L’EDPB ha adottato le Linee guida sul diritto d’accesso dell’interessato

Durante la sessione plenaria svoltasi lo scorso 19 gennaio, il Comitato europeo per la protezione dei dati (in inglese, “European Data Protection Board”, “EDPB”) ha adottato le Linee guida sul diritto di accesso (di seguito, “Linee guida”).

La pubblicazione di dette Linee guida è scaturita dall’esigenza di fornire maggiori chiarimenti sulla portata e sulle modalità d’esercizio di tale diritto da parte dell’interessato, nonché sulla gestione della richiesta da parte del titolare.

Inoltre, l’EDPB ha cercato di tratteggiare un significato più preciso delle nozioni di “manifesta infondatezza” ed “eccessività” della richiesta, nell’ambito delle limitazioni e restrizioni previste in materia.

Premessa: il diritto di accesso dell’interessato

Il diritto di accesso, previsto dall’art. 15 del Regolamento UE 679/2016 (cosiddetto “GDPR”), in ossequio al generale principio di trasparenza, consente all’interessato (ossia, il soggetto i cui dati sono trattati) di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardi e, in tal caso, di accedere ai dati e alle informazioni concernenti: le finalità del trattamento, le categorie di dati trattati, i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione o i criteri utilizzati per determinarlo, l’origine dei dati, l’esistenza di un processo decisionale automatizzato o di un trattamento transfrontaliero dei dati.

L’interessato non è tenuto a sostenere costi per l’esercizio di tale diritto. Tuttavia, se le richieste da questi avanzate sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può addebitargli un ragionevole contributo di spese, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni.

I chiarimenti forniti dall’EDPB attraverso le Linee guida

1. Scopo, struttura e modalità del diritto di accesso

Preliminarmente, le Linee guida si soffermano sull’obiettivo generale sotteso al diritto di accesso: viene ribadito che esso è finalizzato a fornire all’interessato informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei propri dati, in modo che questi possa esserne consapevole e verificarne la legittimità e l’accuratezza. Ciò, renderà più semplice – sebbene non ne rappresenti una condizione – l’esercizio degli altri diritti, quali quelli di cancellazione e di rettifica.

In secondo luogo, l’EDPB precisa che il diritto di accesso comprende tre diverse componenti:

1. la conferma che sia o meno in corso un trattamento: se il titolare non tratta dati personali relativi al soggetto che richiede l’accesso, le informazioni da fornire devono limitarsi a dichiarare che nessun trattamento è in corso. Al contrario, in caso di esito affermativo della richiesta di conferma, quest’ultima può essere resa o in un’autonoma e separata dichiarazione, oppure può essere inclusa tra le informazioni da rendere successivamente all’interessato;

2. l’accesso ai dati: tale componente costituisce il nucleo del diritto d’accesso. Si tratta di un accesso vero e proprio ai dati personali, e non di una mera descrizione degli stessi, per la quale sarebbe stata sufficiente la previsione legislativa sulle informative, di cui agli artt. 13 e 14 del GDPR. Al riguardo, si ritiene essere importante la precisazione che l’obbligo del titolare di consentire l’accesso – a meno che non sussistano limiti o restrizioni al diritto, di cui infra si parlerà – non dipende né dalla tipologia, né dall’origine dei dati trattati, ma opera pienamente anche laddove i dati siano stati inizialmente forniti direttamente dal soggetto richiedente;

3. l’accesso alle informazioni sul trattamento: rispetto a tale terza ed ultima componente del diritto d’accesso, le Linee guida precisano che tali informazioni potrebbero essere tratte dall’informativa sul trattamento oppure dal registro delle attività di trattamento tenuto dal titolare; tuttavia, potrebbero dover essere da questi aggiornate ed adattate al momento in cui viene avanzata la richiesta.

Per quanto concerne le modalità della richiesta da parte dell’interessato, le Linee guida sottolineano che non sono previsti specifici requisiti di forma. È raccomandato al titolare di mettere a disposizione dell’interessato canali di comunicazione appropriati e facilmente utilizzabili al fine di consentirgli di presentare prontamente la sua richiesta, ma – anche laddove questa misura sia predisposta – l’interessato può scegliere di procedere diversamente, anche rivolgendosi direttamente ad un punto di contatto ufficiale del titolare (ad esempio, al responsabile della protezione dei dati, ove presente).

2. Valutazione della richiesta da parte del titolare

Spostandosi, poi, sulle modalità di gestione della richiesta, l’EDPB prescrive che, nell’analizzare il contenuto della stessa, il titolare del trattamento deve valutare:

1. anzitutto, se la richiesta fa riferimento a dati personali relativi al soggetto che la inoltra;

2. in secondo luogo, se l’accesso in questione rientra nel campo di applicazione dell’art. 15 GDPR, o se vi sono altre – più specifiche – previsioni normative di settore che disciplinano l’accesso ai dati;

3. se la richiesta di accesso si riferisce a tutti o soltanto ad una parte dei dati trattati (se nulla è indicato, deve intendersi riferita alla totalità dei dati).

È specificato che il titolare non è tenuto a rispondere a richieste inviate in modo del tutto casuale o errato.

Quando il titolare non è in grado di identificare il soggetto che avanza la richiesta, deve informare quest’ultimo di tale circostanza e può declinare la stessa, a meno che l’interessato non fornisca ulteriori supplementari informazioni che consentano l’identificazione.

