Garante privacy, linea guida sul "diritto d'accesso dell'interessato"

Il Garante privacy è uscito con una veloce, chiara e pratica scheda informativa relativa al "Diritto di accesso dell'interessato". L'iniziativa fa parte di un più ampio progetto dell'Autorità garante, che punta ad offrire strumenti per comprendere facilmente quali diritti sono riconosciuti alle persone in materia di protezione dei dati personali, illustrando con un linguaggio semplice e chiaro le modalità per un concreto esercizio di tali diritti.

Il nuovo logo del Garante privacy: al centro la persona ed i suoi diritti
Il proposito di fornire informazioni chiare e semplici a tutti gli interessati si pone in linea anche con gli obiettivi "ufficializzati" nel Comunicato stampa del 15 dicembre scorso del Garante privacy con cui è stato lanciato il nuovo logo dell'Autorità di controllo.
Con il nuovo logo, che rimanda all'acronimo "GPDP" per rendere immediatamente associabile l'Autorità al suo nome ufficiale, viene "celebrata" la persona (e quindi, nel linguaggio del GDPR, l'interessato) che si trova al centro del mondo digitale. Se quindi l'interessato, vale a dire la persona cui si riferiscono i dati personali, si trova al centro di quella che potremo definire la rivoluzione digitale degli ultimi anni allora parallelamente occorre valorizzarne i diritti. In mondo in cui i dati e la rete sono gli elementi cardine di ogni attività, la persona appare sempre più esposta e vulnerabile: il nuovo Collegio dell'Autorità di controllo intende porre e mantenere al centro del mondo digitale i diritti della persona, con un'azione che deve andare di pari passo all'evoluzione tecnologica.
Viene inoltre enfatizzato il fatto che la nuova corporate identity del Garante è parte di una serie di iniziative di comunicazione che prevedono, nei prossimi mesi, il lancio di un sito web rinnovato e l'impiego di nuovi strumenti, nuovi linguaggi, nuovi contenuti e nuovi canali per raggiungere il cittadino e supportare l'azione dell'Autorità, nello spirito del nuovo Regolamento europeo che vede nella comunicazione e nell'informazione un elemento fondamentale dell'azione di tutela dei dati personali.

Diritto di accesso dell'interessato: disciplina ex artt. 12 e 15 GDPR
Ai sensi dell'art. 15, GDPR (General Data Protection Regolation - Regolamento sulla protezione dei dati dell'Unione Europea 2016/679), l'interessato può esercitare il cd. "diritto di accesso", vale a dire la facoltà di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso positivo, può averne l'accesso e riceverne copia.

In particolare, il titolare del trattamento è tenuto a fornire una copia dei dati personali oggetto di trattamento, in modo gratuito relativamente ad una copia; nel caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi.

Sempre con riguardo alle copie dei dati, occorre sottolineare che l'interessato ha diritto di ricevere in ogni caso una copia dei dati personali oggetto del trattamento, salvo che tale diritto non leda diritti o libertà altrui.

A questo proposito, il Considerando n. 63, Regolamento Ue, specifica che la possibile lesione di diritti o di libertà altrui comprende sia il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software. Tuttavia, il Legislatore europeo, sottolinea che tali considerazioni non dovrebbero condurre a un diniego a fornire all'interessato tutte le informazioni.

Sotto il profilo, invece, della modalità del rilascio della copia, l'art. 15, par. 3, Regolamento Ue prevede che le informazioni sono fornite in un formato elettronico di uso comune se l'interessato presenta la richiesta di accesso ai dati mediante mezzi elettronici, salvo indicazione diversa dell'interessato.

In generale, in virtù dell'art. 12, par. 1, Regolamento Ue, le informative (ex artt. 13 e 14) e le comunicazioni (tra le quali rientrano i riscontri al diritto di accesso) all'interessato devono essere date in forma scritta (oralmente solo se richiesto dall'interessato), in forma concisa, trasparente, intellegibile e con un linguaggio semplice e chiaro.

Inoltre, in base all'art. 15, Regolamento Ue, dedicato specificatamente al diritto di accesso, l'interessato ha accesso anche alle informazioni che riguardano:
- le finalità del trattamento;
- le categorie di dati personali in questione;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di Paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- il diritto di proporre reclamo a un'autorità di controllo;
- qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
- l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'art. 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Qualora i dati personali siano trasferiti a un Paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'art. 46, relative al trasferimento.

Dal punto di vista temporale, il termine per la risposta all'interessato è di un mese dalla richiesta, estensibile fino a tre mesi in casi di particolare complessità. Il titolare devo comunque dare un riscontro all'interessato anche in caso di diniego, entro un mese dalla richiesta (art. 12, par. 3, Regolamento Ue).

Se il titolare del trattamento tratta una notevole quantità d'informazioni riguardanti l'interessato, il titolare in questione dovrebbe poter richiedere, prima che siano fornite le informazioni, che l'interessato precisi, i dati o le attività di trattamento cui la richiesta si riferisce (Considerando n. 63, Regolamento Ue).

Il titolare del trattamento dovrebbe adottare tutte le misure ragionevoli per verificare l'identità di un interessato che chieda l'accesso, in particolare nel contesto di servizi online e di identificativi online. Il titolare del trattamento non dovrebbe conservare dati personali al solo scopo di poter rispondere a potenziali richieste (Considerando n. 64, Regolamento Ue).

Tuttavia, l'art. 12, par. 5, Regolamento Ue prevede che nel caso in cui le richieste dell'interessato siano manifestamente infondate o eccessive (ripetitive), il titolare del trattamento possa rifiutare di soddisfare la richiesta oppure possa, come detto sopra nel caso di richiesta nell'ambito del diritto d'accesso delle ulteriori copie di dati personali rispetto alla prima, addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi. L'onere della prova della dimostrazione del carattere manifestamente infondato o eccessivo della richiesta è in capo al titolare del trattamento.

Scheda informativa relativa al cd. "Diritto di accesso dell'interessato"
Come anticipato il Garante privacy, con una pratica scheda informativa e divulgativa fornisce a tutti gli interessati le informazioni "base" per l'esercizio del diritto di accesso, attraverso un linguaggio semplice e chiaro.
In particolare, il Garante sceglie di utilizzare la tecnica della domanda-risposta, tipica delle FAQ, come evidenziato nella tabella riportata a questo link