Normative europee

Le linee guida dell’EDPB sul diritto di accesso ai dati personali

Formulate dall’EDPB, particolarmente estese, 60 pagine con i diagrammi di flusso esplicativi, le linee guida sono in pubblica consultazione entro l’11 marzo 2022. Ciò vuol dire che modifiche e integrazioni marginali del testo sono ancora possibili

16 Feb 2022

Enrico Pelino

avvocato partner dello studio Grieco Pelino Avvocati e PhD in IT LAW

L’anno 2022 si apre con un apporto fondamentale, le linee guida sul diritto di accesso ai dati personali dell’EDPB. Fondamentale in tanti sensi: non risulta, salvo errore dello scrivente, che sia mai stato predisposto un documento organico dedicato al diritto di accesso, neppure dall’ex Gruppo di lavoro 29, nonostante il significato evidentemente strutturale dell’argomento.

Infatti, la prima e più importante barriera da rimuovere quando si parla di dati personali è proprio l’opacità, ossia l’inconoscibilità su chi tratta informazioni e su quali informazioni sono trattate. Il diritto di accesso è in definitiva il diritto di accendere la luce in una stanza buia. È il primo passo fondamentale, da lì diventa più mirato e preciso l’esercizio degli altri diritti riconosciuti dal Normatore. Estrapolando una massima felice dalle linee guida: lo scopo concreto del diritto di accesso è di permettere alle persone fisiche di avere il controllo dei loro dati personali, “the practical aim of the right of access is to enable the natural persons to have the control over their own personal data”.

L’apporto del nuovo strumento interpretativo è inoltre fondamentale perché il testo fornisce chiarimenti prêt-à-porter, sia passata l’espressione. Vi è cioè un grado basso di complessità tecnica e una notevole fruibilità, in genere le spiegazioni sono estese e perfino ripetute, ancorché – a voler proprio muovere una critica – gli esempi non siano sempre felici e dirimenti: sovente cadono nell’auto-evidenza.

Le linee guida sono infine fondamentali, o quantomeno decisamente utili, quale strumento deflattivo di controversie, perché consentono di estrapolare diversi passaggi da porre a supporto delle richieste dell’interessato o viceversa dei riscontri del titolare. Insomma, facilitano, ed è prevedibile che possano realmente appianare incomprensioni nella lettura corretta dell’art. 15 del GDPR.

linee guida accesso dati personali

Le linee guida sul diritto di accesso ai dati personali: i principali contenuti

Vediamo ora in maniera più dettagliata alcuni dei principali apporti, anticipando che complessivamente non costituiscono reali novità per il giurista versato nella materia. Ciò non sottrae in alcun modo interesse, poiché nella prassi applicativa, anche quella di soggetti istituzionali di rango elevato, si sono registrate in passato vistose deviazioni rispetto a ciascuno dei punti che saranno di seguito descritti.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Tutti i dati

Se c’è un filo rosso che percorre l’intero corpo delle linee guida è che il diritto di accesso deve intendersi esteso a tutti i dati. Ciò innesca un preciso obbligo di facere del titolare del trattamento, che dovrà cercare in tutti i suoi sistemi informatici e negli archivi cartacei, indipendentemente dagli oneri economici e di allocazione temporale che ciò comporta, oneri non scaricabili sull’interessato. L’accesso avviene infatti in prima battuta a titolo gratuito, tranne casi di abuso del diritto o di ingiustificata ripetizione. È dunque necessario che il titolare del trattamento abbia provveduto, com’è già suo onere, a mappare i dati, non deve cioè farsi trovare impreparato a richieste di accesso. Sul punto è opportuna una procedura (policy), quantomeno in organizzazioni nelle quali deve ritenersi frequente l’esercizio del diritto e non banale il suo riscontro: la policy è uno strumento pratico, occorre dove è realmente necessaria. Il sistema di adempimenti che ha radice nel GDPR non è fatto di “carte” ma di strumenti motivati da esigenze effettive e funzionali a soddisfarle.

