Diritto di accesso e richiesta di “copia” dei dati personali: importante sentenza della Corte UE

Santamaria-Michelejpgpng

guarda tutti gli articoli dell'autore

Se l'interessato richiede una copia dei suoi dati personali deve essergli fornita una riproduzione fedele e intelligibile dei documenti che lo riguardano.

Con la sentenza della Cgue nella causa C-487/21 viene chiarito che il diritto di ottenere una «copia» dei dati personali implica che sia consegnata all'interessato una riproduzione fedele e intelligibile dell'insieme dei dati.

Tale diritto implica quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati contenenti detti dati, se ciò è indispensabile per consentire all’interessato di esercitare effettivamente i diritti conferitigli dal RGPD.

La sentenza si segnala perché interpreta in modo specifico un punto non chiarissimo del GDPR.

Il caso CRIF: sentenza della Corte nella causa C-487/21

Nella causa C-487/21 | Österreichische Datenschutzbehörde e CRIF, la CRIF, un'agenzia di consulenza commerciale austriaca che fornisce ai propri clienti informazioni sulla solvibilità di terzi, rispondendo ad una richiesta di un privato gli ha trasmesso in forma sintetica, l'elenco dei suoi dati oggetto di trattamento. Ritenendo che tale elenco fosse insufficiente la parte ha presentato reclamo al Garante privacy che lo ha respinto. La Corte amministrativa federale, investita del ricorso, si è rivolta alla Cgue.

In particolare, Il Bundesverwaltungsgericht (Corte amministrativa federale austriaca), si interrogava sulla portata dell’obbligo di cui all’articolo 15, paragrafo 3, prima frase, del GDPR di fornire all’interessato una “copia” dei suoi dati personali oggetto di trattamento e se tale obbligo fosse soddisfatto nelle ipotesi in cui il titolare avesse trasmesso solo i dati personali sotto forma di tabella sintetica oppure se esso implichi anche la trasmissione di estratti di documenti o anche di documenti interi, nonché di estratti di banche dati, nei quali sono riprodotti detti dati.

Con la suddetta sentenza, la Corte afferma che il diritto di ottenere dal titolare del trattamento una «copia» dei dati personali oggetto di trattamento in forza dell'articolo 15, paragrafo 3, prima frase, del GDPR implica che sia consegnata all'interessato una riproduzione fedele e intelligibile dell'insieme di tali dati. Il diritto, prosegue, presuppone quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di banche dati, se la fornitura è indispensabile per esercitare i diritti conferiti dal Regolamento europeo.

La Corte di Giustizia ha affermato che la consegna all’interessato una riproduzione fedele e intelligibile dell’insieme dei dati presuppone quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati, se indispensabile a consentire all’interessato di esercitare effettivamente i diritti conferitigli dal GDPR.

L’interpretazione della Corte si basa sulla portata del termine “copia” utilizzato all’articolo 15, paragrafo 3, del GDPR: “si deve tener conto del significato abituale di questo termine, il quale designa la riproduzione o la trascrizione fedele di un originale, cosicché una descrizione puramente generale dei dati oggetto di trattamento o un rinvio a categorie di dati personali non corrisponderebbe a detta definizione” (cs del 4 maggio 2023 CGUE).

Il tutto secondo un’interpretazione letterale, sistematica e teleologica che il termine “copia” assume nel linguaggio comune, atteso che non vi è, nel GDPR, definizione normativa.

Considerazioni sulla sentenza della Corte UE

Più che di un’interpretazione letterale, sistematica e teleologica, si dovrebbe parlare di interpretazione estensiva: data la definizione di “dato personale” presente nell’articolo 4 del GDPR, la tabella riassuntiva sembrava sufficiente.

Questa è la ragione per cui il Garante austriaco aveva respinto il reclamo.

Il punto è però che, a condizioni date, ridurre il diritto di accesso ad una mera “conferma” del fatto il che il titolare tratta certi dati, elencati pedissequamente, rischia di svuotare il diritto di accesso previsto dal GDPR.

Lo stato dell’arte in Italia sul diritto di accesso “allargato”

In Italia, per esempio, ipotesi di diritto di accesso “allargato” si erano già registrate con riferimento al diritto dei dipendenti di ottenere dal datore di lavoro i certificati di formazione conseguiti in occasione del rapporto stesso.

