Home Digitale Diritto di accesso ai dati personali: le linee guida EDPB

Diritto di accesso ai dati personali: le linee guida EDPB

 L’accesso ai dati personali è un diritto tra i più importanti, anche perché funzionale all’esercizio di altri diritti. Le richieste di accesso, rivolte al titolare del trattamento, devono ricevere risposta entro 1 mese. Ma cosa si può chiedere, in quale forma e su quali canali affinché la richiesta vada a buon fine? Vediamolo insieme.

Le tre componenti del diritto di accesso ai dati personali

Il 18 gennaio 2022 l’EDPB (European Data Protection Board) ha pubblicato le linee guida sull’esercizio del diritto di accesso ai dati personali, esercitabile da parte di ogni titolare degli stessi nei confronti di ogni titolare del trattamento.

Si tratta di un testo molto articolato e denso, importante da comprendere sia per le persone fisiche titolari dei dati sia per i titolari del trattamento poiché il diritto di accesso, disciplinato dall’art. 15 del GDPR, è tra i diritti garantiti da quest’ultimo, quello funzionale all’esercizio di tutti gli altri diritti, oggetto dei successivi articoli da 16 a 22 (diritto di rettifica, di cancellazione dei dati, di limitazione del trattamento, di portabilità dei dati, di opposizione al trattamento).

In termini generali il diritto di accesso si articola in 3 componenti:

  • conferma del trattamento dei dati personali (state trattando i miei dati?)
  • accesso ai dati (quali dati state trattando?)
  • informazioni in ordine al trattamento dei dati in sé stesso (come state trattando i miei dati?).

In questa prospettiva, il titolare del trattamento non potrà mai valutare il perché dell’accesso stesso ma solo ed esclusivamente valutarne il contenuto (il cosa); con la precisazione che il diritto di accesso ai dati personali non deve essere confuso col diverso e autonomo diritto di accesso ai documenti pubblici, funzionale a garantire la trasparenza dell’agire della pubblica amministrazione.

I principi generali in ordine alla valutazione della richiesta di accesso.

Il titolare del trattamento che riceve una richiesta di accesso deve porsi alcune domande.

  • La richiesta ha ad oggetto dati personali? Solo i dati personali possono essere oggetto di una richiesta di accesso; sono dati personali i dati riferibili in chiaro a una persona fisica, o pseudonimizzati (riferibili ad essa solo mediante l’utilizzo di una chiave), ma non lo sono mai quelli anonimizzati (oggettivamente irriferibili a una persona, considerato lo stato dell’arte della tecnologia al momento della richiesta).
  • La richiesta riguarda i dati del richiedente o è quantomeno fatta da persona legalmente autorizzata a farla in nome e per conto del titolare dei dati? In termini generali, solo il titolare dei dati o un suo rappresentante legale può chiedere l’accesso ai medesimi.
  • Alla richiesta di accesso sono applicabili anche norme diverse da quelle del GDPR? Il titolare del trattamento deve rispondere alla richiesta svolta richiamando legislazioni di settore diverse dal GDPR, in adempimento delle stesse. Ove la richiesta sia svolta sulla base di norme di settore e anche del GDPR, ove necessario in funzione dei diversi requisiti posti da tali norme, il titolare del trattamento potrebbe essere tenuto a fornire più risposte diverse, specificamente adeguate alle condizioni poste da tali diverse legislazioni.
  • La richiesta ricade nel campo di applicazione dell’art. 15 del GDPR (contenuto ed esercizio del diritto di accesso)? Il titolare del trattamento deve rispondere alla richiesta di accesso anche laddove essa non faccia alcun riferimento esplicito all’art. 15 del GDPR; mentre parallelamente il richiedente non ha alcun dovere/obbligo di specificare quale sia la base giuridica a sostegno della sua richiesta.
  • Il richiedente desidera accedere a tutti o solo a parte dei dati trattati? Il titolare del trattamento ha il dovere di consentire l’accesso solo ai dati specificamente oggetto della richiesta; e così a tutti, ovvero solo a quelli individuati dal richiedente, con la precisazione che, ove vi sia un dubbio al riguardo, l’accesso deve essere garantito con riferimento all’intero set dei dati trattati.

