Diritto di accesso:l’orientamento estensivo italiano ed europeo
A cura di Fabrizio Di Geronimo
Introduzione
Con il Provvedimento del 7 marzo 2024, doc. web n. 10007853, il Garante per la protezione dei dati personali (“Garante” o “Autorità”) ha sanzionato la Banca di Credito Cooperativo Appulo Lucana soc. cooperativa (incorporante della precedente Banca di Credito Cooperativa di Spinazzola; la “Banca”) per la violazione della disciplina vigente in materia di diritto di accesso e, in particolare, degli articoli 12, par. 3 e 4 e 15 del Regolamento (UE) 2016/679 (“GDPR” o “Regolamento”).
Nel definire la controversia, l’Autorità ha avuto modo di ribadire l’interpretazione estensiva del diritto di accesso riconosciuto dal GDPR, allineandosi a un costante orientamento emerso a livello europeo, sia in sede giurisprudenziale che da parte dell’European Data Protection Board (“EDPB”).
Il presente articolo mira a ripercorrere le vicende del caso in esame al fine di analizzare tale orientamento e comprenderne le conseguenze per i titolari del trattamento.
La vicenda
La vicenda definita dall’Autorità prende le mosse da un reclamo presentato da una ex dipendente della Banca che, a seguito di un riscontro insoddisfacente relativo alla propria richiesta di accedere ai dati personali che la riguardavano, lamentava una violazione del proprio diritto di accesso.
Nella ricostruzione offerta dalla reclamante, a fronte della propria istanza finalizzata a ottenere “l’accesso ai dati personali contenuti nel proprio fascicolo personale, una copia degli stessi e segnatamente ai dati racchiusi nel fascicolo del procedimento disciplinare (…) per conoscere, in maniera precisa e puntuale, tutte le informazioni che la riguardano (dati valutativi e non) aventi ad oggetto i fatti e i comportamenti (…) confluiti nella sanzione disciplinare irrogata dalla Banca”[1], quest’ultima si limitava a fornire le informazioni relative ai fatti e ai comportamenti ritenuti rilevanti ai fini della sanzione disciplinare irrogata, senza tuttavia condividere la corrispondenza scambiata con un soggetto terzo in merito ai fatti oggetto della sanzione disciplinare e oscurando i dati personali relativi a tale terza parte.
Dal canto proprio, la Banca argomentava di aver correttamente adempiuto ai propri oneri ai sensi del GDPR avendo fornito alla reclamante accesso ai suoi dati personali, e giustificava la mancata condivisione della corrispondenza e dei dati personali della terza parte evidenziando (i) la necessità di tutelare la riservatezza della terza parte coinvolta e la sua capacità di difendere i propri diritti in sede giudiziaria; (ii) che l’accesso alle informazioni richieste dalla reclamante non potesse più essere da quest’ultima giustificato sulla base del proprio diritto di difesa in quanto l’istanza avveniva in un momento in cui il procedimento disciplinare non poteva più essere impugnato; e (iii) che “il diritto di accesso dovrebbe riguardare i dati personali nonché le informazioni previste dal par. 1 dell’art. 15 e, almeno di regola, non i documenti che li contengono, né tantomeno i documenti contenenti le informazioni riferite a vicende e soggetti terzi e può (rectius deve) essere limitato per tutelare i diritti e le libertà altrui, come il diritto di difesa della banca titolare del trattamento”[2].
Assodato che il diritto di accesso non esclude in modo assoluto la condivisione di informazioni riguardanti anche terze parti[3], la risoluzione della controversia da parte del Garante richiedeva principalmente la risoluzione dei due seguenti punti in merito all’estensione del diritto esercitato dalla reclamante: (i) può il diritto di accesso essere esercitato in modo “strumentale” per un obiettivo diverso e più ampio dal mero controllo dei propri dati personali?; (ii) con quali modalità il titolare deve dare riscontro a una richiesta di accesso ai sensi dell’articolo 15 GDPR e, nello specifico, in che formato devono essere consegnati i dati personali all’interessato?
