Le linee guida dell’European Data Protection Board sul diritto di accesso

La struttura delle linee guida

Lo EDPB ha scelto di suddividere l'analisi del diritto di accesso in sei capitoli, partendo ovviamente dall'art. 15 GDPR che attualmente lo introduce nell'ordinamento e che ne delinea i contenuti.

Dopo una introduzione di carattere generale (capitolo 1), il Board affronta i principi generali che regolano il diritto di accesso (capitolo 2), per poi approfondire le modalità di approccio che i titolari devono tenere a fronte di istanza da parte degli interessati (capitolo 3). Seguono poi le sezioni dedicate agli elementi oggettivi del diritto di accesso (capitolo 4), alle modalità con cui un titolare deve garantire l'esercizio del diritto (capitolo 5), ai possibili limiti e restrizioni all'esercizio del diritto (capitolo 6).

Utile ed interessante il flowchart allegato alle Linee Guida, che aiuta ad orientarsi a livello logico nell'affrontare una istanza di accesso. Le Linee Guida sono basate sulle pronunce in materia da parte della Corte di Giustizia della Comunità Europea (CGUE).

Il diritto di accesso

Introdotto al fine di mitigare lo squilibrio tra titolari (pubblici e privati) e interessati in termini di capacità, per questi ultimi, di capire se e come i propri dati vengono trattati, il diritto di accesso va inserito nel novero dei diritti fondamentali quale elemento abilitante, per l'interessato, a mantenere il controllo dei propri dati.

Il suo scopo è quello di rendere possibile, per l'interessato, comprendere come i suoi dati personali vengono trattati, le conseguenze del trattamento e l'accuratezza dei dati utilizzati. Il tutto senza dover giustificare la propria richiesta.

Inoltre, il diritto di accesso, per espressa previsione da parte della CGUE, ha l'obiettivo di facilitare l'esercizio di tutti gli altri diritti previsti dal GDPR (si veda a riguardo: CGUE, C-434/16, Nowak e casi collegati C-141/12 e C-372/12, YS + Altri). Tuttavia, come riportato nelle Linee Guida citate, nonostante tale stretta interconessione con gli atri diritti previsti dal GDPR, non sussiste alcuna condizione di previo esercizio del diritto di accesso.

L'obiettivo della normativa che lo disciplina, pertanto, è quello di garantire agli interessati di poter esercitare tale diritto in modo semplice, senza inutili costrizioni, ad intervalli ragionevoli e senza eccessivi ritardi o costi da sostenere. Questo diritto, infatti, deve essere letto in stretta connessione con i principi di correttezza, legalità e trasparenza ed in particolare con le modalità indicate dall'art. 12 GDPR.

Le tre componenti dell'art. 15 GDPR

Il diritto di accesso così come disciplinato all'art. 15 GDPR, si estrinseca in tre componenti:

1) il diritto a ricevere la conferma del fatto che i propri dati siano o meno trattati;

2) il diritto di vedersi concedere l'accesso a tali dati, eventualmente ottenendone copia;

3) il diritto a ricevere informazioni rispetto a come i dati vengono trattati.

La norma viene pertanto disaggregata in otto elementi:

1. La conferma (o la smentita) che vi sia un trattamento in corso rispetto ai dati personali dell'interessato istante.

La conferma può essere comunicata sia separatamente che come parte integrante delle ulteriori informazioni fornite all'interessato, rispetto al trattamento eventualmente in corso.

2. L' accesso vero e proprio ai dati oggetto di trattamento. Considerata come la fase core del diritto in esame, l'accesso ai dati va interpretato come riferito alle informazioni effettivamente, specificamente e concretamente trattate dal titolare e non può ritenersi evaso con informazioni generiche o riferimenti a categorie di dati.

L'interessato (fatte salve le eventuali restrizioni applicabili e che verranno approfondite nel prosieguo della disamina) ha diritto a vedersi garantito l'accesso a tutti i suoi dati o, eventualmente, ai dati relativi ai trattamenti o agli ambiti richiamati nell'istanza.

La circostanza per cui i dati sono stati forniti, in un momento precedente, direttamente dall'interessato non avrà alcun peso rispetto alla necessità di adempiere da parte del titolare. Questo poichè lo scopo del diritto di accesso è mettere l'interessato nella condizione di conoscere i processi di trattamento al momento dell'istanza.