ASAP

Sul punto si registra forte incomprensione nell’esperienza concreta. L’art. 12.3 GDPR prevede che il riscontro sia dato “senza ingiustificato ritardo”, non allo scadere del mese. Sono due cose diverse: il termine del mese va correttamente inteso come limite massimo, non come prassi nel riscontro. La proroga di ulteriori due mesi costituisce poi evento del tutto eccezionale, da motivare (è tutto dettagliato comunque al paragrafo 3 dell’art. 12). Ora, nelle linee guida “senza ingiustificato ritardo” viene tradotto come, appunto, “il prima possibile”, “as soon as possible”, § 156. Si tratta di applicazione dell’onnipresente principio di accountability. Giova ricordare che le violazioni dell’art. 12 sono sanzionabili con la fascia edittale più alta, ai sensi dell’art. 83.5.b) GDPR, ossia quella che, nel massimo, arriva fino a venti milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Nessuna motivazione per l’esercizio dell’accesso

Diversamente dall’accesso ai documenti amministrativi, l’interessato non deve fornire spiegazioni all’esercizio del diritto di accesso e il titolare del trattamento non è tenuto né a chiederle né a inferirle (cfr. per contrasto l’art. 25 l. 241/90). Anche qui, l’applicazione quotidiana dell’istituto è invece purtroppo disseminata di impropri rifiuti d’accesso costruiti su capziose quanto ultronee supposizioni del titolare in merito alle reali ragioni dell’esercizio del diritto. Il consiglio per l’interessato? Formulare la sua richiesta nella maniera più semplice e schematica.

Concorrenza con l’accesso ai documenti amministrativi

I dati sono di regola contenuti in documenti (ancorché la distinzione concettualmente sfumi o si annulli per i documenti informatici, ma non approfondiamo oltre in questa sede). Può accadere allora che siano disponibili strumenti di accesso diversi: sia ai dati sia ai documenti. Non si escludono a vicenda: “The CJEU concluded that the right of access to personal data applies irrespective of whether a different kind of right of access with a different aim applies, such as in the context of an examination procedure”, § 14.

Cfr. in senso più generale anche il § 47 delle linee guida, che ribadisce la sovrapponibilità del diritto di accesso ai dati personali con gli accessi permessi da fonti diverse dal GDPR, fermo restando che se le informazioni richieste sono state già fornite all’interessato per altro canale non c’è bisogno di duplicarle, ancorché sia di regola necessario fornire separate risposte.

È altresì utile osservare che il titolare del trattamento non può decidere autonomamente, in caso di dubbio, quale sia la normativa in base alla quale è esercitato l’accesso, ossia il GDPR o diversa fonte, ma deve fare quanto possibile (accountability ancora una volta) per avere delucidazioni dall’interessato: “it is recommended to ask the data subject making the request to explain the subject matter of the request”, § 48.

Consegnare una copia dei dati

Una delle principali differenze tra il GDPR e la direttiva 95/46 è che il primo specifica che il titolare deve fornire “una copia dei dati personali oggetto del trattamento”, così l’art. 15.3, e che l’interessato ha “diritto di ottener(la)”, così l’art. 15.4. Viene con ciò meno la possibilità di fornire non i dati ma una loro descrizione o perfino un riassunto, soluzioni in passato incredibilmente percorse lavorando tra gli spazi offerti da una meno netta formulazione del diritto di accesso nella Direttiva. La stessa Corte di Giustizia aveva addirittura avallato una soluzione dalla lettura ambigua in una delle sue sentenze più controverse e meno felici del proprio portafoglio, vale a dire YS e altri, cause riunite C-141/12 e C-372/12. Molti di quegli esiti sono stati successivamente limati o corretti con l’arresto C-434/16, Peter Nowak.

È molto utile, in ogni caso, che l’EDPB chiarisca anche al lettore distratto che, in termini di GDPR, non è più possibile fornire all’interessato “a full summary of those data in an intelligible form”, ossia una panoramica completa, un sunto completo (full summary) dei dati, a meno che con tale espressione non si intendano, precisa l’EDPB, i dati stessi, ossia tutti i dati ricompresi nel diritto di accesso, “all data covered by the right of access”, estrapolati dai documenti che li contengono, purché senza alterazione o modifica: “It should be stressed that it cannot be made in a way that somehow alters or changes the content of the information”, § 150. È così, chiarisce il Comitato, che va intesa l’espressione “full summary” nella decisione YS. Ecco, mi pare una precisazione particolarmente opportuna.

