Regolamento - 27/04/2016 - n. 679 art. 15 - Diritto di accesso dell'interessato1

Informazioni oggetto dell'accesso

L'interessato ha diritto innanzitutto di sapere se è in corso un trattamento di suoi dati pesonali (per la nozione ampia di “dato personale” si rimanda al commento all'art. 4.1) GDPR) e quindi di ottenere una copia di tali dati (v. anche infra, § 3), conformemente al paragrafo terzo dell'articolo 15 in commento. Ciò costituisce una delle principali differenze rispetto all'analogo istituto riconosciuto dalla direttiva cd. “madre”, dir. 95/46, che non lo indicava in maniera espressa. Pertanto, un riassunto delle informazioni o una mera elencazione dei documenti che quei dati contengono non soddisfano la tutela che l'ordinamento riconosce all'interessato.

Inoltre, costui ha diritto di conoscere le precise “coordinate” soggettive e oggettive del trattamento, ossia le informazioni di cui alle lettere da a) a h) del paragrafo 1. Si rimanda per ogni profilo qui non specificamente affrontato al commento relativo agli artt. 13 e 14 GDPR, § 2, atteso che tali norme, quanto al perimetro oggettivo e soggettivo delle informazioni, risultano ampiamente sovrapponibili. Va infatti notato che il diritto d'accesso costituisce, come già notato in apertura, una declinazione del diritto conoscitivo garantito altresì dal diritto all'informativa, e attuato, diversamente da quest'ultimo, su iniziativa dell'interessato e non del titolare. Ne deriva un oggetto della medesima estensione e di identico contenuto sostanziale, per evidenti ragioni sistematiche. Tuttavia, il raffronto meramente formale tra le informazioni oggetto di informativa e quelle oggetto di accesso elencate all'art. 15 GDPR, pur nella sostanziale corrispondenza, rivela una minore estensione di queste ultime. Ciò, non sembrerebbe trovare convincenti motivazioni e la lacuna dovrebbe essere colmata dall'interprete, riportando il quadro informativo in materia di accesso a livelli omogenei con gli artt. 13 e 14 GDPR.

Sul piano della precisione del riscontro di cui è onerato il titolare del trattamento, va osservato che, diversamente dall'informativa (almeno in via generale), riguardando l'accesso trattamenti attuali e concreti, non meramente previsti, la risposta va declinata sullo specifico caso del soggetto che ha esercitato il diritto. Ciò significa, come precisato dalla Corte di giustizia (v. infra Österreichische Post AG, C-154/21), che vanno indicati, ove possibile, gli effettivi destinatari dei dati personali se ciò è oggetto di richiesta, anziché fornire l'indicazione più generica di mere categorie. L'accesso dovrà riguardare anche lo storico dei destinari, almeno fino a termine retrospettivo ragionevole di conservazione, come aveva già in passato chiarito la Corte, vigente la direttiva 95/46 (v. infra Rotterdam Rijkeboer, C-533/07).

«L'articolo 15, paragrafo 1, lettera c), del regolamento (UE) 2016/679 [...] deve essere interpretato nel senso che: il diritto di accesso dell'interessato ai dati personali che lo riguardano, previsto da tale disposizione, implica, qualora tali dati siano stati o saranno comunicati a destinatari, l'obbligo per il titolare del trattamento di fornire a detto interessato l'identità stessa di tali destinatari, a meno che sia impossibile identificare detti destinatari o che il suddetto titolare del trattamento dimostri che le richieste di accesso dell'interessato sono manifestamente infondate o eccessive, ai sensi dell'articolo 12, paragrafo 5, del regolamento 2016/679, nel qual caso il titolare del trattamento può indicare a detto interessato unicamente le categorie di destinatari di cui trattasi» (CGUE, 12 gennaio 2023, Österreichische Post AG, C-154/21, § 51).

