Civile

Diritto di accesso ai dati personali, tra esigenze di sicurezza e di effettività. Dal Tribunale di Salerno all’indagine EDPB

Hand login to computer security personal data and login and password, cyber security concept, data protection and secured internet access, cybersecurity

di Giorgia Bianchini*

In una recente sentenza, il Tribunale di Salerno si sofferma sull’esercizio del diritto di accesso ai dati personali, componente essenziale del diritto alla protezione dei dati personali, con risvolti di una certa rilevanza, sul piano pratico, per i titolari del trattamento, tenuti a garantirne l’attuazione.

Come è noto, il diritto di accesso, disciplinato all’art. 15 del Regolamento (UE) 2016/679, ormai più noto come “GDPR”, si articola in tre elementi:

  • 1) il diritto dell’interessato di ottenere dal titolare del trattamento conferma che sia o meno in corso un trattamento di dati personali che lo riguardano
  • 2) il diritto di ottenere l’accesso ai dati personali trattati
  • 3) il diritto di ottenere l’accesso alle informazioni concernenti il trattamento enucleate dal Regolamento, tra cui, in particolare, le finalità del trattamento, le categorie di dati trattati, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, il periodo di conservazione dei dati previsto oppure i criteri utilizzati per determinarlo.

Un diritto, come ricorda lo European Data Protection Board nelle sue “Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso del marzo 2023, che discende direttamente dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea, parte “del quadro giuridico europeo sulla protezione dei dati sin dagli inizi”.

La decisione del Tribunale di Salerno, la n. 47 del 7 gennaio 2025, era assunta proprio alla luce della disciplina, potrebbe dirsi, “degli inizi”, e in particolare del Codice in materia di protezione dei dati personali nella formulazione antecedente alla novella volta all’adeguamento al GDPR.

Il Tribunale decideva, più precisamente, nel giudizio di appello promosso avverso la decisione emessa dal Giudice di Pace. L’appellante, una compagnia telefonica, censurava, tra l’altro, l’erronea motivazione del provvedimento di primo grado, ritenuta in violazione del Codice privacy. Al centro del contendere, la “mancata positiva risposta” da parte della compagnia telefonica alla richiesta stragiudiziale di consegna del contratto presentata dall’avvocato dell’intestatario dell’utenza, recante la sottoscrizione del difensore e dell’intestatario, ma priva di “qualsivoglia allegazione di una procura o una delega sottoscritta dalla [parte intestataria dell’utenza]”.

Il Tribunale di Salerno giudicava l’appello fondato, ritenendo che “correttamente la compagnia telefonica, sia in base alla normativa di settore richiamata, ma anche ai principi generali fondamentali che regolano il doveroso controllo della legittimazione della persona richiedente a ricevere informazioni e atti riservati, non [avesse riscontrato] la richiesta, e non [avesse consegnato] copia del contratto, tutelando i dati personali riservati attinenti all’utenza indicata (in conformità della normativa in materia di acceso e protezione dei dati personali di cui al D.lgs. n. 196 del 2003)”.

Il Tribunale, in particolare, decideva ai sensi dell’art. 9 del Codice privacy. Ora abrogato, l’art. 9 disciplinava nel dettaglio le modalità operative di esercizio del diritto di accesso, dalle modalità di delega o procura, da rilasciarsi per iscritto, affinché la persona delegata la esibisse o ne allegasse copia, “sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell’interessato”, fino alle modalità di verifica dell’identità dell’interessato, da condurre “sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento”.

Il GDPR, né all’art. 15, ove si disciplina il diritto di accesso, né all’art. 12, in materia di “informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”, reca una disciplina tanto dettagliata: con il principio di accountability, sono venute meno le istruzioni normative particolareggiate per il titolare del trattamento, chiamato esso stesso a definire modalità attuative adeguate, in ragione delle caratteristiche del trattamento.

Offrono alcune specificazioni le linee guida EDPB, già menzionate. Lette in rapporto alla normativa nazionale previgente, il focus appare più sul garantire l’effettività del diritto di accesso, che sulla sicurezza. In altri termini, pur ribadendo che “per garantire la sicurezza del trattamento e ridurre al minimo il rischio di divulgazione non autorizzata di dati personali, il titolare del trattamento dev’essere in grado di (…) confermare l’identità [dell’interessato]”, l’EDPB pone l’accento sulla proporzionalità, variamente declinata: il titolare del trattamento può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato qualora nutraragionevoli dubbi” circa l’identità della persona che presenta la richiesta; non può essere richiesta una quantità di dati personali maggiore di quella necessaria per consentire tale autenticazione; l’uso di una copia del documento d’identità nell’ambito del processo di autenticazione dovrebbe essere considerato “inappropriato, tranne i casi in cui sia necessario, idoneo e conforme al diritto nazionale”, poiché tale utilizzo “comporta un rischio per la sicurezza dei dati personali e può dare luogo a un trattamento non autorizzato o illecito”. Nell’ipotesi di richiesta presentata tramite terzi, si afferma il medesimo principio: “in alcune circostanze l’identità della persona autorizzata a esercitare il diritto di accesso nonché l’autorizzazione ad agire a nome dell’interessato potrebbero richiedere una verifica, laddove ciò sia opportuno e proporzionato”, precisa l’EDPB.

La ratio appare duplice: da un lato, evitare che, nell’evadere una richiesta di diritto di accesso, il titolare del trattamento raccolga dati personali non effettivamente utili, in violazione del principio di minimizzazione; dall’altro, rendere semplice ed immediato l’esercizio del diritto di accesso da parte degli interessati, senza specifici oneri documentali, ove non necessario.

Del resto, nell’ambito della sua 2024 Coordinated Enforcement Action relativa all’attuazione del diritto di accesso da parte dei titolari del trattamento, sulla base dell’attività di indagine di 30 Autorità europee, l’EDPB ha incluso tra le sette sfide da affrontare gli ostacoli all’esercizio del diritto di accesso determinati dai requisiti formali o dalla richiesta di fornire documenti di identificazione eccessivi.

Tra le sfide individuate dall’EDPB, anche quella di porre rimedio alla mancata adozione da parte dei titolari di procedure interne documentate per la gestione delle richieste di accesso. Eppure, le policy interne possono rappresentare uno strumento chiave per guidare quella valutazione caso per caso che, in linea con il principio di accountability, è oggi richiesta al titolare del trattamento.

_______

*Giorgia Bianchini, Studio Legale Finocchiaro

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più
Per saperne di piùRiproduzione riservata ©

Correlati

SpecialiTecnologie digitali e diritto

Gli ultimi contenuti di Civile