Nel gennaio 2025, l’European Data Protection Board (EDPB) ha pubblicato il rapporto conclusivo sull’applicazione del diritto di accesso ai dati personali, previsto dall’articolo 15 del GDPR, uno dei pilastri fondamentali della protezione dei dati in Europa.
Il rapporto sintetizza l’attività di enforcement coordinato condotta nel 2024, che ha coinvolto trenta autorità garanti dello Spazio economico europeo ed oltre 1.100 titolari del trattamento, selezionati tra enti pubblici e privati di varia natura e dimensione.
Indice degli argomenti
L’applicazione del diritto di accesso ai dati personali
Il diritto di accesso, spesso percepito come un diritto secondario rispetto a quelli più visibilmente “forti” del GDPR, come la cancellazione o la portabilità, rappresenta invece una prerogativa essenziale per garantire la trasparenza nei rapporti tra cittadini e organizzazioni.
Conoscere quali dati vengano raccolti, come siano utilizzati e per quali finalità non è solo una questione tecnica, ma un prerequisito per l’esercizio effettivo della cittadinanza digitale.
È proprio su questo punto che il rapporto Edpb assume un valore paradigmatico, portando alla luce non solo il livello di adempimento formale, ma anche la qualità dell’attuazione di tale diritto, rivelando lacune strutturali e pratiche virtuose.
L’articolo 15 del GDPR: le 3 componenti principali
L’articolo 15 del Regolamento Generale sulla Protezione dei Dati (GDPR) rappresenta uno dei cardini della normativa europea sulla protezione dei dati personali, offrendo agli interessati uno strumento fondamentale per esercitare un controllo effettivo sulle proprie informazioni.
Questo articolo si articola in tre componenti principali, ciascuna delle quali risponde a esigenze distinte ma complementari nell’ambito della trasparenza e della responsabilità dei titolari del trattamento.
In primo luogo, l’articolo garantisce agli interessati il diritto di ottenere conferma dell’esistenza o meno di un trattamento dei propri dati personali da parte del titolare. Questo primo elemento non è una mera formalità, ma consente di stabilire la presenza di una relazione tra il cittadino e il titolare del trattamento, rappresentando il punto di partenza per ulteriori approfondimenti.
La trasparenza qui svolge un ruolo cruciale, poiché permette all’interessato di capire se e come le proprie informazioni siano effettivamente trattate.
In secondo luogo, l’articolo sancisce il diritto di accedere ai dati personali stessi, offrendo una visione concreta delle informazioni detenute dal titolare. Questo accesso non si limita a una semplice elencazione dei dati raccolti, ma deve includere informazioni sufficienti per garantire una comprensione chiara e precisa del contenuto e del contesto del trattamento.
Le Linee guida 01/2022 dell’EDPB
In questo quadro normativo, le Linee guida 01/2022 adottate dall’European Data Protection Board (EDPB) assumono un ruolo decisivo per chiarire le modalità di esercizio del diritto di accesso, colmando le ambiguità interpretative che spesso ostacolano la piena attuazione del Gdpr.
Le linee guida specificano, per esempio, che il diritto di accesso non si esaurisce nella semplice fornitura di una copia dei dati personali, ma implica un’analisi accurata delle richieste ricevute e la capacità del titolare di fornire risposte personalizzate e significative.
Inoltre, esse affrontano le limitazioni legittime al diritto di accesso, come la tutela dei diritti e delle libertà di terzi, offrendo ai titolari strumenti per bilanciare gli interessi in gioco senza compromettere la trasparenza.
Un altro aspetto cruciale sottolineato dalle linee guida è la necessità di una cooperazione effettiva tra le autorità garanti nazionali, che, grazie al Coordinated Enforcement Framework (Cef), possono condividere pratiche virtuose, promuovere standard comuni e garantire un’applicazione uniforme della normativa in tutta l’Unione Europea.
Questa cooperazione non solo migliora la compliance, ma rafforza anche la fiducia dei cittadini nel sistema europeo di protezione dei dati, consolidando il GDPR come modello globale per la gestione delle informazioni personali.
L’attuazione del diritto di accesso nello scenario europeo
Nel panorama europeo, l’attuazione del diritto di accesso, pur essendo formalmente garantita, rivela alcune crepe profonde che ne minano l’efficacia.
Tra le criticità più evidenti emerge una diffusa mancanza di consapevolezza da parte dei titolari del trattamento, che spesso non riconoscono tempestivamente le richieste di accesso ai dati personali, confondendole con altre tipologie di istanze o trascurandone la rilevanza.
Questa lacuna non è un mero disguido amministrativo, bensì sintomo di carenze strutturali nella formazione e nell’organizzazione interna delle imprese e degli enti pubblici.
Il personale incaricato di gestire tali richieste, non adeguatamente formato o sensibilizzato, fatica a distinguere tra una richiesta legittima di accesso e una semplice domanda informativa, con il risultato di compromettere il diritto fondamentale alla trasparenza e al controllo sui propri dati.
EDPB, ostacoli all’applicazione del diritto accesso
A ciò si aggiungono le barriere pratiche, derivanti da interpretazioni restrittive o addirittura eccessive delle eccezioni previste dal GDPR.
In nome della tutela dei diritti e delle libertà altrui, o sotto il pretesto della sicurezza aziendale, taluni titolari tendono a restringere l’accesso, ricorrendo a giustificazioni che appaiono spesso pretestuose e che, sebbene formalmente legittime, finiscono per erodere il nucleo sostanziale del diritto di accesso.
Questo atteggiamento difensivo, oltre a tradire una comprensione distorta degli obblighi normativi, riflette una visione del tutto strumentale della compliance, percepita più come un fastidioso onere burocratico che come un’opportunità di rafforzare la fiducia dei propri utenti.
Il rischio di un quadro frammentario
L’eterogeneità tra i diversi Stati membri e settori economici, poi, accentua il quadro frammentario dell’implementazione delle Linee guida 01/2022. Mentre in alcune giurisdizioni si rilevano buone pratiche e un’applicazione rigorosa delle indicazioni dell’Edpb, altrove si registra una trasposizione parziale o disomogenea che vanifica gli sforzi di armonizzazione perseguiti a livello europeo.
Questa disuniformità crea un’incertezza giuridica che finisce per penalizzare tanto i titolari quanto gli interessati, costretti a navigare tra interpretazioni divergenti e prassi contrastanti.
Infine, un ulteriore ostacolo risiede nell’accesso ai dati non testuali — immagini, video, registrazioni vocali, che, pur rientrando a pieno titolo nella definizione di dati personali, sono spesso esclusi dai processi standardizzati di risposta alle richieste di accesso.
Questa limitazione denota una visione riduttiva del diritto di accesso, confinato entro i limiti di ciò che è facilmente gestibile per il titolare, e non già calibrato sulle reali esigenze dell’interessato.
Le complessità tecniche nella gestione di tali dati non possono costituire una scusa per limitare i diritti riconosciuti dal Gdpr, ma devono invece stimolare l’adozione di soluzioni tecnologiche adeguate, capaci di garantire l’effettività del diritto.
Conclusioni
Nel complesso, queste criticità non solo rivelano l’urgenza di interventi correttivi, ma impongono una riflessione più ampia sulla cultura della protezione dei dati in Europa, dove il rispetto dei diritti fondamentali non può essere lasciato alla discrezione dei singoli titolari, ma deve essere sostenuto da un impegno costante delle autorità garanti e da un’attiva partecipazione della società civile.