24 Ott Il diritto di accesso ai sensi del GDPR: Considerazioni pratiche per i Titolari

Autori: Isabella Oldani, Francesca Tugnoli, Giada Iovane

Con due recenti provvedimenti (in particolare, l’ordinanza di ingiunzione n. 236 nei confronti della Federazione Italiana Nuoto e l’ordinanza di ingiunzione n. 225 nei confronti di Unicredit S.p.A., entrambe del 16 giugno 2022), l’Autorità Garante italiana per la protezione dei dati personali (“Garante”) ha ricordato l’importanza per i Titolari di adottare delle procedure che consentano agli interessati di esercitare efficacemente (e agevolmente) il loro diritto di accesso ai sensi dell’articolo 15 del Regolamento UE 2016/679 (“GDPR”).

I provvedimenti del Garante in caso di mancato riscontro all’esercizio del diritto di accesso

Con la prima delle ordinanze di ingiunzione sopra citate, la n. 236, il Garante ha sanzionato la Federazione Italiana Nuoto (“Federazione”) per omesso tempestivo riscontro ad un’istanza di accesso ai propri dati personali formulata dal soggetto reclamante. In particolare, nel caso di specie, l’interessato aveva lamentato di non avere ricevuto, da parte della Federazione, riscontro alla sua istanza di ottenere “accesso e copia dei documenti contenente i [propri] dati personali”. Nel formulare le proprie osservazioni in ordine ai fatti oggetto del reclamo, la Federazione ha precisato (inter alia) che la richiesta presentata fuoriusciva dal campo di applicazione del GDPR, poiché qualificabile come richiesta di accesso a documenti amministrativi[1]. All’esito dell’istruttoria, il Garante ha, tuttavia, concluso di non poter condividere le dichiarazioni espresse dalla Federazione, ritenendo che la richiesta fosse chiaramente individuabile come istanza di esercizio dei diritti ai sensi del GDPR, in quanto recante espressamente la dicitura “Richiesta di Accesso ai dati personali ex artt. 15 -22 del Regolamento 679/2016”[2] [3].

Nella stessa data in cui la Federazione veniva sanzionata, il Garante accertava l’illiceità del mancato riscontro da parte di Unicredit S.p.A. (“Unicredit”) alla richiesta presentata dal reclamante di accedere ai dati personali trattati nell’ambito del rapporto di lavoro con Unicredit. In particolare, quest’ultima si difendeva adducendo di non avere fornito riscontro avendo ritenuto che il soggetto non fosse più interessato all’esercizio del diritto di accesso, posto che non aveva fornito riscontro alla comunicazione con la quale Unicredit aveva inoltrato il modulo che, secondo la loro procedura interna, doveva utilizzarsi per l’esercizio dei diritti. Sul punto, il Garante ha osservato come la predisposizione di un modulo predefinito possa, in termini generali, rappresentare una misura organizzativa volta ad agevolare gli interessati nell’esercizio dei propri diritti. Al contempo, non può essere considerato “conforme alla disciplina vigente in materia di protezione dei dati personali condizionare, al previo invio del predetto modulo compilato, l’avvio della procedura preordinata a dare corso all’esercizio del diritto, e non prendere in considerazione nel merito le istanze presentate in forma libera”[4]. L’obbligo di compilare un modulo predefinito indipendentemente dal contenuto dell’istanza può infatti avere l’effetto di aggravare (anziché facilitare come richiesto dal GDPR)[5] l’esercizio dei diritti degli interessati.

I principi sopra espressi sono in linea con alcuni recenti provvedimenti emanati dalle Autorità Garanti di altri Stati Membri dell’Unione Europea, con cui è stata ribadita l’importanza di predisporre delle procedure ai fini della gestione delle richieste di accesso da parte degli interessati, a partire dall’identificazione del soggetto che presenta l’istanza di accesso, alla valutazione della fondatezza della richiesta, fino alla predisposizione del riscontro. Rispetto alle modalità con cui procedere all’identificazione dell’interessato, giova ricordare come, a titolo esemplificativo, la richiesta della carta d’identità sia stata ritenuta (in linea generale) in contrasto con i principi del GDPR nel caso in cui questa non sia supportata da ragionevoli dubbi rispetto all’identità dell’interessato. Come infatti osservato (inter alia) dall’Autorità Garante spagnola[6], la richiesta della carta d’identità quale modalità “standard” di identificazione degli interessati si pone in violazione dell’obbligo in capo a Titolare di facilitare l’esercizio dei diritti degli interessati, oltre che in violazione del principio di minimizzazione dei dati[7].

