Il diritto di ottenere una «copia» dei dati personali implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati. Il suddetto diritto implica quello di ottenere copia di estratti di documenti o anche i documenti interi o, ancora, di estratti di banche dati contenenti detti dati, se ciò è indispensabile per consentire all’interessato di esercitare effettivamente i diritti conferitigli dal regolamento n. 679/2016.
Questo, in sintesi, è quanto stabilito dalla Corte di giustizia dell’unione europea che con la sentenza n. 484 del 4 maggio 2023, si è espressa sul diritto di accesso ai dati personali, chiarendo che il diritto di ottenere copia dei dati di cui all’articolo 15 del Regolamento n. 679/2016, implica, per il titolare del trattamento, il dovere di essere estremamente trasparente al fine di permettere all’interessato di realizzare in maniera tangibile il suo diritto.
Cosa era accaduto?
La CRIF è un'agenzia di consulenza commerciale austriaca che fornisce ai propri clienti informazioni sulla solvibilità di terzi.
Un cliente aveva presentato istanza di accesso ai suoi dati personali alla suddetta agenzia, richiedendo altresì la fornitura di una copia dei documenti, ossia i messaggi di posta elettronica e gli estratti di banche dati contenenti, tra l’altro, i suoi dati, «in un usuale formato tecnico; l’agenzia aveva così proceduto alla trasmissione di un elenco di dati in forma sintetica.
L’istante però non si è ritenuto soddisfatto della risposta, in quanto, a suo dire, la CRIF avrebbe dovuto, come da lui richiesto, trasmettergli una copia di tutti i documenti contenenti i suoi dati, quali i messaggi di posta elettronica e gli estratti di banche dati.
Pertanto, si è rivolto al Garante austriaco per la protezione dei dati personali.
L’autorità ha respinto il reclamo, considerando che la CRIF non aveva violato il diritto di accesso ai dati personali del ricorrente nel procedimento principale.
Allora l’istante, ricorrendo avverso la decisione del Garante, ha adito la Corte amministrativa austriaca, che ha sospeso il procedimento, demandando la questione alla Corte europea. Detto giudice si è chiesto nello specifico se il dovere di consentire l’accesso ai dati personali che risponde al diritto di accesso di cui all’articolo 15 del GDPR, si esaurisce qualora il titolare del trattamento trasmetta i dati personali sotto forma di tabella sintetica oppure se esso implica anche la trasmissione di estratti di documenti o anche di documenti interi, nonché di estratti di banche dati, nei quali sono riprodotti detti dati.
Il diritto di accesso ai dati personali
Con la sua sentenza, la Corte ha quindi chiarito il contenuto e la portata del diritto di accesso dell’interessato ai suoi dati personali oggetto di trattamento, precisando che il diritto di ottenere dal titolare del trattamento una «copia» dei dati personali oggetto di trattamento in forza dell’articolo 15, paragrafo 3, prima frase, del RGPD implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati.
Detto diritto presuppone quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati contenenti, tra l’altro, tali dati, se la fornitura di una siffatta copia è indispensabile per consentire all’interessato di esercitare effettivamente i diritti conferitigli dal GDPR, fermo restando che occorre tener conto, in proposito, dei diritti e delle libertà altrui.
Inoltre, la Corte evidenzia che la nozione di «informazioni» di cui all’articolo 15, paragrafo 3, terza frase, del GDPR si riferisce esclusivamente ai dati personali di cui il titolare del trattamento deve fornire una copia in applicazione della prima frase di tale paragrafo.
Inizialmente, la Corte procede ad un’interpretazione letterale, sistematica e teleologica dell’articolo 15, paragrafo 3, prima frase, del RGPD, il quale prevede il diritto dell’interessato di ottenere una copia dei suoi dati personali oggetto di trattamento.
