il tema in decisioni di opportunità più che di diritto.
Parimenti il concetto di manifestatamente infondato o eccessivo si suggerisce sia applicato nel modo più restrittivo possibile e non estensivo o, peius aleatorio.
Ma ci sono anche risultati positivi
Nonostante le evidenti differenze ed eterogeneità evidenziate alcuni titolari sono stati promossi dalle rispettive Autorità a pieni voti, generalmente coloro che avevano un volume di richieste scostato verso l’alto rispetto alla media, e quindi condotti di fatto ad accettare la soluzione proposta per gli altri, ovvero istituzionalizzare delle buone pratiche, processi interni e l’aiuto di software gestionali per il tracciamento delle richieste di accesso e la loro gestione.
La consapevolezza in tutti i casi positivi è nata dalla necessità, portando in alcuni casi virtuosi alla creazione di linee guida pubbliche a contemperare un sistema di trasparenza rivolto all’interessato, o la richiesta espressa di cooperazione col DPO, riassunta in un audit periodico con richiesta di input.
Lo studio si chiude quindi non con una stroncatura fine a sé stessa, non con la perdita di consapevolezza, ma con l’invito a prevenire: laddove la mole di richieste di accesso ai dati è elevata, si perviene ai medesimi risultati che il Framework suggerisce.
Tanto varrebbe pervenirvi prima.