All’analisi di tali due punti e alla risoluzione offerta dall’Autorità, nel rispetto del consolidato orientamento estensivo già visto a livello europeo, sono dedicati i seguenti paragrafi.
La finalità del diritto di accesso
Il considerando 63 del GDPR indica che ciascun “interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che l[o] riguardano […] per essere consapevole del trattamento e verificarne la liceità”[4]. Tuttavia, come chiarito dall’EDPB nelle Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso, adottate nella versione finale il 28 marzo 2023[5] (“Linee Guida”), ciò non comporta una limitazione a tale finalità, e non impedisce che il diritto riconosciuto dal GDPR sia strumentale al perseguimento di ulteriori obiettivi da parte del richiedente. In altre parole, il titolare del trattamento non deve valutare le richieste di accesso sulla base della finalità del relativo esercizio, ma esclusivamente sulla base dell’oggetto della richiesta[6].
D’altro canto, anche la stessa Corte di giustizia dell’Unione europea (“Corte” o “CGUE”) ha adottato un’interpretazione estensiva del diritto di accesso riconosciuto dal GDPR. Specificamente, nella vicenda C‑307/22, Copies of Medical Records[7], il giudice del rinvio chiedeva alla Corte se “l’articolo 15, paragrafo 3, prima frase, in combinato disposto con l’articolo 12, paragrafo 5, del [GDPR], debba essere interpretato nel senso che il titolare del trattamento […] non è tenuto a fornire gratuitamente all’interessato […] una prima copia dei dati personali riguardanti quest’ultimo, trattati dal titolare del trattamento, qualora l’interessato non richieda la copia per perseguire le finalità di cui al considerando 63, prima frase, del [GDPR], vale a dire per essere consapevole del trattamento e verificarne la liceità, bensì per perseguire una finalità diversa, non legata alla protezione dei dati ma lecita.”[8]
Tralasciando la complessa doppia negazione della formulazione del giudice del rinvio, rileva notare come la Corte abbia in primis sottolineato che né l’articolo 12 né l’articolo 15 del Regolamento sottopongono l’esercizio del diritto di accesso a una specifica motivazione da parte dell’interessato atta a giustificare tale richiesta[9], e che, aggiungiamo, sarebbe paradossalmente sottoposta a un primo vaglio di “legittimità” proprio da parte del titolare ricevente. D’altro canto, se il considerando 63 GDPR indica che l’interessato ha il diritto di accedere ai propri dati personali per essere consapevole dei trattamenti svolti e verificarne la liceità, non limita – né potrebbe peraltro farlo, considerata l’assenza di valore giuridico vincolante delle premesse degli atti legislativi dell’Unione europea[10] – la portata del diritto di accesso[11], ma si limita piuttosto a enunciarne lo scopo semmai primario e più naturale nell’ottica della protezione dei dati. Ciò lascia peraltro del tutto impregiudicato l’obiettivo ultimo dei diritti riconosciuti agli interessati, ossia mantenere il controllo dei propri dati personali, con la chiara conseguenza di poterne disporne per qualsiasi ulteriore finalità.
Tale ricostruzione appare altresì l’unica riconciliante con il principio di trasparenza, tutelato espressamente dall’articolo 5, par. 1, lett. a), dello stesso Regolamento, a cui è dedicato il Capo III, Sez. 1 in cui si inserisce, non casualmente, l’articolo 12 GDPR[12], a riprova del fatto che esso vada interpretato in modo da agevolare l’esercizio dei diritti successivamente esposti dal GDPR piuttosto che a limitarne la portata.
Sulla base di tali costanti orientamenti a livello europeo, non sorprende come anche l’Autorità italiana abbia concluso che l’enunciazione del fondamentale obiettivo del diritto di accesso riconosciuto dal considerando 63 Regolamento non impedisce il perseguimento di un obiettivo diverso, quale la necessità di ottenere i dati e le informazioni richiesti per tutelare un proprio diritto. Tant’è, specifica il Garante, che “dalla lettura del combinato disposto degli artt. 12 e 15 del Regolamento non risulta la necessità per gli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né risulta riconosciuta al titolare del trattamento la possibilità di chiedere i motivi della richiesta”[13].