La nozione di “copia” dei dati personali secondo la Corte Europea
Con specifico riferimento alla nozione di “copia”, i giudici precisano non essendo presente nel regolamento n. 679 una specifica definizione, occorre riferirsi al significato abituale di questo termine, che si riferisce alla riproduzione o alla trascrizione fedele di un originale, cosicché una descrizione puramente generale dei dati oggetto di trattamento o un rinvio a categorie di dati personali non corrisponderebbe a detta definizione.
Inoltre, dai termini di detta disposizione risulta che l’obbligo di comunicazione si ricollega ai dati personali oggetto del trattamento di cui trattasi. Dopo aver effettuato un’analisi testuale della disposizione, la Corte considera che quest’ultima conferisce all’interessato il diritto di ottenere una riproduzione fedele dei suoi dati personali, intesi in senso ampio, che siano oggetto di operazioni qualificabili come trattamento effettuato dal titolare di tale trattamento.
L’ambito di applicazione dell’articolo 15 GDPR
Per quanto riguarda il contesto in cui si inserisce l’articolo 15, paragrafo 3, prima frase, del GDPR, la Corte osserva che al paragrafo 1, lo stesso definisce l’oggetto e l’ambito di applicazione del diritto di accesso riconosciuto all’interessato, mentre al paragrafo 3 vengono precisate le modalità pratiche di esecuzione dell’obbligo che incombe al titolare del trattamento, specificando in particolare, nella prima frase, la forma in cui tale titolare deve fornire i dati personali oggetto di trattamento, vale a dire sotto forma di una «copia».
Di conseguenza, l’articolo 15 del GDPR non può essere interpretato nel senso che sancisce, al paragrafo 3, prima frase, un diritto distinto da quello previsto al paragrafo 1.
Il termine «copia» pertanto, non si riferisce a un documento in quanto tale, ma ai dati personali che esso contiene e che devono essere completi.
La copia deve quindi contenere tutti i dati personali oggetto di trattamento.
Scopo dell’articolo 15 del GDPR è quello di consentire all’interessato di verificare che i dati personali che lo riguardano siano corretti e trattati in modo lecito.
Il diritto di accesso deve essere pienamente soddisfatto, la responsabilità spetta al titolare
Inoltre, secondo la Corte, il titolare del trattamento è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni previste, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, e che le informazioni devono essere fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici, a meno che non sia l’interessato a chiedere che esse siano fornite oralmente. Ne consegue che la copia dei dati personali oggetto di trattamento, che il titolare del trattamento è tenuto a fornire, deve presentare tutte le caratteristiche che consentano all’interessato di esercitare effettivamente i suoi diritti a norma del GDPR e, pertanto, deve riprodurre integralmente e fedelmente tali dati.
Al fine di garantire che le informazioni così fornite siano facilmente comprensibili, la riproduzione di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati contenenti, tra l’altro, i dati personali oggetto di trattamento può rivelarsi indispensabile. In particolare, quando si generano dati personali a partire da altri dati o quando dati del genere derivano da campi a testo libero, vale a dire, una mancanza di indicazioni che rivelino un’informazione sull’interessato, il contesto in cui tali dati sono oggetto di trattamento è un elemento indispensabile per consentire all’interessato di disporre di un accesso trasparente e di una presentazione intelligibile di tali dati.
In caso di conflitto tra diritto di accesso e diritti e libertà altrui, vale la regola del bilanciamento
In caso di conflitto tra, da un lato, l’esercizio del diritto di accesso pieno e completo ai dati personali e, dall’altro, i diritti o le libertà altrui, la Corte ritiene che occorra effettuare un bilanciamento tra i diritti e le libertà in questione. Ove possibile, si devono scegliere modalità di comunicazione di dati personali che non ledano i diritti o le libertà altrui, tenendo conto del fatto che tali considerazioni non devono condurre a un diniego a fornire all’interessato tutte le informazioni, intendendosi con tale ultimo termine i dati personali di cui il titolare del trattamento deve fornire una copia.