La richiesta di informazioni supplementari deve essere proporzionata alla tipologia di dati trattati e ai danni che potrebbero verificarsi, al fine di evitare un’eccessiva raccolta di dati (in ossequio al principio di pertinenza).

Nelle ultime pagine del documento, è allegato un utile diagramma di flusso riepilogativo di tutti i passaggi che, ai fini della valutazione, il titolare è tenuto ad effettuare.

3. Modalità di fornitura dei dati

Le modalità di fornitura dei dati da parte del titolare variano a seconda del volume dei dati e della complessità del trattamento. La documentazione relativa ai dati e alle altre informazioni sul trattamento deve essere fornita in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Più specifici requisiti al riguardo dipendono dal contesto del trattamento e dalla capacità dell’interessato di comprendere il contenuto delle comunicazioni. Se i dati da fornire consistono in codici o in altri dati c.d. “grezzi”, sarebbe opportuno provvedere ad adeguate spiegazioni.

La principale modalità di fornitura è la trasmissione, da parte del titolare, di una copia dei dati oggetto di trattamento. Se la richiesta è presentata in forma elettronica, anche la copia – salvo diverse indicazioni – deve essere fornita in un formato elettronico di uso comune. Nel caso in cui i dati siano inviati mediante mezzi elettronici, devono essere assicurate tutte le garanzie necessarie ad evitare rischi, tenendo conto della natura dei dati e del contesto del trattamento.

Altre modalità – come una comunicazione orale oppure l’accesso in loco – possono essere previste, se richieste dall’interessato.

Quando il volume dei dati è molto ampio o quando il trattamento è connotato da una certa complessità, una modalità di fornitura dei dati suggerita dalle Linee guida è quella di un “approccio a strati” (“layered approach”): fornire i dati e le informazioni su diversi livelli può facilitarne la comprensione da parte dell’interessato. In tali casi, il titolare deve essere in grado di dimostrare che l’approccio stratificato ha un valore aggiunto per l’interessato. In ogni caso, se richiesto dall’interessato, anche in tali più complesse ipotesi i dati e le informazioni devono essere forniti contemporaneamente.

La valutazione della richiesta deve riflettere la situazione esistente al momento in cui la richiesta è stata ricevuta: ad esempio, i dati che sono già stati cancellati e che, quindi, non sono più disponibili, non devono essere forniti.

4. Limiti e restrizioni al diritto di accesso

Infine, le Linee guida si soffermano sulle limitazioni e restrizioni al diritto di accesso previste dal Regolamento, che sono le seguenti:

1. il diritto di ottenere una copia dei dati oggetto di trattamento non deve ledere i diritti e le libertà altrui (art. 15, n. 4): a tal riguardo, è importante la precisazione, contenuta nelle Linee guida, per cui tale bilanciamento debba essere posto in essere non soltanto in caso di accesso ai dati mediante fornitura di una copia, ma anche se lo stesso avviene con altri mezzi. Inoltre, il titolare deve essere in grado di dimostrare i diritti e le libertà che sarebbero compromessi nella specifica situazione;

2. il titolare può respingere richieste che siano “manifestamente infondate” o “eccessive” (art. 12, n. 5): l’EDPB tratteggia un significato più preciso di tali sfumate espressioni, che sinora si sono prestate a diverse interpretazioni, precisando che i concetti devono essere intesi in maniera maggiormente restrittiva.

In particolare, la “manifesta infondatezza” può essere invocata solo quando i requisiti prescritti dal Regolamento per la richiesta sono palesemente non soddisfatti, alla stregua di un criterio prettamente oggettivo. L’EDPB sottolinea, a tal proposito, che non rientrano, tra tali ipotesi, le richieste relative ad un trattamento di dati non soggetto all’applicazione del GDPR (in tal caso, la richiesta non dovrebbe essere proprio qualificata come tale). Altresì, una richiesta non deve essere ritenuta manifestamente infondata solo perché proveniente da un soggetto che ha in precedenza presentato richieste inammissibili o errate, o solo perché è utilizzato dal richiedente un linguaggio scorretto o improprio.

Per “eccessività” della richiesta, invece, le Linee guida precisano che, sebbene all’interno del Regolamento non vi sia una definizione di tale concetto, l’inciso contenuto nell’art. 12, n. 5 GDPR che recita “in particolare, per il loro carattere ripetitivo”, consente di concludere che il principale scenario applicativo di tale filtro sia legato alla quantità di richieste avanzate da un determinato interessato, senza che tra una richiesta e l’altra sia trascorso un ragionevole intervallo di tempo.

In ogni caso, il titolare deve essere in grado di comprovare il carattere manifestamente infondato o eccessivo di una richiesta.

3. Infine, le Linee guida rammentano che restrizioni al diritto di accesso possono anche essere previste dal diritto nazionale degli Stati membri, come sancito dall’ art. 23 GDPR. I titolari che intendono avvalersi di tali restrizioni devono verificare i requisiti richiesti dalle disposizioni nazionali, prestando attenzione alle specifiche condizioni cui le stesse possono essere subordinate: ad esempio, può essere prevista una proroga solo temporanea all’esercizio del diritto di accesso, oppure una restrizione applicabile soltanto a determinate categorie di dati personali.

Gabriella Amato