Diritto di accesso ai dati personali: annotazioni pratiche in merito alle nuove guidelines dell’EDPB
di Sara Bonomi
Il diritto di accesso ai dati personali, previsto dall’articolo 15 del Regolamento UE 2016/679 (di seguito, “GDPR”, “Regolamento”), rappresenta uno dei principi cardine dell’intera normativa in materia di protezione dei dati, poiché offre agli individui uno strumento pratico per prendere conoscenza delle informazioni raccolte e trattate a loro riguardo e, di conseguenza, per agire in merito a tali elementi tramite l’esercizio di uno o più diritti stabiliti dal Capo III del GDPR.
Alla disciplina prevista dal Regolamento, che contiene alcune condizioni da rispettare in caso di richiesta di accesso da parte dell’interessato, si è recentemente aggiunto un ulteriore elemento di conoscenza, costituito dalle linee guida (“Guidelines”) dello European Data Protection Board (di seguito, “EDPB”), adottate a gennaio 20221. Tale documento fornisce indicazioni e chiarimenti aggiuntivi in merito alla natura dell’articolo 15 e al suo ambito di applicazione, oltre ad illustrare esempi e soluzioni pratiche al fine di agevolare il ruolo del Titolare del trattamento nell’adempiere alle proprie obbligazioni.
Considerazioni generali
Innanzitutto, è importante ricordare che l’articolo 15 si compone di tre aspetti fondamentali:
- Conferma in merito al trattamento dei dati, da fornire all’interessato in caso di richiesta;
- Accesso ai dati trattati: a tal riguardo, si precisa che una semplice descrizione generica delle categorie di dati processate in relazione all’interessato non è considerata sufficiente ai fini dell’articolo 15. Una delle modalità principali per dare seguito al diritto di accesso consiste nel fornire una copia dei dati personali stessi;
- Informazioni in merito al trattamento dei dati, come richiesto dai commi 1 e 2 del precitato articolo.
Una volta chiariti i termini chiave di questa disposizione, occorre procedere con un’analisi dei vari elementi che determinano l’applicabilità dell’articolo in esame.
Innanzitutto, è essenziale chiarire se la richiesta dell’interessato riguardi informazioni classificabili come dati personali ex art. 4 del GDPR. Come il lettore sa, il Regolamento non si applica ai c.d. “dati anonimi”; di conseguenza, qualora tale richiesta interessi dati che siano stati sottoposti a processo di anonimizzazione, le disposizioni in esame non saranno rilevanti. Si giunge a tale conclusione anche qualora la richiesta di accesso abbia per oggetto informazioni che non riguardino l’interessato, né la persona autorizzata a presentare tale richiesta per conto di quest’ultimo.
A tal proposito, si ricorda l’obbligo, per il Titolare del trattamento, di identificare l’individuo che effettui una tale domanda; infatti, la divulgazione di dati personali ad un soggetto diverso dalla persona a cui tali informazioni si riferiscono potrebbe costituire una violazione di dati ex. art. 33.
In linea di principio, qualora il Titolare avesse dubbi fondati in merito all’identità del richiedente, l’EDPB ricorda la possibilità di contattare il soggetto al fine di ottenere ulteriori informazioni che possano confermare o completarne l’individuazione. In tal senso, le Guidelines offrono una serie di criteri da prendere in considerazione in questi casi, ossia: (i) le categorie di dati personali facenti oggetto del trattamento, (ii) la natura della richiesta, (iii) il contesto nel quale essa viene effettuata e, infine, (iv) la natura e gravità dei danni che potrebbero prodursi qualora i dati fossero divulgati ad un altro destinatario. Ad esempio, se l’interessato dispone di un account ai fini di poter accedere e/o usufruire dei servizi offerti dal Titolare, potrebbe essere sufficiente domandare all’utente di inserire i propri dati riguardanti login e password al fine di autenticarsi. In alcuni casi, il Titolare potrebbe ritenere che la copia del documento di identità rappresenti un mezzo sufficientemente idoneo e sicuro per confermare l’identità di una persona; tuttavia, questa modalità risulterebbe eccessiva nella maggior parte delle ipotesi, non da ultimo in quanto il documento di identità potrebbe contenere una serie di informazioni superflue in queste circostanze, creando quindi un netto contrasto con il principio di minimizzazione dei dati (art. 5). Per ovviare a tale situazione, una soluzione consisterebbe nel chiedere all’individuo di fornire una copia del documento, oscurando i dati non direttamente necessari al raggiungimento dello scopo. In alcuni casi specifici, vedasi ad esempio per richiesta di accesso a dati di carattere medico o sanitario, la richiesta di fornire una copia del documento d’identità potrebbe, al contrario, rivelarsi idonea.
