La sentenza

Diritto di accesso: il nostro potere di controllo sui dati personali rafforzato dalla Corte Ue

Ogni persona ha il diritto di sapere a chi sono stati comunicati i propri dati personali: lo ha stabilito la Corte di Giustizia dell’Unione Europea intervenendo nella causa C-154/21 su Österreichische Post (Informazioni relative ai destinatari di dati personali). La sentenza e i suoi risvolti pratici

Pubblicato il 02 Feb 2023

Giacomo Braschi

Legal Specialist presso DCP

corte ue

Una recente sentenza della Corte di Giustizia europea rafforza il potere di controllo dei cittadini sulla circolazione dei propri dati personali. Vediamo di seguito come si è arrivati a questo pronunciamento e quali sono i risvolti pratici nella gestione di una richiesta di accesso.

Accesso ai dati personali: diritto incondizionato o pretesa da motivare? Le “risposte” del Gdpr

Il diritto di accesso nel Gdpr

L’art. 15 del GDPR disciplina il diritto di accesso, prevedendo che ciascun interessato ha diritto di ottenere dal titolare del trattamento la conferma che è in corso un trattamento dei suoi dati personali e in caso di risposta positiva di avere accesso ai dati personali che lo riguardano e che il titolare sta trattando. Inoltre, un interessato che eserciti il diritto di accesso ha diritto di ottenere informazioni che caratterizzano il trattamento dei dati personali.

Il diritto di accesso ha quindi un triplo contenuto:

  • diritto di avere la conferma che è in corso un trattamento di dati personali dell’interessato richiedente;
  • in caso di conferma positiva accesso ai propri dati personali
  • diritto di conoscere le caratteristiche del trattamento precisate dallo stesso art. 15 del GDPR (finalità del trattamento, categorie di dati personali trattati, i destinatari o le categorie di destinatari, il periodo di conservazione dei dati personali o il criterio per determinarlo, i diritti dell’interessato, l’origine dei dati, l’esistenza di processi decisionali automatizzati, l’esistenza di garanzie adeguate in caso di trasferimento di dati extra UE).

La sentenza della CGUE nel caso Österreichische Post

Con riferimento alla terza componente del diritto di accesso (diritto di conoscere le caratteristiche del trattamento) di recente la Corte di Giustizia dell’Unione Europea è intervenuta con una sentenza nella causa C-154/21.

Un cittadino austriaco aveva richiesto ad un’impresa di servizi postali e logistici di comunicargli l’identità dei destinatari a cui l’impresa aveva comunicato i suoi dati personali. L’impresa si è limitata a comunicare le categorie dei destinatari, attenendosi a quanto riportato nell’art. 15 par. 1 lett. c) che espressamente prevede che il titolare del trattamento sia tenuto a comunicare “i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali”.

La Corte Suprema Austriaca ha quindi investito della controversia la CGUE, chiedendo di chiarire se il titolare può scegliere in caso di esercizio del diritto di accesso, di comunicare solo le categorie dei destinatari. La CGUE ha chiarito che il titolare del trattamento ha l’obbligo di fornire all’interessato, su sua richiesta, l’identità stessa dei destinatari a cui sono stati o saranno comunicati i dati personali. Tale obbligo è escluso solo nelle ipotesi in cui non sia possibile identificare i destinatari oppure il titolare riesca a dimostrare che la richiesta dell’interessato è manifestamente infondata o eccessiva.

In ogni caso l’obbligo di comunicare i destinatari, dal tenore della sentenza, sembrerebbe sussistere nel caso in cui vi sia non solo una richiesta di accesso ai sensi dell’art. 15 del GDPR ma l’interessato manifesti in tale richiesta la volontà di esercitare il diritto di conoscere le caratteristiche del trattamento.

La portata applicativa del chiarimento

La portata applicativa di tale chiarimento interpretativo da parte della CGUE è funzionale a rafforzare il potere di controllo sulla circolazione dei dati attribuito agli interessati e a offrire loro uno strumento che li supporti nell’esercizio degli altri diritti riconosciuti dal GDPR.

La mappatura dei destinatari è funzionale sì al diritto di accesso ma anche agli altri diritti riconosciuti dal GDPR, in particolare il titolare del trattamento, ai sensi dell’art. 19 del GDPR, è tenuto a comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali in caso di esercizio del diritto di rettifica, cancellazione o limitazione del trattamento, salvo che ciò si riveli impossibile od implichi uno sforzo sproporzionato. Inoltre, sempre ai sensi dell’art. 19, il titolare del trattamento è tenuto a comunicare all’interessato tali destinatari qualora lo stesso lo richieda.

