GLI EFFETTI DELLA SENTENZA DELLA CORTE DI GIUSTIZIA SUL DIRITTO DI ACCESSO DI UTENTI E CONSUMATORI
Antonio Ciccia Messina
Un registro dei destinatari dei dati personali: le imprese e le pubbliche amministrazioni devono censire i soggetti cui mandano le informazioni in loro possesso sul conto di clienti, utenti, dipendenti e altri interessati. È questo l’effetto della sentenza della Corte di giustizia dell’Unione europea del 12 gennaio 2023, resa nella causa C-154/21, con la quale è stato affermato che, in base all’articolo 15 del Gdpr (regolamento Ue sulla protezione dei dati n. 2016/679), l’interessato ha diritto di sapere dal titolare del trattamento i nominativi dei soggetti cui quest’ultimo ha trasmesso le informazioni che lo riguardano.
Altrimenti detto, la comunicazione (non dei nominativi, ma) delle categorie dei destinatari è solo una seconda scelta: ci si può limitare a segnalare le categorie solo quando sia impossibile la trasmissione dei nominativi o quando la richiesta dell’interessato sia eccessiva o infondata.
Così imprese e pubbliche amministrazioni devono essere pronte a fornire elenchi di nominativi e non solo descrizioni generali.
La sentenza ha, dunque, un impatto pratico molto forte e impone ai titolari di trattamento di attrezzarsi per fare fronte alle richieste di accesso degli interessati.
Vediamo in dettaglio cosa cambia per le aziende e gli enti pubblici.
Trasparenza privacy. Utenti e consumatori hanno ormai imparato che hanno il diritto all’accesso ai dati personali trattati da imprese e pa e lo esercitano sempre più di frequente.
Le richieste di accesso sono all’ordine del giorno e gli enti hanno adeguato le loro organizzazioni alla funzione di riscontro degli interessati.
Non farlo, peraltro, significa esporsi a sanzioni amministrative per omessa o ritardata risposta. Giocoforza la risposta agli interessati è diventata una funzione non trascurabile delle aziende e delle istituzioni.
Nel diritto di accesso (articolo 15 Gdpr) c’è anche il diritto dell’interessato di conoscere “i destinatari o le categorie di destinatari” a cui sono comunicati i suoi dati personali.
Peraltro, c’è una bella differenza tra “destinatari” (singoli e precisamente identificati) e “categorie di destinatari” (generiche e, talvolta, vaghe).
E, allora, ci si è chiesti come va interpretato l’articolo 15: è il titolare del trattamento a decidere se dare i nomi dei destinatari o le astratte categorie (con il rischio che tutti optino per la seconda e, per loro, meno onerosa possibilità) oppure l’interessato può pretendere in ogni caso i nomi? È questa la domanda che la Corte suprema austriaca ha girato alla Corte Ue, nel corso di una causa tra un cittadino e la società delle Poste, la quale tratta dati personali a fini di marketing e li trasmette a propri clienti.
Il cittadino voleva sapere i nomi delle aziende/entità cui i suoi dati sono trasmessi e le Poste, dopo un iniziale rifiuto, sono rimaste molto laconiche, limitandosi a elencare le astratte categorie degli enti destinatari: imprese di vendita anche per corrispondenza, imprese informatiche, editori di indirizzi, associazioni di beneficenza, organizzazioni non governative, partiti politici.
A questo punto, la Corte suprema dell’Austria, prima di pronunciarsi sulla vicenda, ha chiesto alla Corte Ue di interpretare l’articolo 15 del Gdpr e di precisare se sia rimessa al titolare del trattamento la libertà di scegliere, a suo piacimento, se comunicare l’identità specifica dei destinatari o solamente le categorie dei destinatari, oppure se l’interessato abbia il diritto di conoscere i loro nomi.
La decisione. La Corte di giustizia Ue ha preso posizione a favore dell’interessato, affermando che il diritto di accesso previsto all’articolo 15 del Gdpr implica la possibilità per l’interessato di ottenere dal titolare del trattamento le informazioni sui destinatari specifici, ai quali i dati sono stati o saranno comunicati o, alternativamente, di scegliere di limitarsi a richiedere informazioni riguardanti le categorie di destinatari.
Il potere di scelta è nelle mani dell’interessato (cliente, consumatore, utente, dipendente, ecc.), anche se ci sono alcune marginali limitazioni.
La Corte, al riguardo, cita l’impossibilità di comunicare l’identità dei destinatari effettivi, in particolare qualora questi ultimi non siano ancora noti e aggiunge che si può respingere la richiesta di conoscere i nominativi quando la richiesta sia manifestamente infondata o eccessiva (relativa prova a carico del titolare del trattamento): in questi ultimi casi il titolare del trattamento può indicare unicamente le categorie di destinatari.
Gli effetti. La sentenza ha una portata innovativa sotto il profilo dell’organizzazione delle imprese e delle pubbliche amministrazioni.
Tra l’altro le eccezioni hanno ben scarsa rilevanza e la regola sarà quella della doverosa comunicazione dei nominativi dei destinatari di dati degli interessati.
Questo significa che imprese e pa devono saper ricostruire l’elenco dei destinatari e devono farlo anche in termini brevi (di regola un mese, e cioè il termine per la risposta alle richieste di accesso).
Per evitare le sanzioni amministrative per ritardata o mancata risposta agli interessati (articolo 12 Gdpr), non rimane altro da fare che attrezzarsi in maniera tale da osservare l’obbligo. Potrebbe essere, ad esempio, un registro dei destinatari da tenere aggiornato e abbinabile all’interessato.
Il vecchio codice. A dire il vero l’adempimento non è una novità assoluta, considerato che l’articolo 13 (abrogato) del Codice della privacy prevedeva già un obbligo per i titolari del trattamento di redigere e mettere a disposizione dell’interessato l’elenco aggiornato dei responsabili del trattamento (che rientrano tra i destinatari).
La sentenza in commento, peraltro, riguarda non solo i responsabili del trattamento, ma tutti i soggetti cui i dati sono comunicati, inclusi eventuali titolari autonomi di trattamento.
Tutela più forte. Dal punto di vista degli interessati, la sentenza in commento significa maggiore possibilità di rintracciare dove vanno a finire i dati.
Questo rende possibile esercitare presso i destinatari della comunicazione i diritti previsti dal Gdpr e cioè i diritti di rettifica, alla cancellazione (oblio), di limitazione di trattamento, di opposizione al trattamento dei suoi dati personali ed anche il diritto di agire in giudizio nel caso in cui subisca un danno.
Fonte:
