Diritto di accesso ex art. 15 GDPR, in due recenti pronunce l'interpretazione "estensiva" della CGUE
Di recente la Corte di Giustizia dell'Unione Europea ("CGUE") si è espressa in materia di diritto di accesso in due importanti sentenze, rispettivamente nelle cause C-487/21 e C-579/21, meglio definendo il perimetro applicativo dell'art. 15 del GDPR e attribuendo, di fatto, una maggiore responsabilità in capo al titolare
L'art. 15 del Regolamento (UE) 2016/679 ("GDPR") disciplina quello che è noto come "diritto di accesso", ovvero la possibilità per l'interessato di ottenere dal titolare del trattamento la conferma o meno che sia presente un trattamento dei suoi dati personali e, in caso di risposta positiva, di ottenerne copia.
Il diritto di accesso costituisce uno dei più importanti strumenti di tutela previsti dal GDPR, in quanto consente all'interessato di entrare in possesso di numerose e significative informazioni sull'estensione e le modalità di trattamento dei suoi dati ottenendo, ad esempio, informazioni su:
• finalità del trattamento;
• categorie di dati trattati;
• destinatari a cui i suoi dati sono comunicati;
• periodo di conservazione; e
• sulla presenza o meno di un trasferimento di dati extra UE.
Nell'ambito del rapporto di lavoro, dunque, il diritto di accesso diventa un formidabile strumento a disposizione del lavoratore nei confronti del proprio datore di lavoro.
Di recente la Corte di Giustizia dell'Unione Europea ("CGUE") si è espressa in materia di diritto di accesso in due importanti sentenze, rispettivamente nelle cause C-487/21 e C-579/21, meglio definendo il perimetro applicativo dell'art. 15 del GDPR e attribuendo, di fatto, una maggiore responsabilità in capo al titolare.
In particolare, nella causa C-487/21 la CGUE ha avuto modo di precisare che, il titolare non potrà limitarsi a condividere una semplice lista dei dati trattati, bensì sarà tenuto a fornire copia della documentazione contenente tali dati, a condizione che l'accesso alla suddetta documentazione risulti indispensabile per consentire all'interessato di esercitare in maniera effettiva i diritti previsti a suo favore dal GDPR.
Secondo la Corte, infatti, l'art. 15 del GDPR conferisce all'interessato il diritto di ottenere una riproduzione fedele ed intellegibile dei suoi dati personali, che non sempre si traduce nella mera condivisione di estratti di documenti, ma addirittura può estendersi alla condivisione di interi documenti o estratti di banche dati, nei limiti ovviamente in cui una simile condivisione non vada ad incidere su diritti e le libertà altrui.
La CGUE ha poi avuto occasione di tornare ad esprimersi sull'art. 15 del GDPR anche nella causa C-579/2021 . In tale procedimento il dipendente di una banca, che era anche cliente dell'istituto finanziario, ha chiesto al datore di lavoro di poter accedere all'identità delle persone che avevano consultato i suoi dati personali nel contesto di un'indagine interna svoltasi nei suoi confronti. A seguito del rifiuto della banca, il dipendente si è rivolto al tribunale finlandese competente, il quale ha poi rimesso la questione alla Corte di Giustizia proprio al fine di comprendere il perimetro applicativo del diritto di accesso.
La CGUE si è espressa affermando che l'art. 15 del GDPR dev'essere interpretato nel senso che anche le informazioni relative a operazioni di consultazione di dati personali, tra cui le date e le finalità di tali operazioni, costituiscono informazioni che l'interessato ha il diritto di ottenere dal titolare del trattamento ai sensi dell'art. 15 del GDPR.
Ciononostante, la Corte ha anche precisato che il GDPR non riconosce uno specifico diritto in capo all'interessato di avere accesso alle informazioni relative all'identità dei dipendenti che hanno svolto - sotto l'autorità del titolare e conformemente alle istruzioni da esso ricevute - operazioni di trattamento, a meno che tali informazioni risultino indispensabili per consentire all'interessato di esercitare in maniera effettiva i diritti che gli sono conferiti dal GDPR, sempre a condizione che una simile condivisione non vada ad incidere su diritti e le libertà degli altri soggetti coinvolti.
Analizzando quest'ultima pronuncia, pare che la CGUE indirettamente distingua tra il caso in cui i dipendenti abbiano svolto operazioni di trattamento secondo le istruzioni del titolare, dai casi in cui questi abbiano agito e consultato i dati dell'interessato per proprie finalità, in violazione delle istruzioni impartite dal titolare e sottraendosi alla sua autorità.
Ciò si tradurrebbe, nel concreto, in una riduzione della protezione dell'identità del dipendente che abbia agito in contrasto con le indicazioni del suo datore di lavoro, a fronte di una proporzionale estensione del diritto di accesso dell'interessato.
A prescindere da tale considerazione, è comunque necessario tenere a mente che la comunicazione dell'identità di un dipendente nell'ambito del riscontro ad una richiesta di accesso deve sempre essere sottoposta ad un vaglio critico da parte del titolare, che dovrà assicurarsi di trovare il giusto equilibrio tra le esigenze dell'interessato e i diritti e libertà del proprio dipendente.
Aspetto essenziale che ricaviamo dall'analisi congiunta delle pronunce della Corte è la necessità per il titolare del trattamento che sia destinatario di richieste di accesso particolarmente delicate che possano impattare sui diritti e le libertà di altri soggetti, in particolare dei propri dipendenti, di effettuare un'attenta analisi - e relativo bilanciamento - degli interessi in gioco.
Il titolare è infatti chiamato a valutare se, per adempiere alla richiesta di diritto di accesso prevista dal GDPR, sia opportuno o meno comunicare all'interessato anche l'identità e/o ulteriori dati relativi al proprio personale.
La questione è innegabilmente complessa, soprattutto nei casi in cui la richiesta d'accesso sia formulata in maniera pretestuosa da parte dell'interessato al fine di raccogliere documentazione e informazioni che possano consentirgli di fondare una futura azione legale nei confronti del titolare. In tali occasioni sarà particolarmente delicato per il titolare determinare il livello di informazioni da fornire all'interessato, fatti ovviamente salvi i - limitati - casi in cui questo sia legittimato a sottrarsi alla richiesta ai sensi del GDPR e del D.lgs. n. 196/2003.
In conclusione, agli occhi di chi scrive non si può non rilevare come la CGUE tenda ad interpretare l'art. 15 del GDPR in maniera estensiva, al fine di tutelare maggiormente l'interessato, imponendo contestualmente al titolare del trattamento di effettuare complesse valutazioni di bilanciamento di interessi, che meriterebbero di essere formalizzate in specifiche procedure ai fini del rispetto del principio di accountability.
_____
*A cura di
Nicola Sandon, Senior Associate, Data Protection Rödl & Partner Italy
Stefano Foffani, Associate, Data Protection Rödl & Partner Italy
Controlled Foreign Companies (CFC), semplificazioni e coordinamento con il “Pillar 2”
di Claudio Finanze, Stefania Gestra*