La Corte di giustizia in materia di diritto di accesso ha stabilito che «L'art. 12, lett. a), della direttiva [95/46/CE] impone agli Stati membri di prevedere il diritto di accesso alle informazioni sui destinatari o sulle categorie di destinatari dei dati nonché sul contenuto delle informazioni comunicate non solo per il presente, ma anche per il passato. Spetta agli Stati membri fissare il termine per la conservazione di tali informazioni nonché il corrispondente accesso alle stesse che costituiscano un giusto equilibrio tra [...] l'interesse della persona di cui trattasi a tutelare la propria vita privata [...] e l'onere che l'obbligo di conservare tali informazioni comporta per il responsabile del trattamento. Una normativa che limiti la conservazione delle informazioni sui destinatari o sulle categorie di destinatari dei dati e sul contenuto dei dati trasmessi ad un periodo di un anno e che limiti in misura corrispondente l'accesso a tali informazioni, benché i dati di base vengano conservati molto più a lungo, non può costituire un giusto equilibrio tra l'interesse e l'obbligo in questione, salvo che dimostri che conservare tali informazioni più a lungo comporterebbe un onere eccessivo per il responsabile del trattamento» (CGUE, 7 maggio 2009, C-533/07, Rotterdam Rijkeboer, § 70).

Le informazioni non incluse in quelle oggetto di accesso sono:

«– la menzione del diritto alla portabilità nell'elenco di diritti di cui all'art. 15.1.e), ovviamente nei casi in cui è prevista. Si tratta evidentemente di una dimenticanza del legislatore, posto che gli altri diritti sono menzionati (per confronto cfr. anche artt. 13.2.b e 14.2.c);

– la menzione del diritto di revocare il consenso, da considerare ugualmente una dimenticanza. Non c'è dubbio infatti che la revoca possa essere esercitata, nei casi previsti. Non si comprende allora per quale ragione non dovrebbe esserne reso edotto l'interessato, quando invece ciò pacificamente avviene nel contesto dell'informativa (v. artt. 13.2.c e 14.2.d);

– le informazioni omologhe, nel contesto dell'art. 15.1.c), a quelle previste agli artt. 13.1.f) e 14.1.f), ossia: «adeguatezza» del Paese terzo, mezzi per ottenere una copia delle garanzie o luogo dove esse siano disponibili. Le garanzie adeguate da fornire ai sensi dell'art. 46 vengono separatamente richiamate all'art. 15.2, ma – sembrerebbe – solo a trasferimento già avvenuto. È evidente che questa difformità di contenuto non trova alcuna logica giustificazione;

– l'indicazione dell'eventuale interesse legittimo del titolare o del terzo ai sensi dell'art. 6.1.f), nonostante il legislatore abbia ravvisato la necessità di renderne edotto l'interessato in sede di informativa, cfr. artt. 13.1.d) e 14.2.b). Le stesse ragioni conoscitive valgono evidentemente in sede di accesso;

– l'indicazione della base giuridica del trattamento, prevista invece agli artt. 13.1.c) e 14.1.c). Si tratta di un elemento essenziale per l'interessato, ai fini di valutare, per esempio, l'esperibilità del diritto di opposizione;

– l'indicazione espressa, nel contesto dell'art. 15.1.g), che i dati provengono da fonti accessibili al pubblico, parallelamente a quanto previsto all'art. 14.2.f), ancorché l'aggettivo «tutte» riportato dall'art. 15.1.g) possa prestarsi a contemplare tale ipotesi;

– l'identità e i dati di contatto del rappresentante e del data protection officer. Si tratta di informazioni pratiche di grande utilità per l'esercizio dei diritti, che l'interessato deve poter conoscere, anche in applicazione di altre disposizioni del Regolamento e, comunque, in osservanza del principio di trasparenza» (Pelino, cit., 204-205).

In applicazione di considerazioni sistematiche, deve ritenersi che il titolare in occasione dell'esercizio del diritto di accesso non sia esonerato dal fornire anche le informazioni suddette, specie ove esse siano espressamente richieste dall'interessato.

La Corte di giustizia, in una vicenda riguardante la richiesta di accesso di una cartella clinica conservata da un dentista, ha rilevato «nell'ambito di un rapporto medico/paziente, il diritto di ottenere una copia dei dati personali oggetto di trattamento implica che sia consegnata all'interessato una riproduzione fedele e intelligibile dell'insieme di tali dati. Tale diritto presuppone quello di ottenere la copia integrale dei documenti contenuti nella sua cartella medica che contengano, tra l'altro, detti dati, qualora la fornitura di una siffatta copia sia necessaria per consentire all'interessato di verificarne l'esattezza e la completezza nonché per garantirne l'intelligibilità. Per quanto riguarda i dati relativi alla salute dell'interessato, tale diritto include in ogni caso quello di ottenere una copia dei dati della sua cartella medica contenente informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati al medesimo» (CGUE, 26 ottobre 2023, FT, C-307/22, § 79).