3. L'accesso alle informazioni essenziali rispetto al trattamento, quindi:

• le finalità di trattamento;
• le categorie di dati trattati per raggiungere tali finalità;
• i destinatari dei dati (che, come sappiamo, se in sede di informativa possono essere indicati per categorie, in sede di riscontro ad istanza di accesso vanno indicati in modo granulare e specifico);
• la durata prevista del trattamento e i criteri utilizzati per determinare tale durata;
• l'indicazione di tutti i diritti di cui gode l'istante ai sensi del GDPR;
• ogni informazione disponibile rispetto alla eventuale fonte da cui il titolare ha tratto i dati personali oggetto di trattamento;
• informazioni rispetto all'esistenza di processi decisionali automatizzati inclusa la profilazione.

E' concesso trarre le informazioni di cui sopra dalla informativa somministrata all'interessato e/o dal registro dei trattamenti, ma, specificano le Linee Guida, le informazioni devono essere aggiornate alla data dell'istanza e modulate in modo da rispondere dalle richieste formulate dall'interessato.

4. Informazioni rispetto alle tutele poste in essere dal titolare in caso di trasferimenti extra UE.

5. L'obbligo per il titolare di fornire una copia dei dati personali oggetto di trattamento.

Le modalità con cui il titolare è tenuto a fornire le indicazioni richieste vengono specificate sia dall'art. 15 che dall'art. 12 GDPR.

La prima copia, quale che sia la casistica relativa alle modalità tecniche necessarie per poterla produrre, dovrà essere gratuita.

Importantissime le specifiche, da parte delle Linee Guida, rispetto al fatto che:

• l'aver previsto la necessità di provvedere ad inviare una copia dei dati trattati comporta il fatto che non sia considerabile come conforme l'invio di una mera descrizione dei trattamenti effettuati;
• la copia dei dati messa a disposizione non dovrà essere necessariamente una riproduzione dei documenti originali sui quali sono presenti i dati personali.

Il requisito di produrre una copia va interpretato nel senso di fornire tutte le informazioni necessarie in un formato utile all'interessato per acquisirle e comprenderle.

6. La possibilità, in caso di richiesta di ulteriori copie, di gravare l'interessato di un ragionevole contributo spese basato sui costi amministrativi.

Solo nel caso in cui l'interessato necessiti di più di una copia, il titolare potrà prevedere un contributo spese ragionevole.

Le Linee Guida specificano, però, che se l'interessato reitera la richiesta a causa di una risposta incompleta da parte del titolare, quest'ultimo non dovrà considerare l'ulteriore istanza come una nuova richiesta.

7. La possibiltà di fornire le informazioni richieste in un formato elettronico ove l'istanza sia stata presentata attraverso mezzi elettonici da parte dell'interessato e di utilizzare un formato elettronico di uso comune salvo diversa indicazione da parte dell'interessato.

Le Linee Guida individuano in questo passaggio dell'art. 15 GDPR una presunzione di capacità, per il titolare, di evadere tale istanza in simili modalità, visto che è stato in grado di ricevere la richiesta in formato elettronico.

Viene anche previsto che il titolare debba provvedere a mettere in atto tutte le misure tecnico/organizzative necessarie per garantire la sicurezza dei dati in sede di comunicazione dei dati all'interessato.

8. La necessità di verificare che l'invio della copia dei dati personali non leda i diritti e le libertà di terzi.

Questa è considerabile una delle poche valutazioni di merito che il titolare è chiamato a fare in caso di esercizio dei diritti da parte di un interessato e che potrebbero, in teoria, andare a limitare la portata del diritto di accesso.

Principi applicabili al diritto di accesso

Il titolare deve garantire che le informazioni fornite a seguito di una istanza di esercizio del diritto di accesso siano:

• complete,
• corrette,
• aggiornate.

A) Completezza delle informazioni

Le Linee Guida specificano che l'interessato ha il diritto di avere una completa disclosure delle informazioni che lo riguardano, salvo che in tre scenari ben precisi:

1) l'interessato abbia esplicitamente limitato la richiesta ad uno specifico set di informazioni. In questo caso le Linee Guida consigliano, comunque, di intepretare con attenzione la richiesta e di accertarsi che in effetti una disclosure specifica e limitata sia corrispondente alla volontà dell'interessato.

2) nel caso in cui il titolare tratti una grande quantità di dati riferiti all'interessato e questi non sia stato in grado di specificare a quali informazioni vuole avere accesso, il titolare dovrà valutare attentamente come poter evitare un overflow di dati.