Inoltre, come menzionato in precedenza, la richiesta potrebbe essere presentata da un soggetto terzo. Tale situazione si potrebbe concretizzare nel caso di utilizzo di service providers che offrano un servizio di discovery e gestione dei propri dati personali, oppure nel caso in cui la richiesta sia avanzata dal tutore di un minore. In questi casi, la corretta identificazione del richiedente assume un’importanza ancora maggiore, soprattutto in relazione ai dati personali dei minori. Le considerazioni del precedente paragrafo sono legittime anche in queste ipotesi; si consiglia, inoltre, al Titolare di prestare particolare attenzione alla documentazione di tali attività.
Una volta confermata l’identità della persona, è necessario chiarire se tale richiesta si basi sull’art. 15 del GDPR o, in alternativa, su specifiche disposizioni della legislazione nazionale dello Stato membro. Nel primo caso, si ricorda che il Regolamento non prevede formalità o modalità precise per l’esercizio di tale diritto; l’EDPB suggerisce, qualora possibile, di prevedere modalità user-friendly per la presentazione di tali richieste. Concretamente, tale indicazione si potrebbe semplicemente tradurre nella predisposizione di un apposito formulario sulla pagina web del Titolare; tale opzione presenterebbe, inoltre, il vantaggio di poter strutturare le domande ricevute dagli individui, di precisare quali dati personali sono interessati da tali richieste e di canalizzarle verso i relativi destinatari. Infatti, il Titolare non può rifiutare di rispondere ad una richiesta di accesso semplicemente perché tale domanda sia stata inviata ad un soggetto diverso rispetto al DPO, a meno che si tratti di dipendenti dichiaratamente non idonei a ricevere queste comunicazioni (ad esempio, nel caso di richieste inviate agli addetti alle pulizie).
Sul diritto di accesso
- Ambito di applicazione
Il diritto di accesso comporta la possibilità, per l’individuo che lo eserciti, di avere accesso ai propri dati personali che sono raccolti e/o trattati a suo riguardo da parte del Titolare del trattamento. In queste circostanze, il concetto di dati personali deve essere inteso in senso ampio2, tale da includere anche raw data o metadata. Ad esempio, rientrano in tale definizione anche i dati relativi ai logs e agli accessi dell’utente oppure la cronologia delle ricerche.
In merito all’individuazione degli elementi da trasmettere, l’EDPB si limita a ricordare che il Titolare, in linea con il principio di privacy by design, deve disporre di modalità appropriate che gli consentano di effettuare tale operazione di recupero dei dati in maniera semplice e rapida (in modo tale da rispettare le scadenze previste, di cui al paragrafo 2 di questo capitolo).
- Come dare seguito al diritto di accesso
Come menzionato nel capitolo dedicato alle considerazioni generali, il Titolare è tenuto a fornire informazioni dettagliate in merito al trattamento in considerazione, in modo da offrire all’individuo la possibilità concreta di avere una visione globale dei propri dati e di poter decidere se esercitare ulteriori prerogative a riguardo. In tal senso, è consigliabile fornire precisazioni aggiuntive in merito alle categorie di destinatari o ai periodi di conservazione dei dati; elementi che, spesso, non sono enunciati in dettaglio nelle informative privacy messe a disposizione.
La modalità consueta mediante la quale i dati vengono forniti consiste in una copia di tali informazioni. Al fine di agevolare tale attività, il Titolare può predisporre una modalità “self-service” di accesso ai dati, purché applicabile al tipo di servizi e/o attività offerte; ad esempio prevedendo la possibilità di scaricare un file contenente tutti gli elementi trattati direttamente nell’area riservata al profilo dell’utente. In alcuni casi poi, si veda ad esempio la richiesta effettuata oralmente, tale informazione potrebbe essere fornita al momento dal Titolare.