In ambito giuslavoristico, in una delle sue prime decisioni il Garante italiano ha chiarito che «Anche le valutazioni che contribuiscono a formare il giudizio annuale sul rendimento di un dipendente, le cosiddette “note di qualifica”, sono dati personali e devono essere messe a disposizione del dipendente che ne faccia richiesta. [...] Può considerarsi come dato personale, dunque, ogni notizia o elemento che fornisce un contributo aggiuntivo di valutazione rispetto ad un soggetto identificato o identificabile. E questo in riferimento sia ad informazioni oggettive sia a descrizioni, giudizi, analisi o ricostruzioni di profili personali (riguardanti attitudini, qualità, requisiti o comportamenti professionali) che danno origine a valutazioni complessive del soggetto interessato. Tale orientamento è comune nei diversi Paesi dell'Unione europea ed è confermato da documenti e convenzioni internazionali. Pertanto, il Garante ha ritenuto legittima la richiesta di accesso ai giudizi espressi in sede di formulazione delle note di qualifica, anche in considerazione del fatto che solo una piena conoscenza di tali elementi informativi permette al dipendente di attivare i meccanismi di ricorso interno o di tutela giurisdizionale amministrativa» (GPDP, 17 giugno 1999 [ 48067]; cfr. anche GPDP, 22 maggio 2013 [2575227]; GPRD, 28 gennaio 2009, [1701885]; GPDP, 10 ottobre 2001 [40337]; Cass., n. 32533/2018; Trib. Roma 17 luglio 2003).

«The right of access is subject to the limits that result from Art. 15(4) GDPR (rights and freedoms of others) and Art. 12(5) GDPR (manifestly unfounded or excessive requests). Furthermore, Union or Member State law may restrict the right of access in accordance with Art. 23 GDPR. Derogations regarding the processing of personal data for scientific, historical research or statistical purposes or archiving purposes in the public interest can be based on Art. 89(2) and Art. 89(3) GDPR accordingly and derogations for processing carried out for journalistic purposes or the purpose of academic, artistic or literary expression can be based on Art. 85(2) GDPR» (EDPB, Guidelines 01/2022 on data subject rights - Right of access, § 165).

Modalità, tempistica del riscontro e obbligo di completezza

Quanto alle modalità del riscontro all'esercizio del diritto, vige un principio di favor per l'interessato. Il titolare, ove possibile e ragionevole, dovrebbe poter fornire strumenti di facilitazione quali l'accesso remoto a un sistema sicuro che consenta di consultare direttamente i dati personali (considerando 63), con ciò agevolando l'esercizio del diritto. Queste modalità automatizzate vanno contestualizzate nel settore in cui opera il titolare del trattamento, ad esempio trovano ampia applicazione nelle piattaforme social. Ugualmente, vige il principio che l'accesso deve essere agevole (cfr. anche art. 12), di conseguenza vanno privilegiate soluzioni volte a eliminare oneri inutili a carico dell'interessato ed eccessivi incombenti. Sotto tale profilo, relativamente ai processi di trasmissione delle istanze di esercizio del diritto di accesso, preme osservare che, se per un verso ai titolari del trattamento è senz'altro riconosciuta la facoltà di consentire agli interessati di avvalersi di moduli predefiniti, quale misura organizzativa volta ad agevolare gli interessati stessi nell'esercizio dei propri diritti ai sensi degli artt. 5, par. 2, e 24 del GDPR, per altro verso il ricorso a detti canali procedurali non può essere imposto agli interessati, che potranno fruire altresì di legittime alternative (es. invio della richiesta alla PEC del titolare riportata su registri istituzionali). Un'impostazione restrittiva, lungi dal facilitare l'esercizio del diritto, si tradurrebbe infatti in un aggravio procedurale del tutto sproporzionato e irragionevole.

