Diritto all'informazione da parte dell'interessato

Diritto all'informazione
Kategorien:

Controllo dei dati personali

Il Regolamento generale sulla protezione dei dati (GDPR) conferisce agli interessati una serie di diritti in modo che possano esercitare un controllo sul trattamento dei loro dati personali e quindi sui loro diritti personali protetti dai diritti fondamentali. Questi diritti sono comunemente indicati come gli "otto diritti fondamentali dell'interessato" e comprendono i seguenti diritti:

 

  • Diritto di rettifica (articolo 16)
  • Diritto alla cancellazione (articolo 17)
  • Diritto alla limitazione del trattamento (articolo 18),
  •  Diritto all'informazione (articolo 19)
  • Diritto alla portabilità dei dati (articolo 20)
  • Diritto di opposizione (articolo 21),
  • Il diritto di non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato (articolo 22).
  • Il diritto di accesso (articolo 15).

Il diritto di accesso non è un diritto sconosciuto. La direttiva 95/46/CE e le leggi sulla protezione dei dati degli Stati membri dell'UE prevedevano già la possibilità per l'interessato di esercitare il diritto di accesso (cfr. art. 12 della direttiva 95/46/CE; § 19 del BDSG-vecchio; art. 35(1) della legge francese sulla protezione dei dati): Art. 12 della Direttiva 95/46/CE; § 19 del BDSG-vecchio; Art. 35(1) della Legge francese sulla protezione dei dati). Tuttavia, gli interessati sono diventati più consapevoli di questo diritto solo dopo l'entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR) e la pubblicità che ha ricevuto.

 

Diritto all'informazione: di cosa si tratta?

 

Il diritto di accesso è sancito dall'art. 15 del GDPR. Esso conferisce agli interessati due diritti se sono soddisfatti i relativi requisiti. In primo luogo, l'interessato deve ricevere dal responsabile del trattamento, su richiesta, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano (diritto alla conferma). In tal caso, l'interessato ha anche il diritto di ricevere una copia dei dati personali attualmente trattati dal responsabile del trattamento (diritto di ricevere una copia).

Inoltre, il responsabile del trattamento deve fornire all'interessato ulteriori informazioni, ad esempio sulle finalità del trattamento (art. 15 par. 1 lett. a GDPR), sui destinatari dei dati personali in questione (art. 15 par. 1 lett. c GDPR) o sul periodo di conservazione dei dati personali (art. 15 par. 1 lett. d GDPR). Se un interessato esercita il proprio diritto di accesso, il responsabile del trattamento deve soddisfare la richiesta senza ritardi ingiustificati, ma almeno entro un mese dal ricevimento della richiesta, ai sensi dell'art. 12 par. 3 del GDPR. Tuttavia, in considerazione della complessità della richiesta, il responsabile del trattamento può prorogare il termine di altri due mesi (articolo 12, paragrafo 3, del GDPR).

Va notato che il diritto di accesso è un diritto altamente personale concesso all'interessato. In quanto diritto inalienabile e non trasferibile, può quindi essere esercitato solo dall'interessato e non da terzi. È limitato esclusivamente ai dati personali trattati e memorizzati sull'interessato; i dati personali di altre persone sono pertanto irrilevanti.

 

Il diritto all'informazione: un diritto di ampia portata?

 

Secondo il Considerando. 63 del GDPR, il diritto di accesso ha lo scopo di consentire agli interessati di venire a conoscenza del trattamento dei propri dati e di poter verificare la liceità di tale trattamento da parte del responsabile del trattamento.

La Corte di giustizia europea (CGUE) lo conferma nelle sue osservazioni sul diritto di accesso, in quanto, a suo avviso, altri diritti derivano direttamente dal diritto di accesso, in quanto è necessario "per consentire all'interessato, se del caso, di ottenere dal responsabile del trattamento la rettifica, la cancellazione o il blocco dei suoi dati [...]". Tuttavia, la questione della portata di questo diritto e di quali dati personali vi rientrino non ha ancora trovato una risposta definitiva.

Ai sensi dell'art. 4 comma 1 del GDPR, per dati personali si intende qualsiasi informazione relativa a una persona identificata o identificabile. Ciò include dati personali come il nome, la data di nascita, l'indirizzo e-mail o altre caratteristiche che potrebbero consentire l'identificazione di una persona, come il numero di conto, di telefono o di assicurazione nazionale. Sono compresi anche i dati sensibili, come i dati sulla salute dell'interessato (ad esempio, diagnosi, risultati di esami, dettagli di trattamenti, ecc.) Tuttavia, in una decisione del Tribunale regionale di Colonia del 19 giugno 2019, il tribunale, dopo aver riconosciuto il diritto di accesso come un diritto completo, ha deciso di limitarne la portata affermando che il diritto di accesso "non si applica a tutti i processi interni del convenuto, come le note, o al fatto che l'interessato possa ricevere tutta la corrispondenza già nota all'interessato, stampata e inviata di nuovo ", precisando che tale diritto è finalizzato a consentire all'interessato di valutare la portata e il contenuto dei dati personali conservati e non ad aiutarlo a semplificare la propria tenuta dei registri.

Tuttavia, in una sentenza del 15 giugno 2021, la Corte costituzionale federale non ha seguito l'approccio della Corte regionale di Colonia e, dopo aver sottolineato che il concetto di dati personali deve essere inteso in senso ampio, ha ritenuto che il diritto di accesso "può potenzialmente coprire tutti i tipi di informazioni, sia oggettive che soggettive, sotto forma di opinioni o valutazioni", "purché si tratti di informazioni sulla persona in questione". Per valutare se le informazioni si riferiscono a una persona interessata, è sufficiente che siano collegate a una persona specifica in virtù del loro contenuto, scopo o effetto".

