Civile

Data protection: il diritto di accesso dell'interessato come strumento per l'autodeterminazione e il controllo sui dati personali

L'attività informativa rappresenta un pilastro fondamentale su cui si sviluppa l'intero impianto regolatorio europeo, volto, come emerge dal suo considerando 10, a garantire un elevato livello di protezione delle persone fisiche all'interno dell'Unione, laddove si vuol garantire la libera circolazione dei dati

di Gianluca Fasano*

Il Regolamento europeo sulla protezione dei dati personali (Reg. UE n. 2016/679 - Gdpr) dedica un'intera sezione al tema delle informazioni e dell'accesso ai dati personali, declinando in maniera dettagliata non soltanto i contenuti dell'obbligo del titolare circa le informazioni da fornire qualora i dati personali siano raccolti presso l'interessato (art. 13) e qualora non siano stati ottenuti presso l'interessato (art. 14), ma soprattutto definendo modalità e condizioni per l'esercizio di un diritto dell'interessato di aver accesso, in corso di trattamento, a una serie di informazioni sul trattamento concretamente eseguito (art. 15).

Trattasi, come vedremo, di un diritto essenziale nell'ambito della strategia di protezione dati disegnata dall'Europa.

In effetti, l'attività informativa rappresenta un pilastro fondamentale su cui si sviluppa l'intero impianto regolatorio europeo, volto, come emerge dal suo considerando 10, a garantire un elevato livello di protezione delle persone fisiche all'interno dell'Unione, laddove si vuol garantire la libera circolazione dei dati.

Non v'è dubbio che il contesto normativo generale creato dal Gdpr dà attuazione alle prescrizioni scaturenti dal diritto fondamentale alla protezione dei dati personali, tutelato dall'articolo 8 della Carta dei diritti fondamentali dell'Unione, ed è proprio in questa prospettiva che può esser risolto il dubbio interpretativo inerente all'art. 15, nella parte in cui utilizza i termini «destinatari» e «categorie di destinatari» senza che sia possibile dedurre un ordine di priorità tra di essi.

Tale formulazione ha determinato il dispiegarsi di differenti interpretazioni circa il contenuto concreto del diritto dell'interessato, sancito dal citato art. 15, lett c), di ottenere dal titolare del trattamento non solo la conferma che sia in corso un trattamento di dati personali che lo riguardano ma anche a una serie di informazioni, tra cui «c)i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali». Dunque, diritto di essere informato riguardo all'identità concreta dei destinatari dei dati personali ovvero solo delle categorie di destinatari? Chi decide tra le due alternative, il titolare o l'interessato?.

A chiarire il dubbio è intervenuta la CGUE, con la recente decisione sez. I, sentenza 12 gennaio 2023, causa C-154/21. In particolare, ci si è interrogati sulla formulazione di tale disposizione dalla quale non emerge con chiarezza se essa conceda all'interessato il diritto di avere accesso alle informazioni relative ai destinatari concreti dei dati comunicati, nel senso di aver notizia dell'identità di tali destinatari, oppure se il titolare del trattamento possa scegliere discrezionalmente il modo in cui intende dare seguito a una richiesta di accesso all'informazione sui destinatari. E laddove l'interpretazione della lettera della norma non consente di ottenere un significato univoco si ricorre all'interpretazione sistematica, grazie alla quale la Corte giunge a rilevare che l'esercizio di tale diritto di accesso è finalizzato a consentire che l'interessato possa verificare non solo che i dati che lo riguardano siano corretti, ma anche che siano trattati in modo lecito. E va da sé che senza avere contezza dell'identità dei destinatari cui concretamente sono stati comunicati i dati personali non è di fatto possibile esercitare tale controllo.

In particolare, il diritto di accesso è necessario affinché l'interessato possa esercitare, se del caso, il suo diritto di rettifica, il suo diritto alla cancellazione («diritto all'oblio»), il suo diritto di limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli 16, 17 e 18 del Gdpr, nonché il suo diritto di opposizione al trattamento dei suoi dati personali, previsto all'articolo 21 del Gdpr, e il suo diritto di agire in giudizio nel caso in cui subisca un danno, previsto agli articoli 79 e 82 del Gdpr.

Pertanto, al fine di garantire l'effetto utile di tutti i diritti menzionati, l'interessato deve disporre, in particolare, di un diritto di essere informato riguardo all'identità dei destinatari concreti, nel caso in cui i suoi dati personali siano già stati comunicati.

Dunque, la norma va letta nel senso che il titolare del trattamento è soggetto all'obbligo di fornire all'interessato l'identità stessa dei destinatari, a meno che non sia impossibile identificare detti destinatari o che il suddetto titolare del trattamento non dimostri che le richieste di accesso dell'interessato sono manifestamente infondate o eccessive.

Siffatta lettura è in piena armonia con la finalità perseguita dal RGPD, quella di garantire un elevato livello di protezione delle persone fisiche all'interno dell'Unione mediante un controllo sulla circolazione dei propri dati personali. Giova rilevare che l'art. 15 non è solo nell'affrontare quella che può esser definita una vera sfida per il controllo, da parte dell'interessato, sui dati personali propri.

Nell'ambito del Regolamento (UE) 2016/679 (Gdpr) le disposizioni di riferimento sono contenute negli artt. 12, 13, 14, 15 e 22 del Gdpr, in cui risultano condensati i principi di trasparenza, di non esclusività della decisione automatizzata e del consenso, tutti collegati tra di loro al fine di consentire all'interessato un controllo sui propri dati. La ratio di tali previsioni può esser ricondotta alla libertà di autodeterminazione delle persone, concetto che negli ultimi tempi, per via dell'incessante diffondersi di nuove tecnologie e delle relazioni che si istaurano tra queste ultime e le persone, è andato ad arricchirsi di nuovi significati. Se tradizionalmente esso poteva esser concepito nella prospettiva dell'esercizio di un potere di controllo, sulla base di un rafforzato onere informazionale in capo al titolare, oggi l'autodeterminazione deve essere intesa come consapevolezza del condizionamento proveniente dall'altrui trattamento dati, e quindi come limite ai diritti e alle libertà degli interessati.

Tale preoccupazione alberga anche nel regolatore europeo, tant'è che nella «Dichiarazione europea sui diritti e i principi digitali per il decennio digitale», voluta da Commissione, Parlamento e Consiglio Europeo con l'obiettivo di promuovere un modello europeo per la transizione digitale con al centro le persone, viene espressamente preso l'impegno interistituzionale di garantire una effettiva libertà di scelta della persona.

In definitiva, la decisione della Corte va nell'auspicata direzione di consolidare forme di autodeterminazione e controllo da parte dell'interessato, su cui punta molto il Gdpr attraverso il ruolo centrale che viene attribuito al consenso nel modello di protezione dei dati dell'Unione Europea: il consenso non solo rappresenta una delle basi giuridiche per assicurare la legittimità del trattamento dei dati personali (art. 6 Gdpr) ma esprime il momento di libertà in cui la persona deve poter esercitare un controllo effettivo sul trattamento dei propri dati personali.

*a cura dell'avv. Gianluca Fasano, Istituto di Ricerca ISTC-CNR

Per saperne di piùRiproduzione riservata ©

Correlati

Giovanna Boschetti*

Norme & Tributi Plus Diritto

Valerio Vertua*

Norme & Tributi Plus Diritto

Stefano Previti, Vincenzo Colarocco

Dossier e monografie