IL DIRITTO DI ACCESSO NEL REGOLAMENTO (UE) 2016/679
In questa breve contributo verranno illustrati alcuni concetti che si spera possano aiutare il lettore a comprendere i tratti essenziali di uno dei più rilevanti diritti che vengono riconosciuti all’interessato nell’ambito della normativa sul trattamento dei dati personali: il diritto di accesso.
In via di prima analisi, ed a livello di inquadramento sistematico, si può sin da subito rilevare che il diritto di accesso si colloca all’interno della più ampia categoria dei c.d. diritti conoscitivi, cioè quelle posizioni giuridiche soggettive che, riconosciute dalla normativa, consentono all’interessato di ottenere informazioni relative al trattamento dei loro dati personali.
Il diritto di accesso presenta tuttavia delle peculiarità che lo contraddistinguono dagli altri diritti appartenenti alla tipologia sopra indicata, come ad esempio il diritto all’informativa previsto dall’art. 13 e 14 del Regolamento (UE) 2016/679 (sin d’ora “GDPR”).
Senza entrare nello specifico dettaglio basterà evidenziare che il tratto caratteristico del diritto di cui si tratta consiste nell’essere una forma di “controllo” nei confronti del titolare durante tutta l’attività di trattamento. Attraverso il suo esercizio, infatti, l’interessato avrà modo di verificare se le indicazioni che gli sono state fornite dal titolare con l’informativa (e quindi prima del trattamento) vengano effettivamente rispettate e, conseguentemente, che il trattamento stesso sia conferme al principio di liceità.
Quanto all’individuazione del contenuto concreto attraverso il quale si estrinseca tale controllo da parte dell’interessato si può tranquillamente affermare che lo si trova indicato essenzialmente negli artt. 12 e 15 del GDPR, nel considerando n.63 e nelle recenti Linee Guida 01/2022 adottate dall’EDPB il 18 gennaio 2022.
In particolare, come chiarito in maniera specifica in quest’ultimo documento, il diritto di accesso si compone di tre elementi ovvero (1) la conferma o meno dell’esistenza di un trattamento dei dati personali, (2) l’effettivo accesso ai dati personali ed (3) una serie di informazioni sul trattamento che qui di seguito si riportano per completezza: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) il periodo di conservazione dei dati personali previsto oppure, se non è possibile determinarlo, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) l’avere tutte le informazioni disponibili sulla loro origine (qualora i dati non siano raccolti presso l’interessato); h) il conoscere l’esistenza di un processo decisionale automatizzato, compresa la profilazione (ed in tali casi informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato; i) l’essere informato dell’esistenza di garanzie adeguate nei casi in cui i dati personali sono trasferiti ad un paese che si trova al di fuori dell’Unione Europea o ad una organizzazione internazionale.
Una volta compreso il fondamento e il contenuto del diritto merita spendere qualche parola su un altro punto centrale della questione ossia sulle modalità di esercizio del diritto.
Dalla prospettiva dell’interessato la questione appare abbastanza semplice in quanto la richiesta non è soggetta ad alcuna formalità. Quest’ultimo, infatti, potrà inoltrare al titolare del trattamento la relativa richiesta in qualunque momento ed in qualunque forma (anche orale). Per di più, proprio al fine di eliminare ogni vincolo che potrebbe costituire una limitazione al diritto accesso viene riconosciuta anche la gratuità delle informazioni ricevute. In sostanza, salvo i particolari casi che si vedranno successivamente, non potrà essere addebitato alcun costo all’interessato a fronte della propria richiesta di accesso.
La situazione appare un po’ diversa per quanto riguarda invece il soggetto che dovrà comunicare le informazioni all’interessato. In questo caso il GDPR impone il rigoroso rispetto di alcuni principi cardine che, mirando alla concreta ed effettiva realizzazione del diritto, favoriscono la semplicità e la comprensibilità delle comunicazioni tra titolare ed interessato.
È per questo che l’art. 12 del GDPR, nell’ individuare i caratteri principali delle comunicazioni che devono essere fornite all’interessato, richiama a concetti come la sinteticità, la facile accessibilità, la semplicità e chiarezza, l’intellegibilità (questa soprattutto per le informazioni che vedono come destinatari i minori).
Nel perseguimento di questo obiettivo di sostanziale trasparenza il titolare del trattamento viene lasciato libero nell’utilizzo degli strumenti. Questi potrà avvalersi dei canali di comunicazioni che riterrà più appropriati e facilmente utilizzabili, considerata la platea degli interessati e le modalità di trattamento dei dati.
In questa linea si pone l’indicazione del legislatore europeo che al considerando 63 afferma che il titolare “dovrebbe poter fornire accesso l’accesso remoto ad un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali”. Analogamente l’art. 12. Par. 3 afferma che “Se l’interessato presenta la richiesta mediante mezzi informatici, le informazioni sono fornite, ove possibili, con mezzi elettronici, salvo diversa indicazione dell’interessato”.