Al fine di consentire l'accesso ai soli soggetti che ne hanno diritto, il titolare verifica l'identità del richiedente utilizzando tutte le misure ragionevoli (considerando 64) e, in mancanza, le informazioni aggiuntive fornite, anche su richiesta del titolare, dall'interessato (artt. 11, par. 2, 12, par. 2, 12, par. 6 GDPR).

Quanto alla tempistica, il riscontro deve essere tempestivo, ossia avvenire «senza ingiustificato ritardo» e comunque – al più tardi – entro un mese dalla richiesta, ai sensi art. 12.3 GDPR.

Sotto il profilo contenutistico, deve essere completo e fedele. Ciò significa, come ha chiarito a più riprese la Corte di giustizia, che la copia dei dati personali conterrà, se necessario per la ricostruzione del complessivo contesto e dunque per l'intelligibilità delle informazioni, anche estratti di documenti o documenti interi.

Infine, il paragrafo 4 dell'art. 15 rammenta che la pretesa dell'interessato non costituisce un diritto “tiranno”, ma va ponderata con interessi e libertà concorrenti. Ciò impone all'interprete innanzitutto di considerare se le tensioni antagoniste siano di pari rilievo (la Corte di giustizia su questo presupposto ha negato che una pretesa economica del titolare possa imporsi sul diritto dell'interessato, v. infra § 5). In secondo luogo, sarà necessario motivare puntualmente quale diritto sia prevalente, procedendo con misura, limitando dunque l'accesso (se questo è il caso) solo nella stretta porzione minima e per il tempo minimo necessario a far salva la (in ipotesi pozione) pretesa altrui o dello stesso titolare. In concreto ciò significherà non un rifiuto in toto delle informazioni personali ma, eventualmente, un limitato oscuramento di quelle sole notizie la cui riservatezza sia effettivamente e motivatamente prevalente sul diritto di accesso ai dati personali, che integra, vale la pena ricordarlo, tutela apicale ricosciuta in modo espresso dall'art. 8, par. 2 CDFUE.

«L'Autorità garante per la protezione dei dati personali che non ha mancato di evidenziare che non può essere considerato «conforme alla disciplina vigente in materia di protezione dei dati personali condizionare, al previo invio del predetto modulo compilato, l'avvio della procedura preordinata a dare corso all'esercizio del diritto, e non prendere in considerazione nel merito le istanze presentate in forma libera» (cfr. Ordinanza ingiunzione nei confronti di U. S.p.A. - 16 giugno 2022 [9795350]).

«Inoltre, occorre altresì notare che, conformemente all'articolo 12, paragrafo 3, del RGPD, se la richiesta è presentata mediante mezzi elettronici, le informazioni di cui al suddetto articolo 15, anche quelle menzionate ai punti da a) a h) del paragrafo 1 di detto articolo, sono fornite con mezzi elettronici, salvo diversa indicazione dell'interessato» (CGUE, 4 maggio 2023, Crif, C-487/21, § 52).

«L'articolo 15, paragrafo 3, prima frase, del RGPD deve essere interpretato nel senso che: il diritto di ottenere dal titolare del trattamento una copia dei dati personali oggetto di trattamento implica che sia consegnata all'interessato una riproduzione fedele e intelligibile dell'insieme di tali dati. Detto diritto presuppone quello di ottenere copia di estratti di documenti o addirittura di documenti interi o, ancora, di estratti di banche dati contenenti, tra l'altro, tali dati, se la fornitura di una siffatta copia è indispensabile per consentire all'interessato di esercitare effettivamente i diritti conferitigli da tale regolamento, fermo restando che occorre tener conto, al riguardo, dei diritti e delle libertà altrui» (CGUE, 4 maggio 2023, Crif, C-487/21, § 54). Il punto è stato ulteriormente ribadito dalla Corte Europea: «la riproduzione di estratti di documenti o addirittura di documenti interi contenenti, tra l'altro, i dati personali oggetto di trattamento può rivelarsi indispensabile nel caso in cui la contestualizzazione dei dati trattati sia necessaria per garantirne l'intelligibilità (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C-487/21, EU:C:2023:369, punto 41)» (CGUE, 26 ottobre 2023, FT, C-307/22, § 74).