Conclusioni e raccomandazioni

I provvedimenti sopra citati ricordano l’importanza per i Titolari di adottare delle procedure adeguate al fine di gestire eventuali richieste di esercizio dei diritti degli interessati. Il contenuto di tali provvedimenti è stato anche riflesso nelle Linee Guida 01/2022 emanate dall’European Data Protection Board (“EDPB”)[8] con le quali l’EDPB ha fornito alcune importanti raccomandazioni sulla corretta gestione di simili richieste di esercizio del diritto di accesso, tra cui:

• • • • i Titolari devono essere pronti a gestire in modo tempestivo eventuali richieste di accesso, in ottemperanza al proprio obbligo di facilitare gli interessati nell’esercizio dei propri diritti;
      • il GDPR non introduce nessun requisito formale per l’esercizio del diritto di accesso;
      • gli interessati hanno, in linea generale, diritto di ottenere accesso a tutti i dati personali che li riguardano[9] e le informazioni fornite devono essere complete, corrette e aggiornate, corrispondenti il più possibile allo stato delle attività di trattamento al momento della ricezione della richiesta;
      • le informazioni sulle attività di trattamento svolte dal Titolare devono essere fornite in modo da riflettere gli specifici trattamenti che interessano il soggetto che presenta la richiesta, evitando formulazioni generiche rispetto, ad esempio, alle finalità del trattamento e alle categorie di dati personali trattati (elementi che potrebbero infatti variare a seconda dell’interessato che presenta la richiesta);
      • nel caso in cui il Titolare nutra ragionevoli dubbi rispetto all’identità dell’interessato, occorre svolgere una valutazione di “proporzionalità” nell’individuare quali (ulteriori) informazioni sia necessario richiedere all’interessato ai fini della sua identificazione, tenendo a mente che la richiesta della carta d’identità per tale finalità non è, in genere, un metodo appropriato (in quanto non proporzionato) rispetto a un simile scopo (fatta salva la facoltà di valutare, caso per caso, le specifiche circostanze in cui si inserisce la richiesta)[10].

[1] A parere della Federazione, l’istanza era pertanto stata presentata ai sensi dalla legge n. 241/90, che disciplina il diritto di accesso ai documenti amministrativi.

[2] Giova ricordare che, pur accertando l’illiceità della condotta posta in essere dal Titolare, il Garante ha valorizzato, quale circostanza attenuante ai fini della quantificazione della sanzione amministrativa pecuniaria, il fatto che la condotta è stata posta in essere in ragione dell’erronea qualificazione dell’istanza da parte del Titolare quale richiesta di accesso ai documenti, errore tra l’altro in parte derivante dalla formulazione utilizzata dal soggetto interessato nella propria istanza, con la quale si richiedeva “accesso e copia dei documenti contenenti i dati personali”.

[3] Ai sensi dell’articolo 12(3) del GDPR, il “titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”.

[4] Enfasi aggiunta.

[5] Si ricorda che, ai sensi dell’articolo 12(2) del GDPR, il “titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” del GDPR. Inoltre, il modello messo a disposizione dalla Società non riportava neppure l’elenco completo e dettagliato delle informazioni indicate dall’art. 15 GDPR, inducendo così gli interessati in errore circa l’effettiva portata del diritto azionabile.

[6] Agencia Española de Protección de Datos, provvedimento del 25 febbraio 2022 nei confronti di PageGroup Europe. Nello stesso senso, si vedano (inter alia) il provvedimento del 14 gennaio 2022 emanato dall’Autorità Garante olandese nei confronti di DPG Media Magazines B.V. (in cui l’Autorità Garante ha ritenuto che, nel caso esaminato, la richiesta della carta d’identità quale metodo di identificazione dell’interessato si pone in contrasto con l’articolo 12(2) del GDPR in quanto ostacola, invece di facilitare, l’esercizio dei propri diritti) e il provvedimento del 16 dicembre 2020 dell’Autorità Garante irlandese nei confronti di Groupon International Limited (in cui l’Autorità Garante irlandese ha ritenuto che la richiesta della carta d’identità al fine di attivare la procedura relativa alla gestione dei diritti degli interessati si pone in contrasto con il principio di minimizzazione, specialmente in considerazione del fatto che la carta d’identità non viene invece richiesta ai fini della creazione di un account Groupon).

[7] Ai sensi dell’articolo 5(1) lett. c) del GDPR, i dati personali sono “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)”. A parere dell’Autorità Garante spagnola, la richiesta della carta d’identità ai fini dell’identificazione dell’interessato si pone in violazione di tale principio in quanto comporta l’acquisizione di dati ulteriori rispetto a quelli strettamente necessari allo scopo perseguito.

[8] EDPB, Guidelines 01/2022 on data subject rights – Right of access (versione 1.0) del 18 gennaio 2022. Si precisa che tali Linee guida non sono ancora disponibili nella loro versione definitiva.

[9] A meno che l’interessato non abbia espressamente limitato la propria richiesta a delle specifiche categorie di dati personali (l’interessato potrebbe ad esempio richiedere al proprio datore di lavoro di ricevere una copia dei “soli” dati personali trattati dallo stesso nell’ambito della valutazione delle sue performance).

[10] In base a quanto chiarito dall’EDPB, questo potrebbe ad esempio essere il caso rispetto a Titolari che trattano categorie particolari di dati o che svolgono trattamenti che possono presentare un rischio per l’interessato (e.g., trattamenti che coinvolgono informazioni mediche).