Con la Sentenza nella Causa C‑579/21, del 22 giugno 2023 scorso, la Corte di Giustizia è intervenuta in tema di diritto di accesso, vediamo in sintesi la posizione della Corte.
Indice
Il caso
Nel 2014 un dipendente e, nel contempo, cliente della Banca (Pankki S) è venuto a conoscenza del fatto che i suoi dati personali erano stati consultati da altri membri del personale della banca, in più occasioni, tra il 1° novembre e il 31 dicembre 2013. Nutrendo dubbi circa la liceità di tali consultazioni, tale dipendente che, nel frattempo, era stato licenziato dal suo impiego presso la Banca, ha chiesto a quest’ultima di comunicargli l’identità delle persone che avevano consultato i suoi dati, le date esatte delle consultazioni nonché le finalità del trattamento di detti dati.
Nella sua risposta la Banca ha rifiutato di comunicare l’identità degli impiegati. In particolare, la banca ha spiegato di aver consultato i suoi dati per verificare un possibile conflitto di interessi (il dipendente risultava consulente di un cliente della banca che aveva lo stesso cognome dell’interessato), ma ha rifiutato di divulgare l’identità dei dipendenti sostenendo che queste informazioni “costituivano dati personali di detti dipendenti”.
Il richiedente, non soddisfatto della risposta della banca, si è rivolto all’Ufficio del Garante per la protezione dei dati personali della Finlandia, affinché fosse ingiunto alla Pankki S di comunicargli le informazioni richieste. Dato che tale domanda è stata respinta, il richiedente ha proposto ricorso dinanzi al Tribunale amministrativo della Finlandia orientale, che chiede alla Corte di giustizia di interpretare l’articolo 15 del regolamento generale sulla protezione dei dati (GDPR).
Il Giudizio della Corte
La Corte spiega che, nonostante la comunicazione delle informazioni relative all’identità dei dipendenti del titolare all’interessato dal trattamento sia necessaria a quest’ultimo per verificare la liceità del trattamento stesso dei suoi dati personali, essa è tuttavia tale da ledere i diritti e le libertà di tali dipendenti.
Quindi, in caso di conflitto tra, da un lato, l’esercizio di un diritto di accesso che assicura l’effetto utile dei diritti riconosciuti dal GDPR all’interessato e, dall’altro, i diritti o le libertà altrui, occorre effettuare un bilanciamento tra i diritti e le libertà in questione. Ove possibile, occorre scegliere modalità di comunicazione che non ledano i diritti o le libertà altrui, tenendo conto del fatto che tali considerazioni non devono “condurre a un diniego a fornire all’interessato tutte le informazioni”, come risulta dal considerando 63 del GDPR.
Tuttavia, secondo la Corte, dalla decisione di rinvio risulta che l’interessato chiede che gli siano comunicate le informazioni relative all’identità dei dipendenti della banca poiché nutre dubbi circa la veridicità delle informazioni relative alla finalità di tali consultazioni che la banca gli ha comunicato. Se così fosse, l’interessato avrebbe il diritto di presentare un reclamo all’autorità di controllo, la quale ha il potere di chiedere al titolare del trattamento di fornirle ogni informazione di cui necessiti per esaminare il reclamo dell’interessato.
Per la Corte, quindi, l’art. 15, comma 1, del GDPR deve essere interpretato nel senso che le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione.
Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto Titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da regolamento e a condizione che si tenga conto dei diritti e delle libertà dei dipendenti.