Diritto di accesso, linee guida EDPB: le modalità corrette per rispondere agli interessati

Il diritto di accesso, già sancito dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea^[1] e disciplinato più nel dettaglio dall’art. 15 del GDPR^[2], è di fondamentale importanza poiché gli interessati al trattamento dei dati personali si trovano spesso in una posizione di svantaggio rispetto ai titolari del trattamento.

È quanto chiarito dall’ European Data Protection Board (EDPB) che, lo scorso 28 marzo 2023, ha adottato la versione definitiva delle linee guida 01/2022 sul diritto di accesso.

Nel documento, l’EDPB ricorda che, inoltre, il diritto di accesso non deve essere considerato isolatamente in quanto è strettamente connesso ad altre disposizioni del GDPR, quali ad esempio, i principi di correttezza e liceità del trattamento, nonché con i diritti dell’interessato previsti dal Capo III^[3].

Il diritto è composto da tre diverse componenti e consente all’interessato di:

1. ottenere conferma dell’elaborazione o meno dei dati che lo riguardano;
2. accedere ai dati personali; e
3. accedere alle informazioni sul trattamento, quali: finalità, categorie di dati e destinatari, periodo di conservazione, diritti dell’interessato e presenza di garanzie adeguate in caso di trasferimenti verso Paesi terzi.

Rispetto al perimetro del diritto oggetto delle linee guida, l’EDPB evidenzia che il diritto di accesso in materia di protezione dei dati personali deve essere tenuto distinto dal diritto di accesso disciplinato da altre norme quali, ad esempio, quelle sulla trasparenza amministrativa.

Fatte queste premesse, di seguito sono analizzati gli aspetti fondamentali delle linee guida e sono individuate le raccomandazioni del Comitato relative: all’interpretazione e valutazione della richiesta di accesso, alle modalità di risposta alle richieste degli interessati e all’individuazione dei limiti e delle restrizioni all’esercizio del diritto.

Cosa fare in caso di data breach: ecco le nuove linee guida EDPB

Richiesta di accesso: cosa deve fare il titolare del trattamento

Il titolare deve essere preparato a ricevere le richieste di accesso e rispondere senza ritardo. L’EDPB non dà delle indicazioni puntuali su quali accorgimenti deve adottare il titolare e lo lascia libero di scegliere le soluzioni che preferisce purché queste siano adeguate e proporzionali rispetto alla natura, alle finalità e al contesto in cui opera e deve tenere in considerazione anche i rischi per i diritti e le libertà delle persone fisiche.

Nel descrivere la condotta che il titolare del trattamento deve tenere a fronte di una richiesta di accesso avanzata da un interessato, l’EDPB sottolinea che il titolare non deve chiedere le ragioni che stanno alla base della richiesta. Ad esempio, il titolare non può negare l’accesso sulla base del sospetto che l’interessato userà i dati oggetto della richiesta per difendere un proprio diritto in sede giudiziaria in una controversia con lo stesso titolare del trattamento^[4].

L’EDPB individua le seguenti domande che i titolari dovrebbero porsi nella valutazione delle richieste degli interessati:

1. La richiesta riguarda dati personali?
2. La richiesta riguarda la persona richiedente (o la persona per conto della quale il soggetto autorizzato/ delegato fa la richiesta)?
3. Si applicano disposizioni, diverse dal GDPR, che regolano l’accesso a una determinata categoria di dati?
4. La richiesta rientra nell’ambito di applicazione dell’art. 15 del GDPR?
5. Gli interessati vogliono accedere a tutte o a una parte delle informazioni che li riguardano?

A seguito della richiesta, valutati gli elementi di cui sopra, l’interessato ha diritto a ottenere tutti i dati che lo riguardano ad eccezione dei seguenti casi:

1. l’interessato ha esplicitamente delimitato il perimetro della richiesta ad alcuni dati;
2. se il titolare tratta una grande quantità di dati che riguardano l’interessato e la richiesta è espressa in termini generici, il titolare può avere dubbi sul fatto la richiesta di accesso sia realmente finalizzata al ricevimento di informazioni su tutte le tipologie di dati oggetto di trattamento o relativamente a tutti i settori di attività del titolare del trattamento. Tuttavia, se a seguito della richiesta di chiarimenti, l’interessato conferma di volere tutti i dati che lo riguardano, il Titolare deve soddisfare la richiesta.

Per facilitare l’esercizio del diritto, il titolare dovrà adottare in anticipo delle procedure per rispondere senza ritardo all’interessato, prima che i dati siano cancellati, anche nei casi in cui sia previsto un periodo di conservazione breve.

Inoltre, nei casi in cui la richiesta arrivi a ridosso del termine del periodo di conservazione (ad esempio, il giorno prima), il titolare potrebbe aver bisogno di ulteriore tempo per elaborare la richiesta dell’interessato, conservando così i dati per un periodo superiore rispetto a quello prestabilito.

