la sentenza

Ognuno ha diritto di sapere l’uso che viene fatto dei suoi dati personali: ecco perché

Il diritto di accesso implica l’obbligo per il titolare del trattamento di fornire all’interessato l’identità dei destinatari. Solo se la richiesta è manifestamente infondata o eccessivamente onerosa il titolare può limitarsi a indicare le categorie dei soggetti destinatari

Pubblicato il 08 Mar 2023

Patrizia Cardillo

Esperta privacy e data protection

sentenza-ex-specializzandi-700×407

Con la sentenza nella causa C-145/21 la Corte di Giustizia dell’Unione europea ha sancito definitivamente il diritto di ogni persona fisica di conoscere i destinatari dei propri dati personali.

Contesto normativo

Non poteva essere diversamente. Il principio della trasparenza è uno degli elementi fondanti, uno dei pilastri del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (nel seguito: Regolamento o GDPR):

  • devono essere trasparenti le modalità con cui i dati personali sono raccolti, utilizzati, consultati o comunque trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al loro trattamento siano facilmente accessibili e comprensibili e le informazioni rese devono utilizzare un linguaggio semplice e chiaro;
  • ogni interessato ha il diritto di accedere ai dati che lo riguardano, di conoscere e di ottenere informazioni in particolare in relazione ai soggetti che li trattano, alle finalità e alla base giuridica a fondamento del trattamento, alla sua durata, ai destinatari, alla eventuale presenza di trattamenti automatizzati e di profilazione delle informazioni raccolte e le possibili conseguenze.

Il titolare del trattamento è il soggetto tenuto a rispondere di fronte dell’esercizio di tali diritti, sia che agisca direttamente o attraverso coloro che operano per suo conto. E’ tenuto a mettere in atto -e a dimostrare di averlo fatto- misure adeguate ed efficaci commisurate alla natura, ambito di applicazione, contesto, finalità del trattamento nonché dei rischi per i diritti e le libertà delle persone fisiche.

Diritto di accesso: il nostro potere di controllo sui dati personali rafforzato dalla Corte Ue

L’intero capo III del Regolamento è dedicato a trattare i diritti del soggetto interessato. Determina espressamente la tipologia di informazioni da rendere, differenziando le modalità di raccolta, e l’innovata tipologia dei diritti che possono essere esercitati e di cui il soggetto deve anche essere informato dal titolare.

Il titolare non solo deve rispettare e far rispettare tali diritti, ma deve agevolarne l’esercizio con l’unico limite costituito dall’impossibilità di identificare l’interessato. Anche se non è espressamente codificato, ma sicuramente in conformità al principio di accountability, è necessario che il titolare rediga una apposita procedura e renda note le modalità di esercizio dei diritti dell’interessato (format e modelli) organizzando a tal fine la sua struttura per assicurare l’efficace risposta all’esercizio del diritto nei tempi stabiliti. Il rispetto dei termini per dare risposte adeguate e far fronte ai possibili esiti (oltre a dimostrare un comportamento corretto) richiede che i meccanismi di intervento siano noti all’interno dell’organizzazione.

È sancita la gratuità dell’azione fatto salvo il caso in cui la richiesta sia manifestatamente infondata, ripetitiva o onerosa: in tal caso il titolare può rifiutarsi (ma su di lui ricade l’onere della prova) o addebitare un contributo spese ragionevole[1] tenendo conto dei costi amministrativi effettivamente sostenuti.

A completare il quadro dei diritti dei soggetti interessati al trattamento, intervengono ancora due articoli del GDPR:

  • l’art. 79 che sancisce il diritto a proporre un ricorso giurisdizionale effettivo in presenza di una violazione del Regolamento;
  • l’art. 85 che sancisce il diritto al risarcimento del danno, materiale o immateriale, causato da una violazione.

I fatti

Il 15 gennaio 2019 un cittadino austriaco si era rivolto all’Österreichische Post per avere accesso ai suoi dati personali e conoscere l’identità dei destinatari. Le poste austriache si erano limitate ad affermare di utilizzare i dati, nei limiti consentiti dalla legge, nell’ambito dell’attività di editor di elenchi telefonici e che i dati erano pertanto forniti a partner commerciali a fini di marketing, rinviando ad un sito internet per informazioni più dettagliate.

Di fatto non ha comunicato i destinatari dei dati.

Nel procedimento giudiziario avviato dal soggetto interessato, il ricorso era stato respinto: i giudici hanno ritenuto che la specifica norma del GDPR (art. 15, par. 1, lett. c) conferisce “al titolare la possibilità di indicare all’interessato soltanto le categorie dei destinatari, senza dover indicare nominativamente i destinatari concreti ai quali sono trasmessi i dati personali”.

Nel ricorso alla Corte suprema il giudice rileva che, pur non essendo evidente il diritto dell’interessato “di avere accesso alle informazioni relative ai destinatari concreti dei dati comunicati” come la possibilità del titolare di scegliere discrezionalmente il modo di dare seguito alla richiesta di accesso, la ratio legis della norma appare far ritenere prevalente la scelta dell’interessato di chiedere informazioni sui destinatari concreti dei suoi dati personali. Una diversa lettura farebbe venire meno l’effettività stessa dei mezzi di ricorso a disposizione del soggetto interessato per proteggere i suoi dati. Si noti che la tutela si estende anche ai dati trattati in passato.

