Gli obblighi del titolare del trattamento nell’assicurare il diritto d’accesso agli interessati. Analisi della sentenza C-154/2021 della Corte di Giustizia dell’Unione Europea

0

La recente pronuncia C-154/2021 della Corte di Giustizia si è appuntata sugli obblighi che il titolare del trattamento ha nei confronti degli interessati che esercitano il diritto d’accesso. In particolare, la Prima sezione della Corte si è soffermata sulle informazioni relative ai destinatari o alle categorie di destinatari cui sono stati o saranno comunicati i dati personali e che devono essere fornite dal titolare del trattamento. La domanda di pronuncia pregiudiziale è stata presentata nell’ambito della controversia tra RW e la Österreichische Post AG (di seguito, la Österreichische Post) e concerne l’interpretazione dell’art. 15 par. 1 lett. c) del Regolamento (UE) 2016/679 (di seguito, GDPR). Detta norma prevede che il soggetto interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati personali, e, se del caso, avere accesso a detti dati, nonché alle informazioni relative alle finalità di trattamento, alle categorie di dati personali in questione, e ai destinatari, di cui sopra. Questa disposizione, come ha ricordato l’Avvocato Generale Pitruzzella nelle sue Conclusioni, rappresenta la traduzione nel GDPR del diritto di cui all’articolo 8 par. 2 della Carta dei Diritti Fondamentali dell’Unione Europea, laddove consente all’interessato di poter acquisire consapevolezza attiva rispetto a se e a come il trattamento viene effettuato (si vedano §16-18).

 

Nel caso di specie, Österreichische Post, il maggiore operatore di servizi postali e logistici dell’Austria, aveva ricevuto nel 2019 una richiesta da RW, il ricorrente del procedimento principale, di accedere alle informazioni circa l’identità dei destinatari a cui erano stati comunicati i suoi dati personali. Österreichische Post aveva semplicemente indicato che il trattamento veniva effettuato nel rispetto della legge e che forniva dati ai partner commerciali per finalità di marketing. L’interessato, insoddisfatto della risposta comunicata, aveva adito, dapprima, il Tribunale chiedendo che venisse ingiunto al servizio postale di fornirgli l’identità del destinatario o dei destinatari. Soccombente dinanzi ai giudici del primo grado e dell’appello, RW aveva proposto ricorso per Cassazione dinanzi all’Oberster Gerichtshof, Corte suprema dell’Austria e giudice del rinvio.

 

La domanda pregiudiziale disposta dal giudice del rinvio concerne, dunque, la determinazione della portata esatta del diritto dell’interessato a ottenere le informazioni riguardo ai destinatari dei suoi dati personali. In altre parole, la prima sezione della Corte di Giustizia è stata chiamata a definire il dettaglio delle informazioni che il titolare del trattamento è tenuto a fornire all’interessato che dovesse esercitare una richiesta d’accesso ex art. 15 GDPR. Orbene, la Corte di Giustizia, nel rispondere al quesito, ha elaborato il seguente principio di diritto: «si deve ritenere che le informazioni fornite all’interessato a titolo del diritto di accesso previsto all’articolo 15, paragrafo 1, lettera c), del GDPR debbano essere le più esatte possibili. In particolare, tale diritto di accesso implica la possibilità per l’interessato di ottenere dal titolare del trattamento le informazioni sui destinatari specifici ai quali i dati sono stati o saranno comunicati o, alternativamente, di scegliere di limitarsi a richiedere informazioni riguardanti le categorie di destinatari» (§51 della sentenza).

 

Le motivazioni che hanno portato a queste conclusioni si basano su un’interpretazione sistematica dell’art. 15, par. 1, lett. c), esaminato nel complesso degli obiettivi perseguiti dalla norma. Difatti, in linea con quanto stabilito dall’A.G. nelle sue Conclusioni (§23), la disposizione, letta in combinato disposto con il Cons. 63, obbliga il titolare a fornire l’identità dei destinatari specifici, e non apre ad alcuna discrezionalità in merito. Si fanno esenti solamente i casi in cui il diritto d’accesso non può essere esercitato poiché lede i diritti e le libertà altrui, ovvero, causa un pregiudizio effettivo e concreto allo svolgimento di indagini difensive o all’esercizio di un diritto in sede giudiziaria. Pertanto, al titolare è fatto obbligo di comunicare l’identità dei destinatari, salvo che non sia impossibile identificare detti destinatari, o che il suddetto titolare del trattamento non dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive, ai sensi dell’articolo 12, paragrafo 5, del GDPR.

 

Nel rispetto del principio di proporzionalità, dunque, la Corte ha cercato un bilanciamento tra l’interesse della persona fisica a veder tutelata la propria vita privata, e gli oneri in capo al titolare del trattamento. Come ha motivato l’A.G. Pitruzzella, «tale giusto equilibrio risulta proiettato a favore di una maggiore attenzione verso la tutela della protezione dei dati e della vita privata dell’interessato, come esplicitato dalla necessità che, affinché la richiesta di accesso dell’interessato non venga soddisfatta, deve essere provato il carattere manifestamente infondato o eccessivo di questa» (§39 delle Conclusioni).

 

Una tale ampia interpretazione del diritto d’accesso pare altresì corrispondere a quanto previsto dalle Linee Guida dell’EDPB (1/2022, pubblicate l’1 marzo 2022). Queste prevedono che il titolare del trattamento deve essere sempre in grado di dimostrare che il modo in cui gestisce la richiesta mira a dare il più ampio effetto al diritto di accesso e che è in linea con il suo obbligo di facilitare l’esercizio dei diritti degli interessati. Difatti, una precisa identificazione dei destinatari, piuttosto che l’indicazione generica delle categorie, consente all’interessato di poter esercitare più compiutamente i propri diritti, come ad esempio quelli di cui agli articoli 16, 17 e 18 del GDPR, ossia i diritti di rettifica, cancellazione e limitazione di trattamento.

 

Alla luce della sentenza in commento, i titolari del trattamento, che sinora hanno fornito indicazioni generiche agli interessati, dovranno prendere delle misure affinché la cornice informativa sia di dettaglio, anche con riguardo all’identificazione dei destinatari dei dati personali oggetto di trattamento.

Share this article!
Share.

About Author

Leave A Reply