Continua il nostro viaggio con il supporto dell’Avv. Giovanni Ricci, Studio Edoardo Ricci Avvocati, all’interno delle linee guida dell’EDPB – European Data Protection Board sul diritto di accesso ai dati personali pubblicate lo scorso 18 gennaio. Dopo l’approfondimento sulla natura, sulla forma e sui canali della richiesta, vediamo insieme quali sono questi dati e che tipo di informazione aggiuntiva è tenuto a fornire il titolare del trattamento.
Cosa si intende per dati personali? Quali dati state trattando? A quali dati deve essere consentito l’accesso?
La nozione di dato personale è l’oggetto dell’art. 4 del GDPR, secondo il quale è dato personale qualsiasi informazione correlata con una persona fisica identificata o identificabile.
Si tratta di una nozione molto ampia che include certamente svariate categorie di dati, come:
- dati che riguardano orientamento politico/religioso/sindacale/sessuale origine/appartenenza etnica, caratteristiche genetiche/biometriche, patologie/informazioni sanitarie;
- dati concernenti la commissione di reati/condanne penali;
- dati grezzi e/o disaggregati forniti dal titolare in connessione con l’utilizzo di un servizio o di un device;
- dati non forniti direttamente dai titolari, ma derivati da altri dati (come, per esempio, i dati relativi al merito creditizio di ciascuno di noi);
- dati elaborati incrociando e/o elaborando altri dati (come i dati elaborati da un service provider grazie ad un processo di profilazione).
A fronte di una richiesta di accesso, tutti questi dati (senza eccezione) ove coinvolti in un trattamento o risultato di esso, devono essere resi disponibili (non solo quelli direttamente conferiti dal loro titolare, come si potrebbe pensare).
È importante tenere presente, in questa prospettiva, che il GDPR copre i trattamenti dei dati direttamente riferibili a una determinata persona, oppure in grado di identificarla mediante (per esempio) l’utilizzo di una chiave di decrittazione (dati pseudonimizzati). Per converso il GDPR non copre i trattamenti di dati personali, quando da tali dati personali non è più possibile risalire al titolare considerando lo stato dell’arte della tecnologia al momento del trattamento e della richiesta di accesso (dati anonimizzati).
In generale, considerato lo scopo di tutela dei diritti fondamentali delle persone fisiche del GDPR, le Guidelines sottolineano che la nozione di dato personale deve essere elaborata di volta in volta interpretando i principi del GDPR stesso in modo estensivo. Va da sé che i dati cui è lecito consentire l’accesso sono e devono essere quelli relativi alla persona che effettua la relativa richiesta direttamente (o per il tramite di un legale rappresentante).
Ci sono peraltro situazioni, in forza delle quali i dati oggetto della richiesta di accesso sono strettamente collegati/mescolati a/con i dati di altre persone:
è questo, ad esempio, il caso dei dati contenuti nel file audio di un colloquio di lavoro (nel quale è registrata anche la voce dell’intervistatore).
In questi casi, laddove possibile, il titolare del trattamento deve consegnare solo i dati di colui che ha fatto richiesta di accesso.
Ove ciò non fosse possibile, i dati devono essere resi disponibili senza omissioni, ma con una importante accortezza: il titolare del trattamento deve informare il richiedente che quanto viene reso disponibile contiene anche i dati di altre persone fisiche; con la conseguenza che il medesimo richiedente, in relazione a questi ultimi, nel procedere alla loro consultazione indiscriminata, diviene a sua volta titolare del trattamento (con le connesse responsabilità).
I dati cui dare accesso sono certamente quelli oggetto di un qualsivoglia trattamento; ma cosa succede se al momento della richiesta il titolare del trattamento è in possesso solo dei dati archiviati nei backup, non essendo in corso alcun trattamento per così dire “attivo”? Considerato che l’archiviazione dei dati è in sé stessa un trattamento, il titolare dovrà rendere disponibile il backup.
Ciò è altresì necessario quando al momento della richiesta di accesso i dati in corso di trattamento “attivo” sono meno di quelli salvati nei backup, in quanto non vi è ancora stata una nuova sovrascrittura: anche in tale caso, il titolare del trattamento dovrà rendere disponibile il set di dati più ricco, quindi quello salvato nel backup.
Le informazioni sul trattamento e sui diritti del titolare dei dati. Come state trattando i miei dati?
Come accennato all’inizio del primo contributo sul diritto di accesso, il contenuto di esso è sintetizzabile in 3 componenti:
- State trattando i miei dati?
- Se si, quali dati state trattando?
- E, soprattutto, come?
A questa terza domanda proviamo dare una risposta ora.
In linea generale, le informazioni sul trattamento da fornire in conseguenza di una richiesta di accesso sono quelle oggetto delle informative oggetto degli artt. 13 e 14.
Tuttavia questo è solo una indicazione base, poiché in realtà il set di informazioni da fornire deve essere messo a punto in modo per così dire “sartoriale” caso per caso.
Con questa regola generale in mente, il titolare del trattamento dovrà fornire ogni informazione in ordine a:
- finalità del trattamento e categorie di dati coinvolte (con specificazione dei dati trattati);
- eventuali destinatari dei dati, tempo di conservazione dei dati ovvero, quando non possibile, indicazione dei criteri impiegati per la determinazione dello stesso;
- ogni possibile informazione sulla origine dei dati quando essi non sono raccolti direttamente presso il loro titolare;
- ogni possibile indicazione sulla logica governante eventuali decisioni automatizzate conseguenti al trattamento (mediante l’uso di algoritmi) e sulle possibili conseguenze di tali decisioni sui diritti e le libertà fondamentali del titolare.