Le informazioni devono essere trasmesse in modo chiaro e adeguato in base all’audience, devono essere facilmente accessibili e concise. In merito a quest’ultimo punto, una soluzione potrebbe essere rappresentata dalla comunicazione di informazioni su due livelli: il primo sarebbe costituito da una menzione delle categorie di dati trattati, accompagnate da chiarimenti ulteriori in merito alle varie tipologie; il secondo potrebbe consistere nella comunicazione delle informazioni stesse, ivi inclusi anche dati tecnici.
Infine, è importante ricordare che l’art. 12 del GDPR prevede che tali informazioni debbano essere comunicate tempestivamente e, al più tardi, entro un mese dalla richiesta. La decorrenza del termine può essere temporaneamente sospesa qualora, ad esempio, fosse necessario ottenere chiarimenti ulteriori al fine di individuare l’interessato (e tale istanza di approfondimenti sia stata inviata dal Titolare senza indebito ritardo) oppure nel caso di richieste particolarmente complesse, da valutare secondo i criteri forniti dall’EDPB nelle Guidelines.
- Limiti all’esercizio del diritto di accesso ed eccezioni
3.1. Diritti e libertà altrui
Innanzitutto, il diritto di accesso incontra un primo limite nei diritti e nelle libertà altrui, intendendo in tal contesto per “altri” ogni individuo o entità diversa rispetto al richiedente. E’ interessante sottolineare come il termine “diritti” ricomprenda anche, come esplicitamente menzionato dall’EDPB, i diritti di proprietà intellettuale o trade secrets.
In queste ipotesi, il Titolare sarà chiamato ad effettuare una valutazione che tenga conto, da un lato, degli interessi del richiedente e, dall’altro, dei precitati diritti e libertà di altri. Qualora l’esito di tale esercizio sia a favore di questi ultimi, il Titolare è tenuto ad informarne il richiedente, giustificando tale scelta e ricordando la possibilità di presentare un richiamo all’autorità di controllo o di intentare un’azione giudiziale contro il Titolare.
3.2. Richieste manifestamente infondate o eccessive
Una richiesta può essere definita come manifestamente infondata quando i criteri dell’art. 15 non risultano applicabili in maniera evidente ed oggettiva.
Tuttavia, poiché il suo ambito di applicabilità è considerato estremamente limitato dalle autorità di controllo, l’EDPB raccomanda di farvi ricorso esclusivamente in casi eccezionali.
In merito alla seconda ipotesi, si precisa che il GDPR non contiene alcuna definizione riguardo al carattere eccessivo di una richiesta; l’art. 12 enuncia, a guisa di esempio, l’elemento della ripetitività della richiesta. Come il lettore ben sa, un individuo può presentare svariate richieste al Titolare del trattamento, anche ravvicinate nel tempo. In tal caso, spetterà al Titolare valutare se un ragionevole intervallo sia trascorso tra queste domande o se, al contrario, sia possibile invocare l’eccezione dell’eccessività. Al fine di effettuare questa valutazione, l’EDPB fornisce alcuni aspetti da tenere in considerazione: (i) la periodicità con cui i dati personali dell’interessato sono trattati ed alterati; (ii) la tipologia di dati personali; (iii) le finalità del trattamento e, infine, (iv) il fatto che le differenti richieste riguardino sempre gli stessi dati personali o trattamenti.
Qualora la richiesta fosse eccessiva o manifestamente infondata, il Titolare potrà decide di rifiutare di dare seguito alla domanda o di imporre una commissione per l’esercizio di tali prerogative; in quest’ultimo caso, il montante della tariffa dovrà comunque essere ragionevole e proporzionato. Nel caso in cui il Titolare rifiuti di procedere con la richiesta di accesso, dovrà motivare tale scelta ed informare il soggetto interessato della possibilità di rivolgersi alle autorità di controllo o giudiziarie competenti.
3.3 Ulteriori limiti ed eccezioni
Infine, il diritto di accesso potrebbe essere limitato da ulteriori disposizioni contenute nella normativa nazionale di uno Stato membro oppure escluso, qualora una delle eccezioni di cui agli artt. 85 o 89 del GDPR, si possa applicare al caso di specie.
Autore:
Sara Bonomi