Il diritto di accesso ai dati personali oggetto di trattamento, esercitabile nei confronti di ogni titolare del trattamento (disciplinato dall’art. 15 del GDPR), è senza dubbio il diritto più importante tra quelli riconosciuti a ciascuno di noi dalla disciplina di settore (il GDPR appunto).
Il diritto di accesso, infatti, è il diritto dal quale dipende in linea di principio e di fatto l’esercizio di tutti gli altri diritti riconosciuti a tutti noi nei confronti dei titolari del trattamento: diritti di portabilità, rettifica e cancellazione dei dati personali, di limitazione del trattamento, di opposizione, di proporre reclamo all’autorità Garante.
Diritto di accesso: il nostro potere di controllo sui dati personali rafforzato dalla Corte Ue
Senza l’accesso, dunque senza la consapevolezza sul se un trattamento sia in corso, su quali dati ne siano l’oggetto, su come esso venga attuato, con quali misure di sicurezza e così via, noi non potremmo esercitare razionalmente e, di nuovo, consapevolmente, i nostri diritti (sopra elencati) a tutela dei nostri dati e, prima ancora, della nostra persona.
Le problematiche connesse all’esercizio del diritto di accesso
Questa riflessione di principio, di per sé sempre importante, assume oggi una valenza ancora maggiore alla luce della recente emersione di problematiche piuttosto rilevanti in ordine all’esercizio del diritto di accesso, laddove di frequente i titolari del trattamento reagiscono spesso con un diniego a tale richiesta, ovvero laddove ne condizionano l’accoglimento al conferimento da parte delle persone titolari dei dati di ulteriori informazioni, dunque di ulteriori dati personali, dei quali i titolari del trattamento stessi non dovrebbero e non potrebbero interessarsi.
Ciò è ancora più grave e rilevante ove si consideri che l’autenticazione presso i titolari del trattamento ai fini dell’esercizio del diritto di accesso da parte di ciascuno di noi ben può avvenire mediante cookie a ciò predisposti.
La centralità dell’autenticazione
La centralità dell’autenticazione dei titolari dei dati presso i titolari del trattamento ai fini dell’esercizio del diritto di accesso ai dati personali
Per comprendere esattamente le implicazioni dei problemi che stanno emergendo in punto di esercizio del diritto di accesso ai dati personali oggetto di trattamento è necessario inquadrare correttamente la fase dell’autenticazione della identità del soggetto richiedente nei confronti del titolare del trattamento.
Quando noi ci logghiamo in un account web, qualsiasi account, forniamo, spesso e volentieri in modo automatico, un set di credenziali (che sono dati personali) concepito dal gestore della pagina web al fine di identificarci con un grado di attendibilità più o meno elevato, ma comunque ritenuto sufficiente dal gestore medesimo.
Questo grado di attendibilità nell’identificare una persona, quando si parla di esercizio del diritto di accesso ai dati personali deve essere massimo; e ciò significa che il set di credenziali (dati personali) necessario per ottenere tale alto standard di certezza sulla identità della persona che è in procinto di esercitare tale diritto deve essere concepito in modo da garantire di evitare per così dire “falsi positivi”: è quindi pressoché inevitabile il ricorso a documenti di identità con valore legale, ed a più fasi di autenticazione (per esempio basate sull’invio di codici sui devices personali).
I cookie di autenticazione
È evidente, infatti, che un titolare del trattamento, non può in alcun caso correre il rischio di fornire l’accesso ai dati personali di una persona a qualcuno che è semplicemente riuscito a spacciarsi per il titolare degli stessi; e ciò comporta la necessità di trattare dati di autenticazione di alto livello, intrinsecamente conosciuti e conoscibili solo ai rispettivi titolari.
Le implicazioni insite in una autenticazione errata per i diritti e le libertà fondamentali delle persone (a causa della comunicazione di dati personali, spesso sensibili, a chi mai dovrebbe venirne a conoscenza) è infatti autoevidente.
Tutto questo può essere evitato efficientemente con il ricorso a cookie di autenticazione: cookie che compattano ed organizzano in formato elettronico, spesso criptato, informazioni di alto livello come quelle contenute in una carta di identità, in una tessera sanitaria, od in una patente di guida (si pesi per esempio alle credenziali SPID).
La richiesta di ulteriori dati personali rispetto a quelli strettamente necessari
Ricapitoliamo: come è possibile installare sui nostri devices cookie che ci profilano, oppure che semplicemente tengono conto delle nostre preferenze per ottimizzare la nostra esperienza di navigazione di una pagina web, così è altrettanto possibile installarvi cookie che organizzano e memorizzano set di dati di identificazione di alto livello in modo sicuro ed efficiente al fine di identificarci, come precondizione per l’esercizio del diritto di accesso ai nostri dati personali oggetto di trattamento.
Sembrerebbe tutto a posto, pulito, efficiente e lineare; tuttavia, e purtroppo, le cose non stanno esattamente in questi termini.
Sta emergendo, infatti, che spesso i titolari del trattamento negano puramente e semplicemente l’esercizio del diritto di accesso a coloro che ne fanno richiesta, oppure lo condizionano al conferimento di ulteriori dati personali rispetto al set strettamente necessario.
Sorvolando sul primo aspetto, in quanto frontalmente eversivo ed illecito rispetto a quanto imposto dal GDPR, anche il secondo contegno è certamente illegittimo: il principio di minimizzazione dei dati rispetto alla finalità del trattamento (la lettura dei dati necessari ad una identificazione personale è un trattamento in sé stessa) è infatti uno dei principi fondanti del GDPR.
Nessun dato ulteriore rispetto al set predisposto a priori, può dunque essere richiesto dai titolari del trattamento come precondizione per l’accoglimento della domanda di esercizio del diritto di accesso ai dati da parte dei loro titolari.
Questi contegni sono viepiù anacronistici e certamente illeciti proprio alla luce della possibilità di utilizzare, ai fini della autenticazione, cookie a ciò dedicati; ed in questa prospettiva è utile ricordare che il EDP, nelle linee guida dedicate all’esercizio del diritto di accesso ai sensi dell’art. 15 del GDPR, ha espressamente raccomandato l’impiego dei cookie di autenticazione per renderne più lineare, efficiente e sicura l’implementazione, sia nel nostro interesse di titolari dei dati, sia nell’interesse dei titolari del trattamento impegnati nel rendere effettivo un diritto di siffatta delicatezza.
Conclusioni
Non sorprende dunque che alcune associazioni di supporto ai diritti dei consumatori si stiano interessando al tema, ed abbiano già presentato, o siano in procinto di presentare numerose istanze giudiziali a tutela del diritto di accesso e nella prospettiva di garantirne il miglior esercizio da parte nostra.
Sarà sicuramente molto interessante analizzare e commentare in futuro i lineamenti della giurisprudenza che da questo filone di contenzioso emergerà.