Con una disclosure molto ampia, infatti, il titolare rischierebbe di ottenere l'effetto del tutto contrario rispetto alla necessità di trasparenza espressa dall'interessato mediante la sua istanza.

Per tali casi le Linee Guida suggeriscono di provvedere dei self-service tools online o, ove ciò non fosse percorribile, di richiedere all'interessato ulteriori eventuali specifiche rispetto alle informazioni o ai trattamenti cui l'istanza è riferita.

La richiesta di ulteriori specifiche deve comunque essere valutata e formulata sempre con rispetto ai principi di correttezza e buona fede ed il titolare dovrà essere in grado di dimostrarlo.

3) Il GDPR prevede ulteriori eventuali restrizioni ed eccezioni applicabili al diritto di accesso, che però non riguardano, in ogni caso, il diritto a ricevere conferma che vi è o meno un trattamento in corso (si veda, infra, paragrafo relativo alle limitazioni al diritto di accesso).

B) Correttezza delle informazioni

Come specificato nel paragrafo precedente, le Linee Guida confermano che il titolare è tenuto a comunicare tutte le informazioni riguardanti l'interessato sulle quali effettua trattamenti.

Questo, a norma delle Linee Guida, comporta anche la necessità di comunicare all'interessato anche eventuali dati inesatti o trattamenti non leciti posti in essere dal titolare.

C) Aggiornamento delle informazioni

Le Linee Guida stabiliscono che l'assessment circa i dati trattati deve riflettere nel modo più preciso possibile la situazione al momento in cui l'istanza viene ricevuta da parte del titolare.

Il titolare, precisa lo EDPB, non è tenuto a comunicare all'interessato trattamenti non più in corso e, di conseguenza, informazioni non più nella sua disponibilità purchè, ovviamente, il titolare possa dimostrare di aver cancellato i dati in accordo con la sua policy di data retention.

Le Linee Guida richiedono altresì che il titolare implementi in anticipo le misure necessarie per faciliatare l'esercizio dei diritti e fornire riscontro prima che i dati vengano eventualmente cancellati in ossequio alla policy di data retention.

Quanto sopra, può essere garantito anche prolungando il periodo di data retention sulla scorta del raggiungimento della finalità di garantire la corretta gestione dell'obbligo di Legge di riscontrare l'istanza di accesso (art. 6(1)(c) GDPR in combinazione con l'art. 15 e con l'art. 12(3) GDPR.

Valutazioni possibili dopo la ricezione di una istanza di esercizio del diritto di accesso

Le Linee Guida prevedono un canovaccio ben preciso per la gestione di una istanza di accesso.

a) Elemento oggettivo dell'istanza

La prima valutazione da porre in essere è se la richiesta riguardi o meno dati personali, posto che sono solo queste le informazioni coperte dalla disciplina di cui all'art. 15 GDPR.

b) Elemento soggettivo dell'istanza

La seconda valutazione da fare è se chi presenta l'istante sia l'interessato o una persona che esercita il diritto in sua vece. L'accesso ai dati di un interessato a terze persone può essere concesso solo se queste persone sono munite di adeguate autorizzazioni da parte dell'interessato (si veda infra paragrafo su istanze presentate da terze parti).

c) Contesto legale della istanza

Il titolare dovrà valutare se l'istanza è stata fatta ai sensi del GDPR o, nella misura in cui vi siano ulteriori normative che regolano il diritto di accesso alle informazioni oggetto di richiesta, solo ai sensi del GDPR.

In caso di dubbi, le Linee Guida prevedono che il titolare chieda all'interessato maggiori informazioni scadenzando, in ogni caso, le tempistiche di risposta e di evasione della richiesta.

d) Si tratta o meno di una istanza di esercizio dei diritti ai sensi dell'art. 15 GDPR?

Le Linee Guida correttamente specificano che il GDPR non introduce alcun requisito formale per le istanze di esercizio dei diritti da parte degli interessati.

Il titolare, pertanto, non potrà rifiutare una istanza che non presenti indicazioni rispetto alla norma in base alla quale questa viene inviata.

Per essere considerata ed affrontata in quanto istanza di esercizio del diritto di accesso ai sensi dell'art. 15 GDPR, sarà sufficiente, specificano le Linee Guida, che l'interessato specifichi che vuole conoscere quali dati personali a lui riferibili stia trattando il titolare.