Se il titolare si trovasse nella condizione lui di scegliere quali dati fornire, poche sarebbero i casi in cui effettivamente il titolare renderebbe disponibili le informazioni relative ai destinatari concreti.

Sulla base di tali elementi la suprema corte austriaca ha sospeso il procedimento e ha sottoposto la questione alla Corte di giustizia europea.

La valutazione della Corte di Giustizia europea

La questione, quindi, verte sulla portata stessa del diritto di accesso: l’art. 15, par.1, lett.c, implica, nel caso in cui i “dati sono stati o saranno comunicati a destinatari, l’obbligo per il titolare del trattamento di fornire all’interessato l’identità concreta di tali destinatari”.

In via preliminare la Corte enuncia che, quando una disposizione del diritto dell’Unione è suscettibile di più interpretazioni, a prevalere deve essere quella che è idonea a salvaguardare gli obiettivi e le finalità che persegue l’atto di cui tale norma è parte.

Nello specifico l’art. 15 del GDPR enuncia il diritto dell’interessato di ottenere dal titolare la conferma che sia o meno in corso un trattamento di suoi dati personali e, in tal caso, di ottenere l’acceso ai suoi dati e alle informazioni relative ai destinatari o alle categorie di destinatari a cui tali dati personali sono stati o saranno comunicati, non indicando un ordine di priorità tra le informazioni e non consentendo esplicitamente, in modo univoco, il diritto dell’interessato ad essere informato riguardo l’identità concreta dei destinatari.

Nel contempo però sovvengono ulteriori evidenti valutazioni:

  • il contesto: il considerando 63 stabilisce il diritto dell’interessato di conoscere e ottenere informazioni tout court senza limitazioni, in particolare, in relazione ai destinatari e non precisa che tale diritto possa essere limitato alle mere categorie di destinatari;
  • qualsiasi trattamento deve rispettare i principi enunciati dall’art. 5 del GDPR ed, in particolare, quello di trasparenza che implica[2] il diritto dell’interessato di avere tutte le “informazioni sulle modalità con cui i suoi dati personali sono trattati e che tali informazioni siano facilmente accessibili e comprensibili”;
  • a differenza dell’obbligo fissato per il titolare dagli articoli 13 e 14 del GDPR di fornire informazioni all’interessato, l’art. 15 prevede un rafforzato diritto di accesso da parte dell’interessato; ne deriva che è tale soggetto a poter scegliere quali siano le informazioni a lui necessarie;
  • informazioni, le più “esatte possibili”, che possono, a loro volta, essere strumentali all’esercizio di altri diritti[3] all’interessato riconosciuti dal Regolamento, diritti che non possono subire limitazioni dal mancato possesso di informazioni determinanti, quali, in particolare l’identità concreta dei destinatari;
  • l’art. 19, inoltre, impone al titolare di comunicare ai destinatari dei dati personali eventuali intervenute rettifiche, cancellazioni limitazioni al trattamento o di ogni altra informazione inerente.

Da tale analisi esposta dalla Corte emerge la centralità delle previsioni dell’art. 15 fondamentali per garantire che i dati personali trattati siano trasparenti per l’interessato e presupposto dell’esercizio delle prerogative previste dagli articoli 16-22 (diritti interessato), 79 (ricorso giurisdizionale) e 82 (risarcimento del danno) del GDPR.

Ma soprattutto la completa conoscenza si rileva fondamentale per il raggiungimento dell’obiettivo stesso del GDPR, garantire un elevato livello di protezione delle persone fisiche all’interno dell’Unione come fissato dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea; elementi tutti che portano ad una interpretazione più estensiva possibile: “l’interessato ha il diritto di ottenere dal titolare del trattamento informazioni su destinatari concreti ai quali i dati personali che lo riguardano sono stati o saranno comunicati”.

A contemperare tale affermazione intervengono altre considerazioni che prendono le mosse dal considerando 4 del GDPR: il diritto alla protezione dei dati non è una prerogativa assoluta ma deve essere considerato alla luce della sua funzione sociale e contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.

Tale considerazione porta la Corte di giustizia dell’Unione europea ad ammettere che, in circostanze specifiche, possa non essere possibile fornire informazioni su destinatari concreti.

Occorre però, che il titolare si trovi nell’impossibilità di comunicare l’identità dei destinatari concreti, in particolare qualora questi non siano ancora noti.

Ma soprattutto in capo al titolare ricade anche l’onere della prova[4] di trovarsi di fronte ad una richiesta manifestatamente infondata o eccessiva[5].

Conclusioni

Eccezione, quindi, non regola: il diritto di accesso implica, qualora i dati siano stati o saranno comunicati a destinatari, l’obbligo per il titolare del trattamento di fornire all’interessato l’identità dei destinatari, a meno che non sia impossibile identificarli o il titolare del trattamento non dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive, solo nel qual caso il titolare può indicare unicamente le categorie di destinatari di cui trattasi.

Note

  1. Cfr. Ordinanza di ingiunzione n.341 del 20 ottobre 2022 nei confronti del Comune di Salento: il Garante ha ritenuto non motivato ed eccessivo l’importo fissato dal Comune per l’accesso ai dati e ne ha ordinato la totale gratuità.
  2. Cfr. Considerando 39 GDPR.
  3. Cfr. articoli 15-22 del GDPR
  4. Cfr. Ordinanza di ingiunzione Garante 11 febbraio 2021 n. 54.
  5. Cfr. art. 12, paragrafo 5, lettera b e Considerando 74 del GDPR.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 2