In questi casi, l’EDPB afferma che il trattamento dei dati oltre il periodo di conservazione prestabilito è effettuato per adempiere l’obbligo di rispondere alla richiesta dell’interessato e può basarsi sull’art. 6, paragrafo 1, lett.c) in combinazione con l’art. 15 del GDPR e la durata deve rispettare i requisiti dell’art. 12, paragrafo 3, del GDPR.

In ogni caso, l’utilizzo di questa base giuridica deve essere limitato al trattamento dei soli dati necessari per rispondere alla richiesta dell’interessato e non può essere utilizzata come giustificazione per prorogare in modo arbitrario il periodo di conservazione^[5].

Le modalità di risposta alle richieste degli interessati

Il titolare deve fornire all’interessato tutte le informazioni e i dati che detiene al momento della richiesta; pertanto, dovrà includere anche informazioni su dati inesatti o su trattamenti che non sono più leciti.

L’EDPB sottolinea, infatti, che uno degli obiettivi del diritto di accesso è quello di permettere all’interessato di venire a conoscenza di eventuali trattamenti illeciti.

L’EDPB evidenzia che il GDPR non individua in linea di principio dei requisiti specifici che gli interessati devono osservare nella scelta del canale di comunicazione attraverso il quale entrano in contatto con il titolare del trattamento.

Infatti, le indicazioni del Comitato sono rivolte ai titolari, i quali devono fornire agli interessati dei canali appropriati e di facile utilizzo.

Tuttavia, nel caso in cui l’interessato avanzi una richiesta inviata in maniera casuale o ad un indirizzo di posta elettronica errato e non fornito direttamente dal titolare, o tramite un canale di comunicazione che chiaramente non è destinato a ricevere richieste relative ai diritti dell’interessato, se il titolare del trattamento ha meso a disposizione un canale di comunicazione appropriato, può non rispondere alla richiesta.

Per rispondere alle richieste, i titolari devono adottare, quale buona pratica, dei meccanismi per facilitare l’esercizio dei diritti degli interessati, quali, ad esempio, dei sistemi di risposta automatica per informare delle assenze del personale e, ove possibile, dei meccanismi per migliorare la comunicazione interna tra i dipendenti nel caso in cui la richiesta arrivi ad un dipendente che non è competente a trattarla per consentirgli di trasmetterla ad un collega competente.

Un’altra buona pratica individuata è quella di dare conferma in forma scritta agli interessati dell’avvenuta ricezione della richiesta, anche ai fini del calcolo del termine per rispondere.

Al fine di assicurare la sicurezza del processo e ridurre al minimo il rischio di una rivelazione non autorizzata dei dati personali, il titolare deve essere in grado di sapere quali dati si riferiscono all’interessato (identificazione) e deve poter aver conferma dell’identità del soggetto che richiede l’accesso (autenticazione).

Il GDPR non individua dei requisiti specifici su come identificare un soggetto; tuttavia, se il titolare ha ragionevoli motivi per dubitare dell’identità del richiedente, può richiedere ulteriori informazioni per confermare la sua identità.

In ogni caso, il titolare non può raccogliere più dati personali di quelli necessari a consentire l’autenticazione del soggetto richiedente.

Ad esempio, in un contesto online il meccanismo di autenticazione potrebbe includere le stesse credenziali usate dall’interessato per la registrazione al servizio online offerto dal titolare^[6].

L’EDPB evidenzia, inoltre, che la richiesta di un documento di identità, quale parte del processo di identificazione del soggetto richiedente, crea un rischio elevato per la sicurezza dei dati personali e dovrebbe essere considerato inappropriato, a meno che non sia richiesto dalla legislazione nazionale.

Nei casi in cui sia comunque necessario controllare un documento di identità, l’EDPB raccomanda di prendere nota esclusivamente dell’esito positivo del controllo e di evitare di conservare una copia dello stesso.

Una volta verificate le condizioni di accesso, il Titolare deve fornire i dati in una maniera chiara ed accessibile e, se la richiesta di accesso riguarda una grande quantità di dati, gli stessi possono essere forniti con un approccio a più livelli (“stratificato”). L’approccio “stratificato” dovrà tenere in considerazione quali informazioni sono più rilevanti per l’interessato e dovrà fornire queste per prime.

Se l’interessato presenta la richiesta mediante mezzi elettronici, il titolare fornisce le informazioni in un formato elettronico di uso comune. L’EDPB ritiene che per ritenere un formato “di uso comune”, occorre considerare la facilità con cui l’individuo può accedere alle informazioni, considerate anche le istruzioni sull’accesso che il Titolare ha fornito all’interessato. Inoltre, l’interessato non dovrebbe essere obbligato ad acquistare software per accedere alle informazioni.

L’EDPB evidenzia anche che i requisiti del formato con cui sono fornite le informazioni sono diversi per quanto riguarda il diritto di accesso e il diritto alla portabilità dei dati. Infatti, l’art. 20 del GDPR richiede «un formato strutturato, di uso comune e leggibile da dispositivo automatico», mentre l’art. 15 del GDPR no. Pertanto, alcuni formati che non sono considerati adeguati in relazione al diritto alla portabilità, potrebbero essere idonei a soddisfare il diritto di accesso (ad esempio, un file pdf).