Al contrario sono da considerare illegittimi sistemi che impongano oneri o modalità che di fatto restringano il diritto di accesso dell’individuo. Pensiamo ad esempio alla predisposizione di un apposito form che, creato dal Titolare de Trattamento per l’esercizio del diritto di accesso, venga posto come condizione per la irricevibilità della richiesta ex art. 15 GDPR.
Sempre con riferimento alle modalità dell’esercizio del diritto pare opportuno in questa sede fare un seppur breve accenno al diritto di copia. Ciò in considerazione del fatto che sempre l’art. 15 del GDPR ha introdotto una sostanziale modifica rispetto a quanto previsto dall’ormai abrogato art. 10, 4° comma del D. lgs 196/2003 (Codice della Privacy). Mentre infatti tale disposizione normativa prevedeva la possibilità di ottenere copia degli atti e dei documenti solo in particolari circostanza (e cioè quando l’estrazione risultasse molto difficoltosa), adesso tale diritto viene sempre riconosciuto (sempreché ciò non comporti una lesione dei diritti e delle libertà altrui).
Limitazioni stringenti invece sono previste in merito alle tempistiche di evasione delle richieste provenienti dall’interessato. Il titolare del trattamento dovrà prestare particolare attenzione ed attenersi alle disposizioni contenute nell’art. 12 del GDRP nelle quali si “parla” di riscontro “senza ingiustificato ritardo e comunque al più tardi entro un mese dal ricevimento della richiesta stessa”.
Orbene, a parere di chi scrive tale disposizione normativa deve essere interpretata nel senso che il termine mensile non dovrebbe essere considerato sempre quale il “termine ultimo”. Questo in quanto si potrebbero verificare delle ipotesi in cui il comportamento del titolare potrebbe essere considerato illecito anche qualora il riscontro arrivasse, ad esempio, dopo 20 giorni dalla richiesta. Questa situazione si potrebbe verificare qualora quest’ultimo, pur avendo la possibilità di rispondere in tempi brevissimi (ad esempio il giorno stesso della ricezione della richiesta), avesse colpevolmente ritardato nell’erronea convinzione di aver un intero mese di tempo.
Detto questo, alcune precisazioni devono essere svolte anche in tema di proroga, visto che nella pratica quotidiana si rilevano delle criticità. Sul punto basterà ricordare che l’art. 12 par. 3 del GDPR prevede sì la possibilità di procrastinare il termine per il riscontro ma solo a certe condizioni e cioè che: a) il termine massimo di tale proroga non dovrà essere superiore a 2 mesi; b) l’impossibilità di riscontro tempestivo sia determinato dalla complessità e dal numero delle richieste; c) il titolare informi “l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.
L’assenza di uno di questi elementi determinerà l’illegittimità del comportamento del titolare.
A dar maggior vigore a quanto sopra esposto, si rammenta anche l’art. 12, par. 4 del GDPR che sancisce ulteriormente che “Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo senza ritardo, e al più tardi entro un mese dal ricevimento, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.
Nonostante gli stringenti obblighi che gravano sul titolare non sarebbe corretto ritenere che il diritto di accesso sia scevro da qualsiasi limitazione o restrizione e che, dunque, in ogni caso, l’interessato sia legittimato ad avere un riscontro (od un certo tipo di riscontro).
A tal proposito si ricorda che in alcune circostanze il titolare del trattamento ha diritto di respingere le richieste ricevute (come nel caso di comprovata manifesta infondatezza o eccessività delle stesse) o addirittura non rispondere ad esse (qualora nutra ragionevoli dubbi sulla identità del richiedente).
Ancora, limitazioni possono riscontrarsi in tema di richiesta di copia dei dati oggetto del trattamento qualora vengano a ledersi diritti e libertà altrui. Ovviamente il titolare dovrà eseguire un bilanciamento degli interessi in gioco e dimostrare i diritti e le libertà che sarebbero compromessi in quella specifica situazione.
Alla luce delle considerazioni sopra svolte si comprende quanto sia delicata la materia e quanto possa essere rilevante rendere effettivo l’esercizio del diritto di accesso in una società, come quella in cui viviamo caratterizzata da trattamenti di enormi quantità dati personali eseguiti, per molteplici finalità, da parte di soggetti diversi (sai pubblici che privati).
In questo scenario è, infatti, indubbio che ciascun individuo corra il concreto rischio di perdere completamente il controllo delle informazioni che lo riguardano con conseguenze potenzialmente molto gravi sulle libertà di “autodeterminazione informativa” di ciascun individuo. Se è vero, infatti, che “noi siamo le nostre informazioni” allora “la nostra identità è affidata al modo in cui le informazioni che ci riguardano sono raccolte, utilizzate, collegate e divulgate agli altri”[1]. Questa è una ragione sufficiente per prestare il massimo livello di attenzione attraverso strumenti giuridici, come appunto il diritto di accesso, che mirino a creare una protezione per l’interessato.
Roberto Scarchini