Una recente sentenza della Corte di Giustizia europea rafforza il potere di controllo dei cittadini sulla circolazione dei propri dati personali. Vediamo di seguito come si è arrivati a questo pronunciamento e quali sono i risvolti pratici nella gestione di una richiesta di accesso.
Accesso ai dati personali: diritto incondizionato o pretesa da motivare? Le “risposte” del Gdpr
Il diritto di accesso nel Gdpr
L’art. 15 del GDPR disciplina il diritto di accesso, prevedendo che ciascun interessato ha diritto di ottenere dal titolare del trattamento la conferma che è in corso un trattamento dei suoi dati personali e in caso di risposta positiva di avere accesso ai dati personali che lo riguardano e che il titolare sta trattando. Inoltre, un interessato che eserciti il diritto di accesso ha diritto di ottenere informazioni che caratterizzano il trattamento dei dati personali.
Il diritto di accesso ha quindi un triplo contenuto:
- diritto di avere la conferma che è in corso un trattamento di dati personali dell’interessato richiedente;
- in caso di conferma positiva accesso ai propri dati personali
- diritto di conoscere le caratteristiche del trattamento precisate dallo stesso art. 15 del GDPR (finalità del trattamento, categorie di dati personali trattati, i destinatari o le categorie di destinatari, il periodo di conservazione dei dati personali o il criterio per determinarlo, i diritti dell’interessato, l’origine dei dati, l’esistenza di processi decisionali automatizzati, l’esistenza di garanzie adeguate in caso di trasferimento di dati extra UE).
La sentenza della CGUE nel caso Österreichische Post
Con riferimento alla terza componente del diritto di accesso (diritto di conoscere le caratteristiche del trattamento) di recente la Corte di Giustizia dell’Unione Europea è intervenuta con una sentenza nella causa C-154/21.
Un cittadino austriaco aveva richiesto ad un’impresa di servizi postali e logistici di comunicargli l’identità dei destinatari a cui l’impresa aveva comunicato i suoi dati personali. L’impresa si è limitata a comunicare le categorie dei destinatari, attenendosi a quanto riportato nell’art. 15 par. 1 lett. c) che espressamente prevede che il titolare del trattamento sia tenuto a comunicare “i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali”.
La Corte Suprema Austriaca ha quindi investito della controversia la CGUE, chiedendo di chiarire se il titolare può scegliere in caso di esercizio del diritto di accesso, di comunicare solo le categorie dei destinatari. La CGUE ha chiarito che il titolare del trattamento ha l’obbligo di fornire all’interessato, su sua richiesta, l’identità stessa dei destinatari a cui sono stati o saranno comunicati i dati personali. Tale obbligo è escluso solo nelle ipotesi in cui non sia possibile identificare i destinatari oppure il titolare riesca a dimostrare che la richiesta dell’interessato è manifestamente infondata o eccessiva.
In ogni caso l’obbligo di comunicare i destinatari, dal tenore della sentenza, sembrerebbe sussistere nel caso in cui vi sia non solo una richiesta di accesso ai sensi dell’art. 15 del GDPR ma l’interessato manifesti in tale richiesta la volontà di esercitare il diritto di conoscere le caratteristiche del trattamento.
La portata applicativa del chiarimento
La portata applicativa di tale chiarimento interpretativo da parte della CGUE è funzionale a rafforzare il potere di controllo sulla circolazione dei dati attribuito agli interessati e a offrire loro uno strumento che li supporti nell’esercizio degli altri diritti riconosciuti dal GDPR.
La mappatura dei destinatari è funzionale sì al diritto di accesso ma anche agli altri diritti riconosciuti dal GDPR, in particolare il titolare del trattamento, ai sensi dell’art. 19 del GDPR, è tenuto a comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali in caso di esercizio del diritto di rettifica, cancellazione o limitazione del trattamento, salvo che ciò si riveli impossibile od implichi uno sforzo sproporzionato. Inoltre, sempre ai sensi dell’art. 19, il titolare del trattamento è tenuto a comunicare all’interessato tali destinatari qualora lo stesso lo richieda.
L’art. 19 GDPR già di per sé richiede ai titolari del trattamento di tenere traccia dell’identità concreta dei destinatari a cui sono comunicati i dati personali. La sentenza della CGUE sul diritto di accesso va in questa direzione ribadendo tale dovere in capo ai titolari.