Con provvedimento 63 del febbraio 2021, il Garante privacy aveva ammonito una società che non aveva consegnato ad un ex dipendente degli attestati di superamento del corso di auditor ai sensi della norma BS Oshas 18001, dichiarando illecita la condotta della società “ai sensi dell’art. 143 del Codice” dichiara illecita per la “violazione dell’art. 12, par. 4 con riferimento all’art. 15 del Regolamento, in relazione al riscontro che la società ha fornito al reclamante, privo dell’indicazione dei motivi dell’inottemperanza all’esercizio del diritto di accesso e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Secondo il Garante, «il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza […] atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14.12.2018, n. 32533)».

In questo caso, il diritto di accesso era stato “esteso” in ragione del rapporto sottostante, a tutela di un soggetto normativamente ritenuto debole – il lavoratore subordinato.

La Cassazione, con ordinanza n. 9313/2023, ha affermato che banche e istituti finanziari sono sempre obbligati a rispondere alle richieste in materia di trattamento dei dati personali presentate dai soggetti interessati. La sentenza del Tribunale di Milano impugnata e cassata con rinvio, aveva illegittimamente onerato l'istante della dimostrazione in giudizio della titolarità e del possesso da parte della controparte dei dati personali che lo riguardavano, con ciò, da un lato, onerando la parte di una probatio diabolica (non essendo chiaro come il potesse fornire una prova siffatta) e, dall'altro, invertendo l'onere della prova che, chiaramente e per le ragioni predette, deve essere posto invece a carico del destinatario dell'istanza di accesso, il quale ha per lo meno l'obbligo di rispondere all'interessato, anche nei termini negativi.

Afferma la Prima sezione civile enunciando un principio di diritto: "In materia di trattamento dei dati personali, il soggetto onerato dell'obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili è il destinatario dell'istanza di accesso e non invece l'istante, dovendo il primo sempre riscontrare l'istanza dell'interessato, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l'ostensione".

Conclusioni

La Corte di Giustizia ha trovato una via interpretativa per salvaguardare il “vero” contenuto del diritto di accesso previsto dall’articolo 15, paragrafo 4, del GDPR, passando – forse in modo un po’ disinvolto – oltre la disciplina letterale.

Detto questo, la sentenza è destinata a fare giurisprudenza e a chiarire, in via definitiva, la portata del diritto di accesso: è evidente che questo andrà inteso in senso sostanziale, ossia toccando tutte le informazioni e fonti di informazioni utili all’interessato per il soddisfacimento dell’interesse sotteso al diritto di accesso.

Il problema pratico è che in un rapporto contrattuale o con un ente pubblico i dati trattati sono tantissimi e ci si chiede, allora, quale sia la portata del diritto di accesso: più è ampia e più cresce il costo (di ricerca e riscontro) per chi è obbligato a fornirlo.

Secondo la Corte Ue la portata di questo diritto è così ampia da obbligare il titolare del trattamento a consegnare all’interessato una riproduzione fedele e intelligibile dell’insieme di tutti i suoi dati. Pur essendoci differenza tra dato e documento che contiene il dato, la sentenza finisce con l’ammettere che l’amplissimo diritto di accesso presuppone quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati, se la fornitura della copia è indispensabile per consentire all’interessato di esercitare effettivamente i diritti assicurati dal Gdpr.

Nel caso specifico una persona, censita da una società di informazioni commerciali, ha chiesto la copia di tutti i documenti che lo riguardavano, compresi i messaggi di posta elettronica e gli estratti di banche dati.

La società ha trasmesso solo un elenco sintetico dei dati personali oggetto di trattamento. La sentenza in esame boccia questo orientamento e obbliga a consegnare la copia integrale dei dati, magari non proprio una esatta riproduzione grafica dei documenti, ma in ogni caso di tutti i dati contenuti nei documenti.

QUI il comunicato stampa curia.europa.eu del 4 maggio 2023

SEGUICI PER TENERTI AGGIORNATO SULLE NOVITÀ...

e se ti piace il nostro impegno metti mi piace!

La tua email*

Nome e Cognome*

Cellulare*

Provincia*

Messaggio*

Come preferisci essere ricontattato?

Telefono
Email

Accetto che i miei dati vengano utilizzati per gli scopi indicati.

Sede legale Via Giulio de Petra 1 (71122) Foggia (FG) - Via Bagutta 13 (20121) Milano (MI) - Via S. Vincenzo de Paoli 2 (90018) Termini Imerese (PA)