L’art. 19 GDPR già di per sé richiede ai titolari del trattamento di tenere traccia dell’identità concreta dei destinatari a cui sono comunicati i dati personali. La sentenza della CGUE sul diritto di accesso va in questa direzione ribadendo tale dovere in capo ai titolari.

Risvolti pratici della recente Sentenza della CGUE nella gestione di una richiesta di accesso

Da un punto di vista operativo la sentenza della CGUE richiama la necessità per il titolare del trattamento di tenere traccia dei destinatari a cui si comunicano i dati personali nell’esecuzione dei trattamenti. In questo modo è possibile ricostruire agilmente, in caso di richieste degli interessati, il dettaglio concreto (e non per categoria) dei destinatari a cui sono comunicati i dati personali.

I titolari del trattamento non possono più esimersi dal predisporre e mantenere aggiornata una mappatura dei destinatari a cui sono comunicati i dati personali. Per mappare i destinatari il GDPR offre già uno strumento che è costituito dal registro dei trattamenti. Sebbene l’art. 30 del GDPR al par. 1 lett. d) espressamente preveda che sia sufficiente indicare all’interno del registro dei trattamenti del titolare solo le categorie dei destinatari, vi è comunque la possibilità di inserire all’interno del registro dei trattamenti la mappatura puntuale dei soggetti a cui sono comunicati i dati. In questo modo, qualora occorra, sarà semplice individuare per ciascun processo/finalità del trattamento i destinatari a cui sono comunicati i dati.

Se il titolare si attrezza per avere tale dettaglio all’interno del registro, quando riceve una richiesta di accesso da un determinato interessato, come prima azione, dovrà ricondurre l’interessato all’interno della categoria di appartenenza e verificare all’interno del registro in che processi quella categoria di interessati è coinvolta. Si potrà così avere un primo elenco di destinatari, che poi dovrà comunque essere verificato sulla base della storia di quel determinato interessato che sta esercitando il diritto di accesso e sta richiedendo di conoscere i destinatari a cui sono stati comunicati i dati personali.

La CGUE nella sentenza non specifica se l’obbligo di comunicare i destinatari a cui sono stati comunicati i dati personali riguardi pure i responsabili del trattamento cessati e che hanno confermato al titolare di aver cancellato tutti i dati personali in loro possesso. In assenza di un chiarimento diventa evidente che è opportuno mantenere una traccia di questa informazione. In altri termini quando cambia un fornitore che sta trattando i dati personali per conto del titolare rimane fermo, comunque, l’obbligo di tenere traccia che in un determinato periodo il trattamento era affidato a quel determinato fornitore.

Cos’è il “versioning” del registro e perché è importante

Diventa quindi importantissimo il “versioning” del documento, ossia la cronologia degli aggiornamenti. È necessario mantenere anche le versioni precedenti del documento e che sono state modificate. Qualora un interessato richieda di conoscere i destinatari a cui sono stati comunicati i suoi dati infatti si dovrà verificare quando è incominciato il trattamento e i destinatari a cui sono stati comunicati i dati dal giorno di inizio del trattamento al giorno della richiesta.

Se il titolare optasse per inserire la mappatura dei destinatari all’interno del registro dei trattamenti è bene aggiornare la procedura di aggiornamento del registro dei trattamenti, chiarendo in apposite istruzioni il livello di dettaglio a cui sono tenuti i referenti preposti alla compilazione del registro.

In particolare, per i titolari che hanno numerosi processi ed effettuano un numero elevato di trattamenti, sarebbe opportuno dotarsi di una procedura per l’aggiornamento del registro dei trattamenti che individui anche per ogni processo la funzione competente dell’aggiornamento di tale processo. A ciascuna funzione dovranno essere assegnati i processi in cui è owner e si dovrà individuare un referente di funzione che sarà incaricato dell’aggiornamento del registro del trattamento nei processi di competenza.

Conclusioni

La normativa privacy diventa sempre più impegnativa e viene richiesto un grado sempre più alto di attenzione al flusso dei dati personali. L’interessato ha un potere enorme nei confronti delle imprese, potendo ormai chiedere informazioni che possono comportare costi elevati sia in termini di tempo che in termini strettamente economici.

L’adozione di un impianto di conformità robusto permette alle imprese di gestire le richieste degli interessati in modo semplice e poco oneroso.

Resta comunque fermo il diritto dei titolari del trattamento di rifiutarsi di rispondere alle richieste che dimostrino essere manifestatamente infondate o eccessive oppure addebitare un contributo spese per la gestione delle richieste. Inoltre, in ogni caso come ribadito dalla CGUE e come risulta dal considerando 4 del GDPR il diritto alla protezione dei dati personali va contemperato con gli altri diritti fondamentali nel rispetto del principio di proporzionalità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati