La Corte di giustizia europea (CGUE) ha emesso una sentenza altamente dibattuta, che impone ai titolari del trattamento di informare gli interessati dei nomi dei destinatari quando esercitano il loro diritto di accesso ai sensi del GDPR, a meno che non si applichino specifiche eccezioni.
Il caso del diritto di accesso ai sensi del GDPR
Il caso riguardava una richiesta di diritto di accesso ai sensi del GDPR esercitata da un individuo nei confronti di Österreichische Post, il principale operatore di servizi postali e logistici in Austria, per informarlo dell’identità dei destinatari a cui aveva comunicato i suoi dati personali.
Su questo aspetto, l’articolo 15 del GDPR disciplina il diritto di accesso e prevede che gli interessati abbiano il diritto di ottenere dal titolare del trattamento le informazioni “dei destinatari o delle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare i destinatari di paesi terzi o di organizzazioni internazionali.”
La Österreichische Post si è limitata a dichiarare nella risposta che utilizza i dati personali nei limiti consentiti dalla legge, nell’ambito della sua attività di editore di elenchi telefonici e che fornisce tali dati ai suoi partner commerciali per scopi di marketing, facendo affidamento sulla possibilità di fare riferimento alla categoria di destinatari dei dati personali. L’interessato non era soddisfatto, e l’Oberster Gerichtshof (la Corte Suprema austriaca) ha rinviato il caso alla CGUE per chiedere di chiarire se il GDPR lasci al titolare del trattamento la libertà di scegliere se divulgare l’identità concreta dei destinatari o solo le categorie di destinatari, o se conferisca all’interessato il diritto di conoscere la sua identità concreta.
L’obbligo di comunicare i destinatari dei dati in caso di richiesta di diritto di accesso ai sensi del GDPR secondo la CGUE
La posizione della CGUE è stata piuttosto chiara, in quanto ha affermato che “l’obiettivo del GDPR [è] che l’interessato abbia il diritto di ottenere dal titolare del trattamento informazioni sui destinatari specifici a cui sono stati o saranno comunicati i dati personali che lo riguardano.”
La Corte di giustizia europea ha indicato delle eccezioni a tali obblighi, ma la loro portata è limitata. Infatti, secondo la CJEU, “il diritto di accesso può essere limitato alle informazioni sulle categorie di destinatari se è impossibile comunicare l’identità dei destinatari precisi, in particolare quando questi non sono ancora noti“.
Questa posizione è in linea con quella adottata dall’EDPB nelle sue linee guida sul diritto di accesso, in cui si afferma che “il titolare del trattamento dovrebbe [—] nominare i destinatari effettivi, a meno che non sia possibile indicare solo la categoria di destinatari“, ma le linee guida dell’EDPB non sono vincolanti, mentre la decisione della CGUE costituisce un precedente rilevante.
I potenziali effetti distorsivi della decisione sui diritti della privacy
Il diritto di accesso è un diritto essenziale ai sensi del GDPR, e non c’è dubbio che le persone abbiano il diritto di ricevere informazioni sulle attività di trattamento dei dati svolte dai responsabili del trattamento. A volte le informative sulla privacy sono molto generiche e poco trasparenti, impedendo alle persone di comprendere le attività di trattamento dei dati svolte.
Tuttavia, c’è uno scenario in rapida crescita di persone che sfruttano il loro diritto di accesso solo per danneggiare un fornitore che non gradiscono o il loro datore di lavoro con cui non sono in buoni rapporti. Questi individui percepiscono quanto sia onerosa la gestione di una richiesta di diritto di accesso per una grande organizzazione e, anche se non hanno alcun interesse a ricevere le informazioni richieste, esercitano il diritto di accesso per danneggiarla e chiedere un risarcimento.
Sia il GDPR che la sentenza citata forniscono garanzie ai responsabili del trattamento, consentendo al responsabile del trattamento di “rifiutarsi di soddisfare le richieste dell’interessato quando sono manifestamente infondate o eccessive, fermo restando che spetta al responsabile del trattamento stesso dimostrare il carattere manifestamente infondato o eccessivo di tali richieste“. Ma questa eccezione è interpretata in modo piuttosto restrittivo dai garanti privacy, anche quando le persone presentano ampie richieste di diritto di accesso in cui chiedono sostanzialmente qualsiasi informazione sul trattamento dei loro dati, senza fornire alcun tipo di indicazione su quali informazioni stanno cercando.
A mio avviso, questa situazione non contribuisce alla protezione della privacy delle persone. Al contrario, crea una disaffezione nei confronti della conformità alla privacy all’interno delle organizzazioni, poiché viene vista come un mero obbligo di conformità che non risponde a un diritto individuale rilevante. Si spera che i garanti privacy abbiano una visione più equilibrata della portata di questo diritto.
Azioni raccomandate da intraprendere a seguito della sentenza della CGUE sul diritto di accesso
Ai sensi del GDPR, i titolari del trattamento devono fornire le informazioni richieste in caso di esercizio del diritto di accesso entro un mese dal ricevimento della richiesta. Questo termine può essere esteso di altri due mesi, se necessario, tenendo conto della complessità e del numero delle richieste, ma questa estensione non cambia molto. La sentenza della CGUE aggiunge un ulteriore livello di complessità, poiché spesso le organizzazioni non elencano nel registro dei trattamenti dei dati o in qualsiasi altro database i nomi dei destinatari di ciascuna categoria di dati personali, mentre dovranno tracciare questa informazione.
Da DLA Piper abbiamo sviluppato un sistema di intelligenza artificiale in grado di esaminare la documentazione oggetto della richiesta di diritto di accesso, risparmiando un’enorme quantità di tempo nell’identificazione delle informazioni da fornire. Tuttavia, anche con questa tecnologia, se un’azienda non è a conoscenza degli effettivi destinatari dei dati, non sarà in grado di rispondere correttamente.
La sentenza della CGUE impone alle aziende di eseguire una mappatura dei destinatari di ciascuna categoria di dati. Inoltre, questa sentenza potrebbe confermare il punto di vista dei garanti privacy secondo cui tutte le informazioni da fornire in caso di esercizio del diritto di accesso agli individui devono avere lo stesso livello di dettaglio. Non sono del tutto d’accordo con questo approccio, ma le organizzazioni devono farsene una ragione e preparare a gestire queste richieste.
Su di un simile argomento, il seguente articolo può essere di interesse “La Corte di giustizia riconosce il diritto per le associazioni dei consumatori di agire per violazioni privacy“.