Pertanto, la Banca non poteva legittimamente limitare la soddisfazione della richiesta di accesso della reclamante sulla base del fatto che l’accesso alle informazioni richieste non potesse più essere giustificato sulla base del proprio diritto di difesa causa la non impugnabilità del procedimento disciplinare.
Formato della risposta: dati o documenti?
Relativamente alla seconda questione, ossia con quali modalità il titolare deve dare seguito a una istanza di accesso ai sensi dell’articolo 15 GDPR, per la risoluzione della vicenda in commento, essa può essere riassunta nel se l’interessato abbia diritto di ottenere i documenti in cui i dati personali sono presenti o esclusivamente una copia di tali dati.
Anche in tal caso, è stata la stessa CGUE a chiarire l’estensione dell’articolo 15 GDPR, nel senso da includere anche la consegna di “estratti di documenti o addirittura di documenti interi o, ancora, di estratti di banche dati”[14]. Tuttavia, nell’interpretazione della Corte, ciò sarà necessario non sempre, ma esclusivamente “qualora la fornitura di una siffatta copia sia necessaria per consentire all’interessato di verificarne l’esattezza e la completezza nonché per garantirne l’intelligibilità.”[15]
In altre parole, sebbene l’articolo 15 GDPR includa il diritto dell’interessato di ottenere copia del documento contenente i propri dati personali, è compito del titolare svolgere un’analisi caso per caso per verificare se, nell’ipotesi concreta sottoposta alla sua attenzione, il pieno rispetto del principio di trasparenza – che impone di fornire all’interessato tutte le informazioni necessarie a soddisfare la sua richiesta in forma concisa, intelligibile, facilmente accessibile e comprensibile – renda preferibile la consegna di un documento o una rielaborazione dei dati ivi contenuti. Pertanto, la riproduzione di estratti di documenti, di interi documenti o di estratti di banche dati, sarà indispensabile qualora siano fondamentali per rendere effettivo il diritto di accesso, ad esempio “nel caso in cui la contestualizzazione dei dati trattati sia necessaria per garantirne l’intelligibilità”[16].
Tornando alla vicenda oggetto del presente commento, il Garante – nel rispetto delle interpretazioni richiamate della CGUE e dell’EDPB – ha posto alla base della propria argomentazione il fondamentale principio di accountability, elemento cardine dell’intera struttura data protection prevista dal GDPR, rimettendo al titolare (i.e., la Banca) il compito di individuare, a fronte delle circostanze concrete della richiesta ricevuta, quale sia la forma che consenta di soddisfare pienamente il diritto di accesso dell’interessato.
Tuttavia, nel caso di specie, l’Autorità ha ritenuto la valutazione del titolare, che resta inevitabilmente sempre censurabile in sede giudiziale e da parte del Garante stesso, errata. A giudizio dell’Autorità, infatti, l’unica modalità idonea a consentire la piena soddisfazione del diritto esercitato dalla ricorrente e del principio di trasparenza era costituito dalla consegna integrale della documentazione rilevante nell’ambito del procedimento disciplinare, ritenuta fondamentale per avere una visione completa delle informazioni utilizzate nell’ambito del suo procedimento disciplinare.
* * *
Da ultimo, vale la pena rilevare come l’Autorità ha altresì riscontrato un’ulteriore violazione da parte della Banca: nella sua decisione di non fornire tutta la documentazione relativa al procedimento disciplinare alla reclamante, la Banca mancava infatti di esplicitare a quest’ultima i motivi posti alla base della propria decisione, cioè il bilanciamento con il diritto di difesa e la tutela della riservatezza del terzo.
Pertanto, il Garante ha avuto altresì modo di chiarire come il titolare del trattamento, anche nell’ipotesi in cui, da un punto di vista sostanziale, possa legittimamente limitare il diritto di accesso dell’interessato alla consegna dei dati personali, omettendo copia dei documenti e di dati personali di terzi, abbia comunque uno specifico obbligo, previsto dall’articolo 12, par. 4, GDPR, di fornire le motivazioni che, nell’ambito della propria valutazione, hanno giustificato la mancata trasmissione dei documenti.
