Categoria: art. 15 Diritto di accesso dell’interessato

Sul diritto di accesso ai propri dati da parte dell’interessato

interessante pronuncia della Corte di Giustizia 22.06.2023, C-579/21, sul diritto dell’interssato di essere esattamente informato su chi e perchè ha chiesto l’accesso ai suoi dati.

L’art. 15 § 1 GDPR va interpretato nel senso che:

<<le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione.

Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti>>.

I fatti storici:

<< 20  Nel 2014, J.M., all’epoca dipendente e cliente della Pankki S, è venuto a conoscenza del fatto che i suoi dati di cliente erano stati consultati da membri del personale della banca, in più occasioni, nel periodo compreso tra il 1° novembre e il 31 dicembre 2013.

21      Nutrendo dubbi circa la liceità di tali consultazioni, J.M. che, nel frattempo, era stato licenziato dal suo impiego presso la Pankki S, ha chiesto a quest’ultima, il 29 maggio 2018, di comunicargli l’identità delle persone che avevano consultato i suoi dati di cliente, le date esatte delle consultazioni nonché le finalità del trattamento di detti dati.

22      Nella sua risposta del 30 agosto 2018, la Pankki S, in qualità di titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD, ha rifiutato di comunicare l’identità dei dipendenti che avevano svolto le operazioni di consultazione, con la motivazione che tali informazioni costituivano dati personali di detti dipendenti.

23      Tuttavia, nella medesima risposta, la Pankki S ha fornito precisazioni in merito alle operazioni di consultazione svolte, conformemente alle sue istruzioni, dal servizio di audit interno di quest’ultima. Essa ha in tal modo chiarito che un cliente della banca di cui J.M. era il consulente alla clientela risultava creditore di una persona che aveva lo stesso cognome di J.M., cosicché essa aveva voluto chiarire se il ricorrente nel procedimento principale e detto debitore fossero la stessa persona e se vi fosse stato un eventuale rapporto di conflitto di interessi inappropriato. La Pankki S ha aggiunto che per chiarire tale questione era stato necessario procedere al trattamento dei dati di J.M. e che tutti i dipendenti della banca che avevano svolto il trattamento di tali dati avevano rilasciato al servizio di audit interno una dichiarazione sui motivi di detto trattamento di dati. Inoltre, la banca ha dichiarato che tali consultazioni avevano consentito di fugare qualsiasi sospetto di conflitto di interessi per quanto riguarda J.M>>.

Significativa precisazione: <<è pacifico che le operazioni di consultazione aventi ad oggetto i dati personali del ricorrente nel procedimento principale costituiscono un «trattamento» ai sensi dell’articolo 4, punto 2, del RGPD, con la conseguenza che esse conferiscono a quest’ultimo, in forza dell’articolo 15, paragrafo 1, di tale regolamento, non solo un diritto di accesso a tali dati personali, ma anche un diritto a che gli siano comunicate le informazioni relative a dette operazioni, quali menzionate da quest’ultima disposizione>>.

L’accesso alle informazioni sul trattamento dei propri dati implica anche sapere esattamente a chi sono stati comunicati

<<l’articolo 15, paragrafo 1, lettera c), del RGPD deve essere interpretato nel senso che il diritto di accesso dell’interessato ai dati personali che lo riguardano, previsto da tale disposizione, implica, qualora tali dati siano stati o saranno comunicati a destinatari, l’obbligo per il titolare del trattamento di fornire a detto interessato l’identità stessa di tali destinatari, a meno che non sia impossibile identificare detti destinatari o che il suddetto titolare del trattamento non dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive, ai sensi dell’articolo 12, paragrafo 5, del RGPD, nel qual caso il titolare del trattamento può indicare a detto interessato unicamente le categorie di destinatari di cui trattasi>>.

Così Gocrte di giustizia 12.01.2023, C-154/21, RW c. Österreichische Post AG.

In presenza di un dettato normativo di questa fatta (<<articolo 15 Diritto di accesso dell’interessato – 1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: (…) c)  i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;>>), ci pare un esito assai difficilmente contestabile.

Sul concetto di “copia dei dati personali” che il titolare del trattamento deve fornire all’interessato ex art. 15.3 GDPR: intanto le conclusioni dell’AG

L’avvocato generale Pitruzzella nella causa C-487/21 ha presentato il 15.12.2022 le sue conclusini sull’oggetto (si trattava di richiesta rivolta ad agenia di informazioni sulla solvibilità delle persone).

La disposizione così recita: <<3.   Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.>>

 La risposta dell’AG è :

<< la nozione di “copia” di cui a tale disposizione deve essere intesa come una riproduzione fedele in forma intellegibile dei dati personali richiesti dall’interessato, in un formato materializzato e permanente, che consenta all’interessato di esercitare in maniera effettiva il diritto di accesso ai suoi dati personali, avendo piena conoscenza di tutti i suoi dati personali oggetto di trattamento – compresi i dati ulteriori eventualmente generati a seguito del trattamento, se sono anch’essi oggetto di trattamento –, al fine di poterne verificare l’esattezza e di permettergli di accertarsi della correttezza e della liceità del trattamento per poter, se del caso, esercitare diritti ulteriori attribuitigli dal RGPD; la forma esatta della copia è determinata in base alle specificità di ciascun caso ed, in particolare, alla tipologia dei dati personali di cui è richiesto l’accesso e alle esigenze dell’interessato;

tale disposizione non attribuisce all’interessato un diritto generale ad ottenere copia parziale o integrale del documento che contiene i dati personali dell’interessato o, qualora i dati personali siano trattati in una banca dati, un estratto di tale banca dati;

tale disposizione non esclude, tuttavia, che parti di documenti, o documenti interi o estratti di banche dati, possano dover essere forniti all’interessato qualora ciò sia necessario per garantire la piena intellegibilità dei dati personali oggetto di trattamento di cui è richiesto l’accesso.

La nozione di “informazioni” di cui all’articolo 15, paragrafo 3, terza frase, del regolamento 2016/679

deve essere interpretata nel senso che:

essa si riferisce esclusivamente alla “copia dei dati personali oggetto di trattamento” di cui alla prima frase dello stesso paragrafo».>>

Cio: ha diritto a tutto ciò che la riguarda ma non oltre ciò.