Diritto di accesso: il titolare deve fornire all’interessato una copia dei dati trattati

Massima  

Il diritto di ottenere una «copia» dei dati personali implica che sia consegnata all'interessato una riproduzione fedele e intelligibile dell'insieme di tali dati.

Il caso

CRIF è un'agenzia di consulenza commerciale che fornisce, su richiesta dei propri clienti, informazioni sulla solvibilità di terzi. A tal fine, essa ha proceduto al trattamento dei dati personali di un privato, ricorrente nel procedimento principale. Quest'ultimo ha chiesto a CRIF, sulla base del regolamento generale sulla protezione dei dati (di seguito GDPR), di avere accesso ai dati personali che lo riguardavano. Inoltre, egli ha chiesto la fornitura di una copia dei documenti, ossia i messaggi di posta elettronica e gli estratti di banche dati contenenti, tra l'altro, i suoi dati, «in un usuale formato tecnico».

In risposta a tale domanda, CRIF ha trasmesso al ricorrente nel procedimento principale, in forma sintetica, l'elenco dei suoi dati personali oggetto di trattamento. Ritenendo che CRIF avrebbe dovuto trasmettergli una copia di tutti i documenti contenenti i suoi dati, quali i messaggi di posta elettronica e gli estratti di banche dati, il ricorrente nel procedimento principale ha presentato un reclamo all'Österreichische Datenschutzbehörde (autorità austriaca garante della protezione dei dati). Tale autorità ha respinto detto reclamo, considerando che CRIF non aveva violato il diritto di accesso ai dati personali del ricorrente nel procedimento principale.

La questione

Il Bundesverwaltungsgericht (Corte amministrativa federale, Austria), investito del ricorso del ricorrente nel procedimento principale avverso la decisione di rigetto adottata da detta autorità, si interroga sulla portata dell'obbligo di cui all'art. 15, par. 3, prima frase, GDPR di fornire all'interessato una «copia» dei suoi dati personali oggetto di trattamento. Detto giudice si chiede, in particolare, se tale obbligo sia soddisfatto qualora il titolare del trattamento trasmetta i dati personali sotto forma di tabella sintetica oppure se esso implichi anche la trasmissione di estratti di documenti o anche di documenti interi, nonché di estratti di banche dati, nei quali sono riprodotti detti dati. Il giudice del rinvio chiede inoltre di chiarire cosa si intenda esattamente con il termine «informazioni» che figura all'art. 15, par. 3, terza frase, GDPR.

Le soluzioni giuridiche

 Con la sentenza in commento, la Corte fornisce precisazioni sul contenuto e la portata del diritto di accesso dell'interessato ai suoi dati personali oggetto di trattamento. Al riguardo, essa considera che il diritto di ottenere dal titolare del trattamento una «copia» dei dati personali oggetto di trattamento in forza dell'art. 15, par. 3, prima frase, GDPR implica che sia consegnata all'interessato una riproduzione fedele e intelligibile dell'insieme di tali dati. Detto diritto presuppone quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati contenenti, tra l'altro, tali dati, se la fornitura di una siffatta copia è indispensabile per consentire all'interessato di esercitare effettivamente i diritti conferitigli dal GDPR, fermo restando che occorre tener conto, in proposito, dei diritti e delle libertà altrui. Inoltre, la Corte precisa che la nozione di «informazioni» di cui all'art. 15, par. 3, terza frase, GDPR si riferisce esclusivamente ai dati personali di cui il titolare del trattamento deve fornire una copia in applicazione della prima frase di tale paragrafo.

Osservazioni

La sentenza della Corte di Giustizia si pone in linea con le linee guida dell'Edpb sul diritto di accesso - versione 2.0, n. 01/2022 adottate il 28 marzo 2023 (Guidelines Edpb 01/2022), secondo cui: “L'obbligo di fornire una copia non va inteso come un diritto aggiuntivo dell'interessato, ma come modalità di accesso ai dati. Rafforza il diritto di accesso ai dati e aiuta a interpretarlo perché chiarisce che l'accesso ai dati ai sensi dell'art. 15(1) comprende informazioni complete su tutti i dati e non può essere inteso come la concessione di una semplice sintesi dei dati” (punto 23, primo paragrafo).

Alla stessa stregua, l'orientamento espresso, in base alla costante giurisprudenza di legittimità, dal Garante italiano con riferimento al diritto di accesso dell'interessato nell'ambito del rapporto di lavoro al proprio fascicolo personale e, in particolare, agli attestati di formazione in esso contenuti (Garante Privacy, provvedimento 11 febbraio 2021, n. 63, doc. web n. 9567218).

Sempre in materia giuslavoristica, si segnala la sentenza della Corte di Cassazione n. 32533/2018 che ha ribadito l'ordine del Garante della privacy di mettere a disposizione di un dipendente di una banca, i dati personali che lo riguardavano, contenuti in due documenti elaborati dall'istituto di credito in conformità alla circolare interna deputata a regolamentare il procedimento disciplinare che lo vedeva coinvolto.

Lo scopo del diritto di accesso, infatti, consiste nel rendere l'interessato “consapevole del trattamento e verificarne la liceità” (considerando 63 RGPD).

Né si pone in contrasto col GDPR la sentenza della CGUE, casi congiunti C-141/2012 e 372/2012, nell'interpretare il diritto di accesso ai sensi della direttiva 95/46/CE, secondo cui "affinché [il diritto di accesso] sia rispettato, è sufficiente che al richiedente sia fornita una sintesi completa di tali dati in forma intelligibile, vale a dire una forma che gli consenta di prendere conoscenza di tali dati e di verificarne l'esattezza e il trattamento nel rispetto di tale direttiva, in modo che egli possa, se del caso, esercitare i diritti conferitigli".

Al riguardo, infatti, l'Edpb precisa che "Il termine sintesi contenuto nella sentenza non deve essere interpretato erroneamente nel senso che la compilazione non comprenderebbe tutti i dati coperti dal diritto di accesso, ma è semplicemente un modo per presentare tutti questi dati senza dare accesso ai documenti sottostanti che contengono i dati personali. […] Nell'esempio n. 30 un interessato chiede alla propria compagnia assicurativa di fornirgli tutta la corrispondenza elettronica intercorsa per molti anni relativa a parecchi sinistri. Ebbene, il titolare del trattamento non deve necessariamente fornire le e-mail nella loro forma originale, inoltrandole all'interessato; può invece scegliere di raccogliere la corrispondenza e-mail contenente i dati personali dell'interessato in un file che viene fornito all'interessato” (ibidem, punto 152).

Recentemente, i principi sanciti dalla sentenza in commento sono stati ribaditi dal Garante Svedese nel pronunciarsi contro Spotify. Il provvedimento assume particolare rilevanza dal momento che è stato emesso a seguito del coinvolgimento di tutte le Autorità di Sorveglianza, in applicazione del meccanismo di cooperazione e coerenza ai sensi del Capo VII del GDPR. Spotify aveva impostato un sistema per soddisfare le richieste di accesso degli interessati composto da 3 layer di risposta (di cui il primo accessibile in autonomia e gli altri 2 rivolgendosi al servizio clienti). Il Garante ritiene che attraverso tale meccanismo, Spotify consentiva agli interessati di ottenere una copia completa dei propri dati in un modo sufficientemente semplice. Tuttavia, avendo rilevato altre violazioni della normativa in materia di protezione dei dati personali, ha irrogato a Spotify una sanzione di cospicua entità.