La forma della richiesta e i canali dedicati.

Sebbene il GDPR non stabilisca requisiti specifici per la forma e per il canale di comunicazione dedicati alle richieste di accesso, l’EDPB incoraggia i titolari del trattamento a predisporre i canali di comunicazione più appropriati e accessibili a tale scopo.

Ciò premesso, se il titolare dei dati utilizza un canale fornito dal titolare del trattamento diverso da quello dedicato alle richieste di accesso ai dati, la richiesta così indirizzata dovrebbe in generale ricevere comunque risposta. Tuttavia, se la richiesta è indirizzata a un indirizzo email o postale mai indicato dal titolare del trattamento, ovvero viene veicolata su un canale chiaramente non dedicato a tale scopo, quando ne è stato esplicitamente indicato uno diverso, il titolare del trattamento non è tenuto a rispondere. Nel medesimo scenario, il titolare del trattamento non è analogamente tenuto a rispondere a richieste indirizzate alla posta elettronica di un dipendente non coinvolto nel trattamento delle richieste di accesso (a meno che questi non sia per altri motivi coinvolto personalmente nella gestione ordinaria delle questioni riguardanti il richiedente l’accesso).

Posto che, in forza dell’art. 12 del GDPR, ogni richiesta rivolta al titolare del trattamento deve ricevere risposta entro 1 mese, è preferibile che esso confermi per iscritto la ricezione della stessa, specificando che tale lasso di tempo decorre dal momento di detta conferma.

L’identificazione del titolare del trattamento e il suo collegamento con i dati.

In linea generale il titolare del trattamento deve essere in grado di identificare il titolare dei dati e di confermare la sua identità in caso di dubbi; ciò al fine di garantire la sicurezza del trattamento e di minimizzare il rischio di disclosure non autorizzata dei dati. Ciò premesso, il titolare del trattamento non può in generale richiedere più dati di quelli strettamente necessari a soddisfare le esigenze sopra riferite. Ne discende che, previa dimostrazione della necessità di ottenere ulteriori informazioni, il titolare del trattamento è autorizzato a farne richiesta.

Al fine di minimizzare queste richieste di informazioni personali addizionali, è consigliabile che il titolare del trattamento predisponga a priori delle procedure di autenticazione ad hoc. In forza del principio di minimizzazione del numero di dati sottoposti a trattamento è inoltre necessario che il set di dati supplementari richiesti per l’identificazione del titolare sia il più contenuto possibile e che i dati di identificazione vengano cancellati appena possibile compatibilmente con le esigenze del trattamento costituita dalla identificazione stessa (perché essa implica un trattamento specifico di dati, quelli necessari ai suoi fini).

Spesso una procedura di login comportante l’utilizzo delle credenziali conosciute dal richiedente è sufficiente per accertarne l’identità al fine dell’esercizio del diritto di accesso. Inoltre, tali procedure di login devono essere attuate mediante protocolli particolarmente sicuri: ne discende che la richiesta della copia di un documento di identità al fine di identificare il richiedente l’accesso, deve essere limitata e proporzionata alla natura dei dati cui accedere ovvero del trattamento cui sono sottoposti (per esempio dati sanitari, considerati di per sé stessi, sensibili).

Poiché questo tipo di richiesta di dati di identificazione supplementari è assai delicata, è necessario che le procedure e i canali utilizzati siano particolarmente sicuri e protetti. Inoltre, considerato che i documenti di identità contengono numerosi dati personali assai sensibili (come per esempio i dati fisiognomici) è altamente consigliabile predisporre procedure che informino il richiedente della possibilità di oscurare i dati non necessari nella copia digitale del documento e gli consentano di procedere di conseguenza.