Offuscare, se necessario

Il titolare, se crede, potrà consegnare all’interessato i documenti contenenti i dati personali, anziché provvedere alla loro estrazione dai documenti. Sembrerà singolare, ma un’affermazione tanto ovvia ha generato nella prassi applicativa fraintendimenti voluti, dunque ben venga la precisazione, peraltro già pacifica nella giurisprudenza della Corte di giustizia.

Si pone la questione del conflitto potenziale tra diritti dell’interessato e diritti di terzi che potrebbero essere vulnerati dalla divulgazione di informazioni. Le linee guida purtroppo non si soffermano sulle tecniche di bilanciamento, che avrebbero costituito invece un punto di enorme importanza, ma forniscono comunque alcune precisazioni utili. Innanzitutto, il diritto concorrente di terzi (o dello stesso titolare) va motivato e provato, insomma il bilanciamento va svolto (benché l’EDPB non fornisca una chiara traccia sul come) e tenuto disponibile: the controller must be able to demonstrate that in the concrete situation rights or freedoms of others would factually be impacted, § 170.

In secondo luogo, l’esercizio del diritto d’accesso non va rigettato in blocco quando sussistano diritti concorrenti, ma va garantito nella misura massima possibile: “Applying Art. 15(4) should not result in refusing the data subject’s request altogether”, p. 4.

In terzo luogo, i riferimenti a soggetti effettivamente vulnerati dall’accesso saranno semmai offuscati: “This means, for example, where the limitation applies, that information concerning others has to be rendered illegible as far as possible”, § 171.

Il canale di comunicazione

Non solo i canali dedicati all’esercizio dei diritti dell’interessato (es. form online), ma tutti i recapiti ufficiali del titolare sono validamente utilizzabili per le istanze di accesso (e in generale per le altre censite dalla normativa che ci occupa): “The data subject is not required to use these specific channels and may instead send the request to an official contact point of the controller”, p. 2. È per esempio il caso di pec presenti sul registro INIPEC, volendo declinare il passaggio in ambito nazionale. Ma non solo: anche altri indirizzi pec e non pec riconducibili chiaramente al titolare del trattamento sono da considerare validi, con l’eccezione solo di quelli palesemente errati, impropri o di quelli casuali: “The controller is not obliged to act on a request sent to a random or incorrect email (or postal) address, not directly provided by the controller, or to any communication channel that is clearly not intended to receive requests regarding data subject’s rights”, § 54.

Conclusioni

Le linee guida sono particolarmente estese, 60 pagine con i diagrammi di flusso esplicativi. I temi affrontati sono certamente più numerosi della piccola selezione sopra proposta, che rappresenta tuttavia un ragionevole campione dei profili di interesse concreto.

La vera costante nel testo dell’EDPB è la valorizzazione, già ampiamente presente in normativa (nulla di nuovo, ma la prassi operativa ha registrato orrori), di un favor per l’interessato e il rifiuto di frapporre ostacoli capziosi al piano esercizio di un diritto chiaramente essenziale, basico. In termini operativi, le linee guida rendono consigliabile una revisione delle procedure in essere presso i titolari del trattamento: certamente, per menzionare solo alcuni aspetti da sottoporre a controllo, va verificata (non è una novità, peraltro) la mappatura dei dati personali, è opportuno procedere a una definizione di schemi di bilanciamento (ancorché sia questo il punto meno sviluppato dall’EDPB) e di modalità di offuscamento, almeno in contesti sufficientemente strutturati. È altresì appropriato effettuare una verifica sui canali di comunicazione e verificare l’adeguata formazione agli autorizzati per evitare omissione di richieste d’accesso.

Giova osservare da ultimo, per necessaria correttezza espositiva, che le linee guida sono, come di regola, in pubblica consultazione, da chiudersi l’11 marzo 2022. Ciò vuol dire che modifiche e integrazioni marginali del testo sono ancora possibili. Va tuttavia ragionevolmente escluso, come in altri casi, un sovvertimento di punti strutturali, come quelli esposti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA
P
Enrico Pelino
avvocato partner dello studio Grieco Pelino Avvocati e PhD in IT LAW
Argomenti trattati

Approfondimenti

D
data privacy
D
data protection
G
GDPR

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Link