privacy

Diritto di accesso e richiesta di “copia” dei dati personali: l’importante sentenza della Corte Ue



Indirizzo copiato

Per la Corte Ue, la richiesta dell’interessato di una riproduzione fedele e intelligibile dell’insieme dei dati presuppone il diritto di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati

Pubblicato il 15 mag 2023

Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017



edpb edps data act

Per la Corte di Giustizia dell’Unione europea il diritto di accesso non si esaurisce nell’elenco dei dati trattati dal titolare, ma comporta il dovere di consegnare all’interessato copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati.

La sentenza si segnala perché interpreta in modo specifico un punto non chiarissimo del GDPR.

La sentenza della Corte nella causa C-487/21 | Österreichische Datenschutzbehörde e CRIF

Un privato ha chiesto a Crif – società di consulenza commerciale che fornisce, su richiesta dei propri clienti, informazioni sulla solvibilità di terzi – di avere accesso ai dati personali che lo riguardavano, chiedendo anche copia dei documenti (messaggi di posta elettronica, estratti di banche etc).

Crif ha risposto con un elenco dei dati trattati, senza fornire la copia dei documenti richiesti, né gli estratti delle banche dati a cui aveva accesso.

Da qui il ricorso che ha portato – correttamente – al rinvio pregiudiziale avanti alla Corte di Giustizia dell’Unione europea, su un tema molto discusso quanto rilevante nella pratica, ossia la portata del diritto di accesso.

In particolare, Il Bundesverwaltungsgericht (Corte amministrativa federale austriaca), si interrogava sulla portata dell’obbligo di cui all’articolo 15, paragrafo 3, prima frase, del GDPR di fornire all’interessato una “copia” dei suoi dati personali oggetto di trattamento e se tale obbligo fosse soddisfatto nelle ipotesi in cui il titolare avesse trasmesso solo i dati personali sotto forma di tabella sintetica oppure se esso implichi anche la trasmissione di estratti di documenti o anche di documenti interi, nonché di estratti di banche dati, nei quali sono riprodotti detti dati.

Altro tema oggetto del rinvio pregiudiziale era l’esatta portata del termine “informazioni” che figura all’articolo 15, paragrafo 3, terza frase, del GDPR.

La Corte di Giustizia ha affermato che la consegna all’interessato una riproduzione fedele e intelligibile dell’insieme dei dati presuppone quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati, se indispensabile a consentire all’interessato di esercitare effettivamente i diritti conferitigli dal GDPR.

L’interpretazione della Corte si basa sulla portata del termine “copia” utilizzato all’articolo 15, paragrafo 3, del GDPR: “si deve tener conto del significato abituale di questo termine, il quale designa la riproduzione o la trascrizione fedele di un originale, cosicché una descrizione puramente generale dei dati oggetto di trattamento o un rinvio a categorie di dati personali non corrisponderebbe a detta definizione” (cs del 4 maggio 2023 CGUE).

Il tutto secondo un’interpretazione letterale, sistematica e teleologica che il termine “copia” assume nel linguaggio comune, atteso che non vi è, nel GDPR, definizione normativa.

Considerazioni sulla sentenza

Più che di un’interpretazione letterale, sistematica e teleologica, si dovrebbe parlare di interpretazione estensiva: data la definizione di “dato personale” presente nell’articolo 4 del GDPR, la tabella riassuntiva sembrava sufficiente.

Questa è la ragione per cui il Garante austriaco aveva respinto il reclamo.

Il punto è però che, a condizioni date, ridurre il diritto di accesso ad una mera “conferma” del fatto il che il titolare tratta certi dati, elencati pedissequamente, rischia di svuotare il diritto di accesso previsto dal GDPR.

In Italia, per esempio, ipotesi di diritto di accesso “allargato” si erano già registrate con riferimento al diritto dei dipendenti di ottenere dal datore di lavoro i certificati di formazione conseguiti in occasione del rapporto stesso.

Con provvedimento 63 del febbraio 2021, il Garante privacy aveva ammonito una società che non aveva consegnato ad un ex dipendente degli attestati di superamento del corso di auditor ai sensi della norma BS Oshas 18001, dichiarando illecita la condotta della società “ai sensi dell’art. 143 del Codice” dichiara illecita per la “violazione dell’art. 12, par. 4 con riferimento all’art. 15 del Regolamento, in relazione al riscontro che la società ha fornito al reclamante, privo dell’indicazione dei motivi dell’inottemperanza all’esercizio del diritto di accesso e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Secondo il Garante, «il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza […] atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14.12.2018, n. 32533)».

In questo caso, il diritto di accesso era stato “esteso” in ragione del rapporto sottostante, a tutela di un soggetto normativamente ritenuto debole – il lavoratore subordinato.

Conclusioni

È pacifico che un soggetto che venga censito da Crif abbia tutto l’interesse a sapere quali siano le pezze giustificative sulla base delle quali sono state effettuate delle valutazioni sulla sua solvibilità, eventualmente, anche, per chiedere la rettifica del rating e/o il risarcimento del danno per un errore di “calcolo”.

La Corte di Giustizia ha trovato una via interpretativa per salvaguardare il “vero” contenuto del diritto di accesso previsto dall’articolo 15, paragrafo 4, del GDPR, passando – forse in modo un po’ disinvolto – oltre la disciplina letterale.

Detto questo, la sentenza è destinata a fare giurisprudenza e a chiarire, in via definitiva, la portata del diritto di accesso: è evidente che questo andrà inteso in senso sostanziale, ossia toccando tutte le informazioni e fonti di informazioni utili all’interessato per il soddisfacimento dell’interesse sotteso al diritto di accesso.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2