«Va precisato che accedere ai dati personali vuol dire riceverne una copia, non un riassunto e nemmeno una semplice elencazione dei documenti che quei dati contengono. Dispone infatti il paragrafo 3 dell'art. 15 GDPR che “Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento”. Il [omissis] non poteva dunque fornire una sintesi ovvero un elenco [...] dei documenti contenenti i dati personali, poiché la comunicazione pec di [omissis] appare meramente formale e non ha consentito all'interessato di conoscere, nella sostanza e con trasparenza, quali dati valutativi fossero in possesso dell'amministrazione [...]» (Trib. Roma, XVIII, 29 marzo 2023, n. 5113).

Principio di gratuità dell'accesso

Si applica il principio generale della gratuità dell'accesso, rinosciuto sia dall'art. 15.3 sia dall'art. 12.5 GDPR. L'attenzione del legislatore verso gli oneri economici che l'interessato potrebbe sopportare per l'esercizio del diritto, rafforzata nella specie da una reiterazione del principio in ben due disposizioni normative, tema che di primo acchito potrebbe apparire secondario, fa parte integrante del nucleo originario di tutela (cfr. già art. 8.b) Convenzione di Strasburgo 108/81, vers. originaria). Evidentemente si riconosce che l'esercizio concreto dei diritti dipende anche dalle risorse economiche che coinvolge. Nel Regolamento, pertanto, l'addebito di spese costituisce eccezione, che opera in due circostanze: in caso di abuso del diritto da parte dell'interessato, v. infra § 6, ad esempio a fronte di istanza irragionevolmente ripetitiva, (art. 12, par. 5 GDPR); in caso di richiesta di copie ulteriori di dati già forniti (art. 15, par. 3 GDPR). In ogni caso, il titolare è tenuto a dimostrare le ragioni per l'addebito di un costo, e questo deve essere rapportato all'effettivo onere sopportato, non rappresentare cioè un guadagno. L'addebito di spese per le sole copie successive alla prima può essere spiegato solo se inteso come riferito esclusivamente a quelle su supporto fisico (es. ottico o cartaceo) e non alle copie elettroniche prive di supporto, dunque replicabili evidentemente senza costo per il titolare.

La prevista facoltà per il titolare di addebitare all'interessato spese a fronte di un ulteriore copia dei dati, non determina che la seconda copia deve sempre essere soggetta a pagamento ma che appunto solo a determinate condizioni il titolare può richiedere un contributo.

«Ai sensi dell'articolo 12, paragrafo 5, il titolare del trattamento non può in genere addebitare alcunché all'interessato per la fornitura d'informazioni ai sensi degli articoli 13 e 14 o per le comunicazioni e azioni intraprese ai sensi degli articoli 15-22 (sui diritti degli interessati) e dell'articolo 34 (comunicazione di violazioni dei dati personali all'interessato). Quest'aspetto della trasparenza implica anche che le informazioni fornite in ossequio agli obblighi di trasparenza non possono essere subordinate ad operazioni finanziarie, ad esempio il pagamento o l'acquisto di servizi o beni» (WP29/EDPB, LG trasparenza, § 22).

«Under the first sentence of Art. 15(3) GDPR, the controller shall provide a free copy of the personal data which the processing relates to. The copy therefore refers only to the second component of the right of access («access to the personal data processed», see above). The controller must ensure that the first copy is free of charge, even where it considers the cost of reproduction to be high (example: the cost of providing a copy of the recording of a telephone conversation)» (EDPB, Guidelines 01/2022 on data subject rights - Right of access, § 22).

«Da una lettura combinata dell'articolo 12, paragrafo 5, e dell'articolo 15, paragrafi 1 e 3, del RGPD risulta, da un lato, il diritto, per l'interessato, di ottenere una prima copia a titolo gratuito dei suoi dati personali oggetto di trattamento e, dall'altro, la facoltà offerta al titolare del trattamento, a determinate condizioni, di addebitare spese ragionevoli che tengano conto dei costi amministrativi, o di rifiutare di soddisfare una richiesta se quest'ultima è manifestamente infondata o eccessiva» (CGUE, 26 ottobre 2023, FT, C-307/22, § 36). In concreto, «il perseguimento dell'obiettivo connesso alla tutela degli interessi economici dei professionisti sanitari non può giustificare una misura che porti a rimettere in discussione il diritto di ottenere, a titolo gratuito, una prima copia e, in tal modo, l'effetto utile del diritto di accesso dell'interessato ai suoi dati personali oggetto di trattamento» (Id., punto 68).

