Protezione dei dati, tutela dell'accesso dell'interessato a difesa dell'io digitale

L'accesso rappresenta il momento in cui si matura una spontanea consapevolezza, in cui l'interessato manifesta il proposito di volere conoscere e comprendere di più sul proprio io digitale e in cui, in definitiva, vanno assicurate le massime tutele possibili

di Gianluca Fasano*

05 Maggio 2023

Non è un caso se nel giro di pochi mesi alcune delle principali istituzioni, europee e nazionali, hanno avuto l'occasione di occuparsi del diritto di accesso dell'interessato ai dati personali. In particolare, ma non solo, mi riferisco alla Corte di Giustizia dell'Unione Europea (decisione sez. I, sentenza 12 gennaio 2023, causa C-154/21 ) alla Corte di Cassazione ( sen. 24 febbraio 2023, n. 9313 ) e l'European Data Protection Board, il Comitato europeo per la Protezione dei Dati ( Linee guida 1/2022 adottate il 28 marzo 2023 ).

La Corte di Giustizia si è interrogata sul diritto di accesso relativamente alle informazioni sui destinatari a cui i dati stessi vengono comunicati, al fine di chiarire se il titolare del trattamento debba fornire o meno le loro identità all'interessato. Rilevata la finalità dell'accesso, di consentire che l'interessato possa verificare che i dati che lo riguardano siano corretti e trattati in modo lecito, la Corte ha evidenziato la necessità che dei destinatari si debba conoscere la rispettiva identità, altrimenti si impedirebbe qualsiasi controllo sulla liceità del trattamento.

La Corte di Cassazione, dal canto suo, ha chiarito che in materia di trattamento dei dati personali il destinatario dell'istanza di accesso è tenuto a riscontrare l'istanza dell'interessato sempre, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l'ostensione.

L'European Data Protection Board, infine, attraverso la pubblicazione di dette Linee guida ha risposto all'esigenza di chiarimenti sulla portata e sulle modalità d'esercizio di tale diritto da parte dell'interessato, nonché sulla gestione della richiesta da parte del titolare, risolvendo le questioni interpretative circa l'applicazione concreta del diritto di accesso.

La coincidenza di tali avvenimenti offre l'occasione per riflettere su un aspetto della protezione dei dati a volte trascurato, per il vero dallo stesso diretto interessato, più incline a beneficiare dei servizi offerti in cambio dei dati personali piuttosto che a esercitare una vigilanza sulla loro gestione.

Il punto di partenza della riflessione che si vuol condividere è prevedibile sì, ma comprensibile: il diritto di accesso degli interessati è sancito espressamente dalla Carta dei diritti fondamentali dell'Unione Europea, dall'art. 8 dedicato alla protezione dei dati di carattere personali.

Per comprenderne natura e funzioni occorre richiamare pure il «diritto al rispetto della vita privata e familiare», previsto dall'art 7 della medesima Carta, con il quale il citato art. 8 presenta uno stretto legame che origina dalla prospettiva della persona nella sua dimensione sociale, all'interno di uno schema di relazione, di condivisione intersoggettiva continua, in cui si avverte il bisogno di proteggere i dati che nella interazione con altri inevitabilmente si manifestano. Ecco il bisogno dell'affermazione di un regime di protezione per il quale i dati siano trattati «secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge» e che vuole riconoscere alla persona l'accesso ai fini di una verifica di liceità.

In altri termini, la tutela del diritto fondamentale al rispetto della vita privata (art. 7) implica che qualsiasi persona fisica possa assicurarsi, grazie al diritto di accesso, che i dati personali che la riguardano siano esatti e che siano trattati in maniera lecita (art. 8). E' al fine di effettuare le necessarie verifiche che la persona interessata gode di un diritto di accesso ai dati oggetto di trattamento.

In questa prospettiva il diritto di accesso assume la funzione di "pass-par-tout", grazie al quale preservare le esigenze al rispetto della vita privata e familiare nella loro dimensione sociale.

Siffatta lettura è in piena armonia con la finalità perseguita dal Regolamento europeo sulla protezione dei dati personali (Reg. UE n. 2016/679 - Gdpr), che dedica un'intera sezione al tema delle informazioni e dell'accesso ai dati personali, declinando in maniera dettagliata non soltanto i contenuti dell'obbligo del titolare circa le informazioni da fornire qualora i dati personali siano raccolti presso l'interessato (art. 13) e qualora non siano stati ottenuti presso l'interessato (art. 14), ma soprattutto definendo modalità e condizioni per l'esercizio di un diritto dell'interessato di aver accesso, in corso di trattamento, a una serie di informazioni sul trattamento concretamente eseguito (art. 15). In effetti, l'attività informativa rappresenta un pilastro fondamentale su cui si sviluppa l'intero impianto regolatorio europeo, volto, come emerge dal suo considerando 10, a garantire un elevato livello di protezione delle persone fisiche all'interno dell'Unione, laddove si vuol garantire la libera circolazione dei dati e la crescita del mercato unico digitale.

La ratio di tutte tali previsioni può esser ricondotta alla libertà di autodeterminazione delle persone, la cui protezione dipende anche dal livello di controllo sui propri dati che l'ordinamento riesce a garantire. Tuttavia, negli ultimi tempi, per via dell'incessante diffondersi delle nuove tecnologie di intelligenza artificiale e per via dell'intensificarsi delle relazioni che si istaurano tra queste ultime e le persone, il concetto di autodeterminazione è andato ad arricchirsi di nuovi significati. Se tradizionalmente esso poteva esser concepito nella prospettiva dell'esercizio di un potere di controllo, sulla base di rafforzati oneri informazionali dispiegati dal Gdpr, oggi l'autodeterminazione deve essere intesa come consapevolezza del condizionamento proveniente dall'altrui trattamento dati, e quindi come limite ai diritti e alle libertà degli interessati.

Si comprende, così, perché il diritto di accesso rappresenti un elemento fondamentale dell'intero sistema di protezione dei dati, tanto da richiederne il riconoscimento nella Carta dei diritti fondamentali dell'Unione Europea. L'accesso rappresenta il momento in cui si matura una spontanea consapevolezza, in cui l'interessato manifesta il proposito di volere conoscere e comprendere di più sul proprio io digitale e in cui, in definitiva, vanno assicurate le massime tutele possibili.