Richieste da parte di terzi e in rappresentanza di minori

Connesso all’aspetto appena trattato è quello delle richieste presentate da terzi in rappresentanza dei titolari dei dati. Anche in tali casi, infatti, è possibile che sia necessaria la verifica della identità di costoro quando la corrispondente richiesta di informazioni supplementari sia adeguata e proporzionata.

In questo ambito il GDPR non dispone alcunché; e il riferimento normativo è costituito dalle singole legislazioni nazionali, come, per esempio, le disposizioni che consentono agli avvocati di agire in rappresentanza dei loro clienti. A tali disposizioni si devono dunque conformare i titolari del trattamento nel gestire le richieste presentate da terzi in rappresentanza dei titolari dei dati. Resta tuttavia valido il principio generale in forza del quale, laddove vi siano dubbi in ordine alla identità del rappresentante, è considerato appropriato che il responsabile del trattamento chieda a costui informazioni supplementari idonee a scioglierli.

Va da sé che le richieste presentate da terzi in rappresentanza dei minori costituiscono un sottoinsieme di particolare delicatezza rispetto a quello delle richieste presentate da terzi in senso generale; ed è altrettanto evidente che in questo specifico ambito grande rilievo è riconosciuto alle richieste presentate dai genitori per i figli, ovvero da coloro che esercitano il potere genitoriale/parentale. Il principio guida, in questo specifico ambito, è quello della massima precauzione e cautela da parte del titolare del trattamento nel consentire l’accesso ai dati dei minori da parte dei terzi: ne discende che i titolari del trattamento dovranno adottare ogni possibile misura idonea a minimizzare il rischio di accessi illeciti che facciano leva sull’esercizio del diritto di accesso.

In chiusura su questo delicato tema, è necessario precisare che il diritto di accesso ai dati esercitato sulla base dei principi posti dal GDPR non deve essere confuso con il diritto di ricevere informazioni sul minore (per esempio sul suo rendimento scolastico) da parte di chi esercita il potere parentale sullo stesso, poiché si tratta di un ben diverso profilo, regolato dalle norme nazionali di settore, non dal GDPR.

Infine, capita di frequente che i titolari del trattamento ricevano richieste di accesso provenienti da portali gestiti da terze parti, eminentemente dedicati ad erogare il servizio corrispondente all’esercizio del diritto di accesso in rappresentanza dei titolari dei dati.

In questi casi, è evidente che il primo problema, per il titolare del trattamento che riceve tali richieste, è quello di assicurarsi che i portali richiedenti stiano legittimamente agendo in rappresentanza dei titolari dei dati al fine di non consentire l’accesso a soggetti non autorizzati.

Per evitare tali rischi, è considerato appropriato e prudente che il titolare del trattamento, una volta ricevuta una simile richiesta, fornisca l’accesso ai dati attraverso le proprie procedure ad hoc, non attraverso il portale richiedente. Ciò, in particolare, è considerato necessario ogni qual volta il titolare del trattamento dubiti della sicurezza delle procedure del portale richiedente

Chi è l’autore

legale

Classe 1968, maturità classica, laurea in giurisprudenza presso l’Università statale di Milano, relatore prof. Alberto Santamaria (tesi sul diritto antitrust comunitario in ambito radiotelevisivo) Giovanni Ricci, iscritto all’albo degli avvocati dal 2002, è partner dello studio legale Edoardo Ricci Avvocati, fondato dall’avv. prof. Edoardo Ricci, professore emerito di diritto processuale civile all’Università statale di Milano sino al 2010. Giovanni Ricci, è responsabile del dipartimento di responsabilità civile dello studio, ha approfondito la responsabilità sanitaria e i temi correlati (medical malpractice) e maturato significative competenze in tema di protezione dei dati personali e sulla normativa e sul Regolamento n. 679/2016/UE (GDPR)

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche
css.php