«Art. 15(3), second sentence concerns situations where the data subject asks the controller for more than one copy, for example in case the first copy was lost or damaged or the data subject wants to pass on a copy to another person or a Supervisory Authority. On the basis that further copies must be provided by the controller upon request of the data subject, Art. 15(3) rules, that for any further copy requested, the controller may charge a reasonable fee based on administrative costs (Art. 15(3) second sentence)» (EDPB, Guidelines 01/2022 on data subject rights - Right of access, § 27).

Abuso del diritto

Il diritto di accesso è tutelato, come già notato, altresì all'art. 8, par. 2 Carta dei diritti fondamentali dell'UE e l'eventuale rifiuto da parte del titolare di ottemperare alla richiesta dell'interessato va ben circoscritto costituendo deroga all'applicazione di un diritto fondamentale. Non costituisce dunque abuso di diritto la richiesta di ciò che l'interessato può legittimamente pretendere ma sia rimasto insoddisfatto.

Il considerando 63 riconosce anche espressamente il diritto dell'interessato di esercitare l'accesso «facilmente e a intervalli ragionevoli», dunque la ripetezione dell'accesso, correttamente cadenzata, non integra abuso.

Il Regolamento non fornisce ulteriori indicazioni in merito a quando un accesso può risultare abusivo e senza dubbio l'interessato può presentare più di un'istanza di accesso ai dati, ove ciò sia giustificato da ragionevoli motivi. Pertanto, sarà conforme alla normativa: il sollecito, anche ripetuto più volte, al titolare inadempiente o parzialmente adempiente; la ripetizione dell'istanza al verificarsi di fatti nuovi, come il ricevimento di email non sollecitata; un diverso perimetro di accessi successivi. Si tratta solo di esempi tra i molteplici possibili. In definitiva, la deroga al principio della gratuità dell'accesso va intesa in senso stretto, v. EDPB infra. In applicazione di un criterio di buona fede, il titolare dovrebbe peraltro preavvertire che la reiterazione dell'istanza sarà considerata abuso di diritto e indicare i relativi costi che addebiterà per il riscontro, fornendo parametri oggettivi. Incombe, infine, sul titolare l'onere di dimostrare l'infondatezza o l'eccessività della richiesta.

«Certainly, according to Art. 15(3) GDPR regarding the right to obtain a copy, a data subject may submit more than one request to a controller. In the event of requests that could potentially be regarded as excessive, the assessment of “excessiveness” depends on the analysis carried out by the controller and the specifics of the sector in which it operates.

In case of subsequent requests, it has to be assessed whether the threshold of reasonable intervals (see Recital 63) has been exceeded or not. Controllers must take into account the particular circumstances of each case carefully» (EDPB, Guidelines 01/2022 on data subject rights - Right of access, § 182- 183).

La Corte di Giustizia precisa che «[...] L'articolo 12, paragrafo 5, del RGPD, letto alla luce dell'articolo 15, paragrafi 1 e 3, di tale regolamento, consente al titolare del trattamento di tutelarsi dall'abuso del diritto di accesso, richiedendo il pagamento di un contributo spese ragionevole, in caso di richiesta manifestamente infondata o eccessiva» (CGUE, 26 ottobre 2023, FT, C-307/22, § 58).

«Art. 12(5) GDPR enables controllers to override requests for the right of access that are manifestly unfounded or excessive. These concepts have to be interpreted narrowly, as the principles of transparency and cost free data subjects rights must not be undermined.

Controllers must be able to demonstrate to the individual why they consider that the request is manifestly unfounded or excessive and, if asked, explain the reasons to the competent supervisory authority. Each request should be considered on a case by case basis in the context in which it is made in order to decide if it is manifestly unfounded or excessive» (EDPB, Guidelines 01/2022 on data subject rights - Right of access, § 175-176).