Risvolti pratici della recente Sentenza della CGUE nella gestione di una richiesta di accesso
Da un punto di vista operativo la sentenza della CGUE richiama la necessità per il titolare del trattamento di tenere traccia dei destinatari a cui si comunicano i dati personali nell’esecuzione dei trattamenti. In questo modo è possibile ricostruire agilmente, in caso di richieste degli interessati, il dettaglio concreto (e non per categoria) dei destinatari a cui sono comunicati i dati personali.
I titolari del trattamento non possono più esimersi dal predisporre e mantenere aggiornata una mappatura dei destinatari a cui sono comunicati i dati personali. Per mappare i destinatari il GDPR offre già uno strumento che è costituito dal registro dei trattamenti. Sebbene l’art. 30 del GDPR al par. 1 lett. d) espressamente preveda che sia sufficiente indicare all’interno del registro dei trattamenti del titolare solo le categorie dei destinatari, vi è comunque la possibilità di inserire all’interno del registro dei trattamenti la mappatura puntuale dei soggetti a cui sono comunicati i dati. In questo modo, qualora occorra, sarà semplice individuare per ciascun processo/finalità del trattamento i destinatari a cui sono comunicati i dati.
Se il titolare si attrezza per avere tale dettaglio all’interno del registro, quando riceve una richiesta di accesso da un determinato interessato, come prima azione, dovrà ricondurre l’interessato all’interno della categoria di appartenenza e verificare all’interno del registro in che processi quella categoria di interessati è coinvolta. Si potrà così avere un primo elenco di destinatari, che poi dovrà comunque essere verificato sulla base della storia di quel determinato interessato che sta esercitando il diritto di accesso e sta richiedendo di conoscere i destinatari a cui sono stati comunicati i dati personali.
La CGUE nella sentenza non specifica se l’obbligo di comunicare i destinatari a cui sono stati comunicati i dati personali riguardi pure i responsabili del trattamento cessati e che hanno confermato al titolare di aver cancellato tutti i dati personali in loro possesso. In assenza di un chiarimento diventa evidente che è opportuno mantenere una traccia di questa informazione. In altri termini quando cambia un fornitore che sta trattando i dati personali per conto del titolare rimane fermo, comunque, l’obbligo di tenere traccia che in un determinato periodo il trattamento era affidato a quel determinato fornitore.
Cos’è il “versioning” del registro e perché è importante
Diventa quindi importantissimo il “versioning” del documento, ossia la cronologia degli aggiornamenti. È necessario mantenere anche le versioni precedenti del documento e che sono state modificate. Qualora un interessato richieda di conoscere i destinatari a cui sono stati comunicati i suoi dati infatti si dovrà verificare quando è incominciato il trattamento e i destinatari a cui sono stati comunicati i dati dal giorno di inizio del trattamento al giorno della richiesta.
Se il titolare optasse per inserire la mappatura dei destinatari all’interno del registro dei trattamenti è bene aggiornare la procedura di aggiornamento del registro dei trattamenti, chiarendo in apposite istruzioni il livello di dettaglio a cui sono tenuti i referenti preposti alla compilazione del registro.
In particolare, per i titolari che hanno numerosi processi ed effettuano un numero elevato di trattamenti, sarebbe opportuno dotarsi di una procedura per l’aggiornamento del registro dei trattamenti che individui anche per ogni processo la funzione competente dell’aggiornamento di tale processo. A ciascuna funzione dovranno essere assegnati i processi in cui è owner e si dovrà individuare un referente di funzione che sarà incaricato dell’aggiornamento del registro del trattamento nei processi di competenza.
Conclusioni
La normativa privacy diventa sempre più impegnativa e viene richiesto un grado sempre più alto di attenzione al flusso dei dati personali. L’interessato ha un potere enorme nei confronti delle imprese, potendo ormai chiedere informazioni che possono comportare costi elevati sia in termini di tempo che in termini strettamente economici.
L’adozione di un impianto di conformità robusto permette alle imprese di gestire le richieste degli interessati in modo semplice e poco oneroso.
Resta comunque fermo il diritto dei titolari del trattamento di rifiutarsi di rispondere alle richieste che dimostrino essere manifestatamente infondate o eccessive oppure addebitare un contributo spese per la gestione delle richieste. Inoltre, in ogni caso come ribadito dalla CGUE e come risulta dal considerando 4 del GDPR il diritto alla protezione dei dati personali va contemperato con gli altri diritti fondamentali nel rispetto del principio di proporzionalità.
