Diritto di accesso: le linee guida dell’European Data Protection Board – EDPB
Adottata dall’EDPB la versione finale delle Linee Guida per l’esercizio
dei diritti dei soggetti interessati. L’obiettivo del diritto di accesso è quello di fornire ai soggetti informazioni sufficienti, trasparenti e facilmente accessibili sul trattamento dei loro dati personali in modo che possano essere a conoscenza e verificare la liceità del trattamento e l’esattezza dei dati trattati. Ne parliamo in questa nuova puntata della Rubrica “Appunti di Privacy”
25 Maggio 2023
Patrizia Cardillo
Esperta di Protezione dati personali
Il 28 marzo 2023 l’European Data Protection Board (di seguito: EDPB) ha adottato la versione 2 delle Linee guida sui diritti degli interessati – Diritto di accesso.
Il diritto di accesso del soggetto interessato al trattamento è sancito dalla Carta dei diritti fondamentali dell’UE[1] e ora ulteriormente sviluppato da norme più specifiche e precise dall’art. 15 del Regolamento Generale sulla protezione dei dati 2016/679 (di seguito: GDPR), dove è appunto formulato come diritto di accesso ai dati personali e ad altre informazioni ad essi connesse (finalità, categorie di dati e destinatari, durata del trattamento il trattamento, i diritti degli interessati e le garanzie adeguate in caso di trasferimenti verso paesi terzi).
Infatti, l’obiettivo del diritto di accesso è quello di fornire ai soggetti informazioni sufficienti, trasparenti e facilmente accessibili sul trattamento dei loro dati personali in modo che possano essere a conoscenza e verificare la liceità del trattamento e l’esattezza dei dati trattati. Diritto che facilita (ma non condiziona) l’esercizio di altri diritti a lui parimenti riconosciuti. Al fine di realizzare efficacemente tale obiettivo, il GDPR introduce garanzie che consentono all’interessato di esercitare questo diritto facilmente, senza inutili vincoli, a intervalli ragionevoli e senza ritardi o spese eccessive.
Le linee guida analizzano i vari aspetti del diritto di accesso e forniscono alcune indicazioni per il suo concreto esercizio e chiarimenti riguardo:
- alle informazioni che il titolare del trattamento deve fornire all’interessato che non è tenuto a motivare la richiesta di accesso mentre non spetta al titolare analizzare se la richiesta possa effettivamente aiutare l’interessato a verificare la liceità del relativo trattamento o esercitare altri diritti;
- al formato della richiesta di accesso che comprende la conferma che i dati sulla persona sono trattati o meno, l’accesso ai dati personali e alle informazioni sul trattamento (il titolare deve agevolare l’esercizio dei diritti anche mettendo a disposizione sul proprio sito web un format di richiesta e fornire canali di comunicazione adeguati, oltre a predisporre una procedura interna che regola modalità e tempi);
- alle principali modalità per assicurare l’accesso attraverso canali di comunicazione adeguati e di facile utilizzo anche se l’interessatopuò invece inviare la richiesta a un punto di contatto ufficiale del responsabile del trattamento;
- alla possibilità per il titolare di richiedere ulteriori informazioni per confermare l’identità dell’interessato o inerenti il trattamento qualora non sia in grado di individuare dati oggetto della richiesta;
- alla comunicazione dei dati e delle altre informazioni sul trattamento deve essere fornita in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro: occorre tener conto delle circostanze del trattamento e dalla capacità dell’interessato di cogliere e comprendere la comunicazione (ad esempio tenendo conto che l’interessato è un minore o una persona con esigenze particolari);
- al rigoroso rispetto dei tempi: il responsabile del trattamento deve attuare le misure necessarie per soddisfare le richieste il prima possibile e comunque entro un mese dal ricevimento (termine prorogabile sino ad ulteriori due mesi per motivate ragioni) e adattare tali misure alle circostanze del trattamento;
- ai presupposti per qualificare una richiesta manifestamente infondata o eccessiva (da porre in connessione anche alla specificità del settore in cui opera il titolare): il diritto di accesso non consente alcuna riserva generale di proporzionalità per quanto riguarda gli sforzi che il responsabile del trattamento deve compiere per soddisfare la richiesta dell’interessato.
L’unico limite all’esercizio del diritto di accesso è rappresentato dall’eventuale lesione dei diritti e le libertà altrui: l’EDPB precisa che l’art. 15, c. 4, non giustifica comunque il rifiuto totale della richiesta dell’interessato; spetta al titolare dimostrare la possibile lesione dei diritti o libertà altrui e comunque nella risposta potrebbe tralasciare o rendere illeggibili quelle parti che possono avere, specificatamente, quegli effetti negativi. Le limitazioni comunque non sono applicabili alle ulteriori informazioni sul trattamento (art. 15, c. 1, lett. a-h).
Anche in senso restrittivo devono essere interpretati il rifiuto di rispondere a richieste manifestamente infondate o eccessive e la determinazione di un compenso all’interessato per il rilascio delle informazioni. Compenso che appare pertinente proprio in connessione a richieste eccessive, al fine di coprire i costi amministrativi che tali richieste possono causare. Ulteriori restrizioni al diritto di accesso, anche temporanee o limitate ad alcune categorie di dati, possono essere introdotte dagli Stati membri in applicazione della clausola di flessibilità ai sensi dell’art. 23 GDPR.
Le Linee Guida forniscono, infine, orientamenti relativamente ad alcune ipotesi di esercizio del diritto di accesso in diverse situazioni e riportano in allegato un diagramma di flusso che delinea un percorso relativamente a questioni pratiche relative all’attuazione del diritto di accesso compresa la verifica di eventuali limiti e restrizioni e il necessario bilanciamento degli interessi coinvolti.
Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA
[1] Under Art. 8 para. 1 of the Charter of Fundamental Rights of the European Union Everyone has the right to the protection of personal data concerning him or her. Under Art. 8 para. 2 sentence 2 Everyone has the right of access to data which has been collected concerning him or her and the right to have it rectified.