La Corte di Giustizia si pronuncia sul diritto di conoscere chi ha consultato i nostri dati personali

Il caso prende le mosse da un procedimento volto all'annullamento della decisione dell'Autorità di controllo privacy della Finlandia. Nei fatti, un ex-dipendente e cliente di una banca finlandese aveva richiesto a quest'ultima – in forza dell'art. 15 par. 1 GDPR - dettagli sugli accessi di altri dipendenti della banca ai propri dati personali, in dubbio quanto a loro liceità. La richiesta era specifica: si voleva apprendere (i) chi fossero gli autorizzati coinvolti, in quanto “destinatari” dei dati, (ii) le date di consultazione dei dati e (iii) le finalità di trattamento.

La titolare ha replicato esaustivamente sui punti (ii) e (iii), non ha invece dato seguito al punto (i), con la motivazione che prevaleva la tutela della riservatezza dei propri dipendenti.

La Corte ha ricostruito il contesto applicativo del richiamato art. 15 GDPR, che permette di ottenere dal titolare anzitutto la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso a detti dati personali nonché alle informazioni relative - in particolare, alle finalità del trattamento e ai destinatari o alle categorie di destinatari a cui tali dati personali sono stati o saranno comunicati. Per la CGUE è pacifico ricomprendere il periodo di trattamento tra le informazioni da fornire, così come le operazioni di consultazione (da considerare “trattamenti”) e le dichiarate finalità per tali operazioni (permettendo così una loro verifica effettiva).

Quanto ai “destinatari”, si intendono le persone fisiche o giuridiche, l'autorità pubblica, il servizio o un altro organismo che ricevono comunicazione di dati personali, che si tratti o meno di terzi. Orbene, con precedente sentenza del caso C‑154/21, EU:C:2023:3, la stessa Corte ha chiarito che l'interessato ha il diritto di ottenere informazioni sui destinatari concreti, identificati, ai quali i dati personali che lo riguardano sono stati o saranno comunicati – salvo eccezioni come l'impossibilità oggettiva. D'altro canto, nella vicenda in parola la Corte ha chiarito che gli autorizzati dipendenti del titolare - fin quando trattano dati conformemente alle istruzioni ricevute - non rientrano nel concetto di “destinatari”; potrebbero però rientrare nell'alveo di informazioni utili all'interessato per verificare la liceità del trattamento.

Il considerando 63 GDPR sul diritto (non assoluto) di accesso, precisa che non dovrebbe mai ledere i diritti e le libertà altrui, come potrebbe accadere nella rivelazione dell'identità degli autorizzati.

Va attuato un bilanciamento tra i contrapposti interessi: nel caso di specie non erano informazioni fondamentali, secondo la CGUE, visto che l'interessato le chiedeva per una verifica delle finalità di consultazione, soddisfatta dalle altre informazioni apprese. Pertanto, non se ne è ravvisata la necessità e si è così ratificato il diniego della banca titolare.

Ne possiamo conseguire che ogni titolare dovrebbe sempre impiegare un accurato sistema di tracciamento (log) delle operazioni interne di trattamento dei dati, potendo essere richiesto un simile grado di dettaglio da parte degli interessati, da bilanciare sempre con i diritti degli autorizzati, cioè i lavoratori coinvolti.

Altra questione minore, affrontata dalla CGUE nel provvedimento, riguarda il fatto che le operazioni di trattamento fossero avvenute prima dell'applicazione legale del GDPR (anteriore al 25 maggio 2018) ma che la richiesta di accesso fosse stata esercitata dopo tale data. La Corte ha statuito che l'art. 15 GDPR è norma procedurale, invocabile solo dal 25 maggio 2018 in poi, ma può riguardare (profilo sostanziale) trattamenti svolti anteriormente. Dunque, il ricorrente ben poteva esercitare questo suo diritto su avvenimenti pregressi.