Conclusioni
Con il recente Provvedimento del 7 marzo 2024, il Garante ha avuto modo di ribadire l’interpretazione estensiva già consolidata a livello europeo circa l’applicazione del diritto di accesso riconosciuto dal GDPR e, in particolare, confermare i seguenti elementi interpretativi che dovranno essere tenuti in considerazione dai titolari del trattamento nell’analizzare le richieste di accesso ricevute:
- il diritto di accesso non è limitato all’estensione e alla verifica della liceità del trattamento dei dati personali, ma può essere strumentale al perseguimento di ulteriori, legittimi obiettivi da parte dell’interessato. Pertanto, il titolare non potrà sottoporre la soddisfazione dell’istanza ricevuta all’analisi degli obiettivi perseguiti dall’interessato, né tantomeno chiedere di specificare le motivazioni per l’esercizio del diritto;
- in merito alla forma in cui devono essere forniti i dati, il diritto di accesso prevede che l’interessato possa ottenere anche estratti di documenti o interi documenti contenenti i propri dati personali. Tuttavia, è rimesso al titolare il compito di valutare caso per caso quale sia la modalità più opportuna per garantire la massima trasparenza e l’intelligibilità delle informazioni fornite;
- nell’ipotesi di diniego, anche parziale, dell’istanza dell’interessato, spetta al titolare del trattamento fornire specifiche motivazioni nel rispetto dell’articolo 12, par. 4, GDPR, che dovranno includere altresì motivazioni in merito alla mancata trasmissione di alcuni documenti eventualmente richiesti.
[1] Garante, Provvedimento del 7 marzo 2024, doc. web n. 10007853.
[2] Ibid.
[3] EDPB, Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso, Versione 2.0, adottate il 28 marzo 2023.
[4] Considerando 63 GDPR.
[5] EDPB, Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso, Versione 2.0, adottate il 28 marzo 2023.
[6] Ivi, punto 13.
[7] Sentenza del 26 ottobre 2023, FT (Copies of Medical Records), C-307/22, ECLI:EU:C:2023:811.
[8] Ivi, punto 28.
[9] Ivi, punto 38.
[10] Per una costante interpretazione sul punto da parte della massima corte europea si vedano, tra gli altri, sentenza del 19 giugno 2014, Karen Millen Fashions, C‑345/13, EU:C:2014:2013, punto 31 e sentenza del 13 settembre 2018, Česká pojišťovna, C‑287/17, EU:C:2018:707, punto 33.
[11] Ivi, punto 43.
[12] Ivi, punto 39.
[13] Provvedimento del 7 marzo 2024.
[14] CGUE, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 41.
[15] C-307/22, punto 79.
[16] C‑487/21, punto 41. Proprio sulla base di tale principio, la stessa Corte, nella vicenda FT (Copies of Medical Records) già analizzata, ha concluso che nell’ambito del rapporto medico-paziente, “il diritto di ottenere una copia dei dati personali oggetto di trattamento implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati. Tale diritto presuppone quello di ottenere la copia integrale dei documenti contenuti nella sua cartella medica che contengano, tra l’altro, detti dati, qualora la fornitura di una siffatta copia sia necessaria per consentire all’interessato di verificarne l’esattezza e la completezza nonché per garantirne l’intelligibilità” – C-307/22, punto 79.
Interpretazione a sua volta ripresa e confermata nelle Linee Guida dell’EDPB, che chiariscono come sia il titolare a dover giudicare caso per caso per verificare se, al fine di assicurare il principio di trasparenza, sia opportuno nel caso concreto fornire all’interessato richiedente copia dei documenti che contengono i dati personali oggetto della richiesta, o sia invece sufficiente (o preferibile) fornire esclusivamente i dati personali in qualsiasi altro formato ritenuto idoneo – Linee Guida, par. 5.2.5.