Infine, il titolare deve fornire i dati senza ingiustificato ritardo e al più tardi entro un mese. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste.

Sul punto, l’EDPB individua alcuni elementi che possono determinare la complessità di una richiesta, tra cui, ad esempio:

1. la quantità di dati trattati dal titolare,
2. come vengono archiviate le informazioni, soprattutto quando è difficile recuperarle, ad esempio quando i dati sono trattati da diverse unità dell’organizzazione,
3. la necessità di oscurare le informazioni quando si applica uno dei limiti al diritto di accesso, ad esempio rispetto alle informazioni che riguardano altri interessati o che costituiscono segreti commerciali, e
4. quando l’informazione richiede ulteriore lavoro per essere comprensibile.

I limiti al diritto di accesso

Il diritto di accesso incontra i limiti posti dall’art. 15, paragrafo 4, del GDPR (i diritti e libertà altrui)^[7], e dall’art. 12, paragrafo 5, del GDPR (ossia, la richiesta non può essere manifestamente infondata o eccessiva).

L’EDPB sottolinea che i limiti sopra individuati sono gli unici che possono essere posti all’esercizio del diritto di accesso; anche la volontà contrattuale delle parti non può tradursi nella creazione di limiti al diritto di accesso.

Rispetto ai limiti di cui all’art. 15, paragrafo 4, l’EDPB evidenzia che deve essere svolto un giudizio di bilanciamento tra i diritti coinvolti e, se possibile, il contrasto tra i diritti dovrà essere risolto dal titolare, il quale deve adoperarsi per non limitare il diritto di accesso. Ad esempio, nell’adempimento delle richieste di accesso che coinvolgono i diritti di altri soggetti, se possibile, il titolare dovrebbe rendere illeggibili le informazioni degli altri soggetti invece di rifiutare di fornire una copia dei dati al richiedente.

L’EDPB afferma anche che gli interessi economici di una società a non divulgare i dati personali non rientrano nella deroga di cui all’art. 15, paragrafo 4, purché non vi siano informazioni relative a segreti commerciali, proprietà intellettuale o altri diritti protetti dalla normativa.

Relativamente ai limiti posti dall’art. 12, paragrafo 5, l’EDPB afferma che gli stessi devono essere interpretati in modo restrittivo. Ad esempio, una richiesta può essere considerata manifestamente infondata se riguarda informazioni o trattamenti che chiaramente non fanno parte dell’oggetto dell’attività del titolare del trattamento.

Rispetto alla valutazione di una richiesta come “eccessiva”, l’EDPB evidenzia che la stessa deve essere effettuata sulla base di un criterio quantitativo, con particolare riferimento all’intervallo intercorso tra una richiesta ed un’altra. I criteri per individuare se è trascorso un intervallo ragionevole sono i seguenti:

1. quanto spesso i dati sono modificati;
2. la natura dei dati, in particolare se sono dati particolari;
3. le finalità del trattamento;
4. se le richieste successive riguardano la stessa tipologia di informazioni e trattamenti.

Inoltre, una richiesta non può essere considerata eccessiva se:

1. l’interessato non ha motivato la richiesta o il titolare del trattamento ritiene la richiesta senza significato;
2. l’interessato utilizza un linguaggio improprio o scortese;
3. l’interessato intende utilizzare i dati per avanzare ulteriori pretese nei confronti del titolare del trattamento.

Un caso in cui la richiesta può essere considerata eccessiva è se, dopo averla avanzata, un soggetto propone di ritirarla solo se il titolare gli offre dei vantaggi in cambio.

Se la richiesta è considerata infondata o eccessiva, il titolare può chiedere il pagamento dei costi amministrativi o rifiutarsi di adempiere alla richiesta.

Conclusioni

Le indicazioni e le raccomandazioni dell’EDPB sono volte ad estendere al massimo la portata del diritto di accesso ed evidenziano la rilevanza del diritto quale strumento per l’interessato per far valere anche gli altri diritti in materia di protezione dei dati personali.

NOTE

1. Art. 8 “Protezione dei dati di carattere personale” «1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole Ł soggetto al controllo di un’autorità indipendente». ↑

2. L’art. 15 (1) e (2) definisce il contenuto del diritto di accesso, l’art.15(3) si occupa delle modalità di accesso, oltre ai requisiti generali di cui all’art. 12 del GDPR. L’art. 15 (4) integra i limiti e le restrizioni che l’art. 12(5) GDPR prevede per tutti i diritti degli interessati con un focus specifico sui diritti e le libertà degli altri soggetti che possono essere toccati dall’esercizio dell’accesso. ↑

3. Cfr. EDPB, Linee guida 01/2022, para. 12 e CJEU, C-434/16, Nowak, para. 56. ↑

4. Cfr. EDPB, Linee guida 01/2022, para. 13. ↑

5. Cfr. EDPB, Linee guida 01/2022, para. 38. ↑

6. Cfr. EDPB, Linee guida 01/2022, para. 72 e considerando 57 GDPR. ↑

7. Il considerando 63 del GDPR afferma che «Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce». ↑