Il titolare dovrà tener presente che gli interessati (specie se minori) non necessariamente e, anzi, raramente, hanno reale contezza delle specifiche di legge o del contenuto del GDPR.

e) Perimetro oggettivo dell'istanza

Come specificato in precedenza, ove al titolare non sia chiaro se l'interessato vuole accedere tutti i dati/trattamenti o solo a parte di essi, le Linee Guida prevedono che provveda, nella massima buona fede, a richiedere maggiori informazioni all'interessato.

La forma dell'istanza

Come sopra già specificato, il GPDR non richiede alcuna forma particolare per l'esercizio delle istanze di esercizio dei diritti e, tantomeno, per l'esercizio del diritto di accesso.

Le Linee Guida prevedono pertanto che il titolare ponga in essere tutte le azioni che, ai sensi dell'art. 12 GDPR e dell'art. 25 GDPR, si rivelino utili a rendere agevole per gli interessati l'esercizio dei loro diritti.

Il titolare dovrà poter dimostrare, in caso di mancata attivazione da parte sua, che il canale prescelto dall'interessato era del tutto randomico ed evidentemente non immaginabile come potenziale punto di contatto per l'esercizio dei diritti.

Dovrà altresì poter dimostrare di aver attivato canali agevoli e di immediata accessibilità.

Lo EDPB considera una buona pratica inviare un riscontro scritto di presa in carico, all'interessato, col quale si vada a specificare che la richiesta verrà evasa entro il periodo di tempo stabilito dall'art. 12 GDPR (indicando, altresì, le date di decorrenza e di scadenza del mese ivi concesso).

Identificazione ed autenticazione

Le Linee Guida specificano che il titolare dovrà essere in grado di individuare i dati da lui trattati e riferiti all'istante (identificazione) e confermare l'identità dell'istante (autenticazione).

Per farlo, però, dovrà rispettare i principi di cui all'art. 11 GDPR e, ancora una volta, dovrà rispettare i principi di minimizzazione, di correttezza e di buona fede.

La richiesta di un documento di identità è considerata dallo EDPB sproporzionata ove vi sia la  possibilità per il titolare di attivare canali sicuri di interlocuzione con gli interessati e di comunicazione dei dati in sede di riscontro a seguito di esercizio del diritto di accesso. Si sottolinea come, ai sensi dell'art. 25 GDPR, tali canali dovrebbero essere valutati ed attivati per tempo.

Richieste formulate tramite terze parti

Le Linee Guida prevedono espressamente la possibilità che un terzo (inclusi portali e piattaforme messe a disposizione da terze parti) agisca per conto dell’interessato. Per tali casisitiche lo EDPB detta specifiche indicazioni di identificazione e verifica dei poteri di rappresentanza, sempre improntate ai principi sopra richiamati.

Viene lasciata agli Stati Membri la disciplina delle istanze formulate da terzi, rispetto ai dati relativi a persone decedute.

In riferimento ai minori, le Linee Guida specificano che spetta ad essi l’esercizio dei diritti. I minori sono infatti, a tutti gli effetti, interessati dal trattamento, fatta salva la eventuale necessità di intervento da parte di un genitore/tutore. Speciali misure dovranno essere disposte per evitare disclosure di informazioni relative a minori a terze persone non autorizzate.

Limiti al diritto di accesso

Le Linee Guida ripercorrono con molteplici esempi pratici le casistiche (tassative) in cui un titolare può rifiutare o limitare l'esercizio del diritto di accesso da parte di un interessato.

Partendo dalla generale possibilità di non dar corso ad una istanza di esercizio che sia manifestatamente infondata (Art.12(5) GDPR) per poi vagliare le eccezioni di cui all'art.15(4) GDPR, quindi la lesione di diritti e libertà altrui o, in ultimo, le limitazioni ex lege previste dall'art. 23 GDPR, le Linee Guida perimetrano in modo estremamente pratico e circostanziato le modalità in cui i titolari del trattamento devono valutare la necessità di non dare riscontro o di dare un riscontro parziale.

In conclusione

Le Linee Guida, anche nella versione definitiva emanata a seguito della consultazione pubblica, confermano l’impostazione basata sulla necessità di assicurare un approccio teso alla correttezza ed alla buona fede del titolare nel gestire le richieste di accesso da parte degli interessati.

Sottolineano altresì l’aspetto relativo ai trattamenti ulteriori effettuati per adempiere ad obblighi di legge imposti dal GDPR (ad esempio, identificare l’interessato, autenticare la sua istanza, gestirla e conservare prova della corretta gestione a fini di accountability) confermando che, come è ovvio che sia, anche tali trattamenti devono sottostare ai principi e regole di cui al Regolamento.