Nella sentenza relativa alla causa C-154-2021 la Corte di Giustizia è tornata su un argomento strategico per le aziende: il diritto di accesso ai dati degli interessati.
Indice
Il caso esaminato dalla Corte
Un cittadino austriaco aveva chiesto alla Österreichische Post (le Poste austriache) di conoscere a chi avesse trasmesso i suoi dati personali. Le poste austriache si erano limitate ad affermare che utilizzavano i dati personali nei limiti consentiti dalla legge nell’ambito della propria attività di editore di elenchi telefonici, e che forniva tali dati ai partner commerciali a fini di marketing. A seguito di ricorsi vari, la Corte suprema austriaca aveva chiesto alla Corte di Giustizia dell’UE di sapere se il GDPR lasciasse al titolare del trattamento dei dati la libera scelta di comunicare l’identità concreta dei destinatari oppure unicamente le categorie dei destinatari, e se l’interessato avesse il diritto di conoscere la loro identità concreta.
Il giudizio della Corte
La Corte di Giustizia ha affermato che qualora i dati personali siano stati o saranno comunicati a dei destinatari, il titolare del trattamento è obbligato a fornire all’interessato, su sua richiesta, l’identità stessa di tali destinatari.
Per la Corte, solo nel caso in cui il titolare dimostri che la richiesta è manifestamente infondata o eccessiva, o che non sia (ancora) possibile identificare tali destinatari, allora il titolare del trattamento può limitarsi a indicare unicamente le categorie di destinatari a cui vengono comunicate i dati.
La Corte sottolinea che tale diritto di accesso è necessario per esercitare gli altri diritti riconosciuti dal Regolamento UE 2016/679, come il diritto di rettifica, il diritto alla cancellazione, il diritto di limitazione di trattamento, il diritto di opposizione al trattamento o, il diritto di agire in giudizio nel caso in cui subisca un danno.
La posizione sul diritto di accesso
Nel 2022 anche le EDPB erano intervenuto con specifiche Linee guida per indirizzare i Titolari del trattamento su come affrontare e gestire le richieste di accesso ai propri dati degli interessati. L’intervento dell’EDPB nasceva anche dalla circostanza che si tratta di uno dei diritti fondamentali per gli interessati e non si può sbagliare nel dare opportuno riscontro e sul tema nelle Linee Guida si afferma che “il titolare del trattamento dovrebbe [—] nominare i destinatari effettivi, a meno che non sia possibile indicare solo la categoria di destinatari“, ma le linee guida dell’EDPB non sono vincolanti, diversamente dalle decisione della Corte di Giustizia.
In linea con le Linee Guida, quindi, la Corte ribadisce l’obbligo di comunicare i destinatari dei dati in caso di richiesta di diritto di accesso, affermando che “l’obiettivo del GDPR [è] che l’interessato abbia il diritto di ottenere dal titolare del trattamento informazioni sui destinatari specifici a cui sono stati o saranno comunicati i dati personali che lo riguardano.”
L’eccezione consentita dalla Corte di giustizia a tali obblighi deve essere residuale e limitata. Infatti, per la Corte, “il diritto di accesso può essere limitato alle informazioni sulle categorie di destinatari se è impossibile comunicare l’identità dei destinatari precisi, in particolare quando questi non sono ancora noti“.
Quale impatto ha questa pronuncia?
Il diritto di accesso è certamente un diritto fondamentale per gli interessati, che ha delle radici – nel trattamento dati – prima di tutto nell’informativa privacy e nel rispetto del principio di trasparenza. In questo adempimento, il titolare del trattamento ha come primo obbligo quello di comunicare i destinatari cui vengono o possono comunicare i dati degli stessi interessati. Ancora oggi, però, troviamo informative estremamente generiche e poco precise sui responsabili a cui vengono comunicati i dati.
E’ importante, viceversa, lavorare sui contenuti delle informative per consentire agli interessati scelte consapevoli sui loro trattamenti dati. Le Linee Guida EDPB Trasparenza WP 260 precisano che nelle Informative devono essere indicati i destinatari effettivi dei dati personali (per nome) o le categorie di destinatari. Qualora i titolari del trattamento optano per fornire le categorie dei destinatari, le informazioni dovrebbero essere il più specifiche possibile e indicare il tipo (ad es. facendo riferimento alle attività svolte), l’ambito di attività, il settore, il comparto e la sede dei destinatari.
Ma il punto di partenza resta la consapevolezza del flusso del dato dell’interessati all’interno della propria organizzazione (la cosiddetta mappatura), in particolare nelle attività di marketing dove non solo l’utente è più attento, ma c’è anche più facilmente l’utilizzo di fornitori terzi.
Senza l’attività di mappatura sarà impossibile avere delle informative complete e dare riscontro agli interessati nel termine di un mese dal ricevimento della richiesta, come richiesto dal GDPR. Questo termine può essere esteso di altri due mesi, se necessario, tenendo conto della complessità e del numero delle richieste, ma questa estensione non cambia molto.
Indubbiamente, la sentenza della Corte aggiunge un ulteriore livello di complessità, poiché spesso le organizzazioni non elencano nel registro dei trattamenti dei dati o in qualsiasi altro database i nomi dei destinatari di ciascuna categoria di dati personali. Vista la pronuncia, si consiglia di riguardare i Registri e ove assenti tracciare anche questa informazione.
Anch’io, come altri autori, ritengo che questa interpretazione della Corte di Giustizia sia pericolosa perché idonea ad essere utilizzata in maniera distorsiva per danneggiare un proprio fornitore o il proprio datore di lavoro.