Tuttavia, l'ampia interpretazione della portata del diritto di accesso è limitata dall'articolo 15, paragrafo 4, del GDPR, che stabilisce che "il diritto di ottenere una copia non deve pregiudicare i diritti e le libertà altrui". Ciò significa che il responsabile del trattamento deve tenere conto dei diritti di terzi, come i diritti di protezione dei dati, i segreti commerciali o i diritti di proprietà intellettuale, quando risponde a una richiesta di accesso ai dati. Si noti inoltre che il diritto di accesso può essere esercitato solo se il trattamento riguarda dati personali (sebbene il termine dati personali debba essere inteso in senso lato). Il diritto di accesso non si estende quindi al trattamento di informazioni generali che non sono considerate dati personali o informazioni personali. In una sentenza del 20 dicembre 2017, la CGUE ha stabilito, in un caso relativo alle risposte scritte di un candidato a un esame professionale, che le risposte di un candidato all'esame e i commenti degli esaminatori devono essere considerati "dati personali", ma non le domande d'esame, "che in quanto tali non costituiscono dati personali dei candidati". Analogamente, la Corte di giustizia europea ha ritenuto che "un'analisi giuridica, [...] sebbene possa contenere dati personali, non costituisce di per sé un dato personale". Questo approccio è stato seguito anche dalla Corte federale di giustizia tedesca, che ha concluso che "i dati sui pagamenti di commissioni a terzi" non possono essere considerati dati personali dell'assicurato e quindi non rientrano nel diritto di accesso.

 

Rischi di non rispondere a una richiesta di accesso

 

Ai sensi dell'articolo 82 (1) del GDPR, l'interessato può chiedere un risarcimento se ha subito un danno materiale o morale a causa di una violazione del GDPR. In una decisione del 5 marzo 2020, il Tribunale del lavoro di Düsseldorf ha riconosciuto a un interessato un risarcimento di 5.000 euro perché la copia dei dati personali che il responsabile del trattamento aveva fornito all'interessato era incompleta e non era stata fornita tempestivamente. L'AG Düsseldorf ha sostenuto che, a causa del ritardo di mesi, l'interessato è rimasto "all'oscuro" del trattamento dei suoi dati personali e ha quindi subito un danno morale.

Tuttavia, non tutti i tribunali tedeschi ritengono che una risposta tardiva a una richiesta di informazioni da parte di un soggetto interessato comporti la possibilità di richiedere un risarcimento danni. Nella sua decisione del 1° luglio 2021, il Tribunale regionale di Bonn ha affermato che il semplice fatto che un responsabile del trattamento non abbia risposto tempestivamente all'interessato non significa di per sé che quest'ultimo debba ricevere un risarcimento. Per far scattare l'applicazione dell'art. 82 (1) GDPR, l'interessato deve dimostrare di aver subito un danno (non materiale) a causa della risposta tardiva del responsabile del trattamento. Va notato che il concetto di "danno morale" ai sensi dell'art. 82 del GDPR è attualmente oggetto di un intenso dibattito e che la Corte di giustizia europea è stata invitata dalla Corte suprema austriaca a interpretare tale concetto ai sensi dell'art. 82 del Regolamento generale sulla protezione dei dati.

Tuttavia, un responsabile del trattamento può anche essere multato ai sensi dell'articolo 83, paragrafo 5, del GDPR: se un responsabile del trattamento viola i diritti dell'interessato, ad esempio il diritto di accesso, può essere multato fino a 20.000.000 di euro o fino al 4 % del fatturato mondiale totale annuo dell'esercizio finanziario precedente. Nel 2020, l'autorità di vigilanza francese ha imposto una multa di 2.250.000 euro a un responsabile del trattamento dei dati per aver violato diverse disposizioni in materia di protezione dei dati, tra cui l'articolo 15 del regolamento generale sulla protezione dei dati.

 

Fonti:

  1. REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
  2. Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
  3. CNIL (l'autorità di vigilanza francese), RGPD: quel bilan 6 mois après son entrée en application?, 23 novembre 2018
  4. OVG Lüneburg, 26 giugno 2019, 11 LA 274/18, ErwG. 15 - 16.
  5. CGUE, Peter Nowak v. Data Protection Commissioner, 20 dicembre 2017, C-434/16, ric. 57.
  6. Considerando. 63 del GDPR.
  7. Tribunale regionale di Colonia, 26a Sezione civile, sentenza del 19/06/2019, 26 S 13/18.
  8. Tribunale regionale di Colonia, 26a sezione civile, sentenza del 19 giugno 2019, 26 S 13/18, Racc. 39.
  9. Tribunale regionale di Colonia, 26a sezione civile, sentenza del 19 giugno 2019, 26 S 13/18, Racc. 39
  10. Tribunale regionale di Colonia, 26a sezione civile, sentenza del 19 giugno 2019, 26 S 13/18, considerando 42.
  11. Corte federale di giustizia, sentenza del 15 giugno 2021, VI ZR 576/19.
  12. Corte federale di giustizia, sentenza del 15 giugno 2021, VI ZR 576/19, Racc. 22.
  13. CGUE, Peter Nowak c. Commissario per la protezione dei dati, 20 dicembre 2017, C-434/16, ric. 58.
  14. CGUE YS v. Minister voor Immigratie, 17 luglio 2014, C-141/12, considerando 39.
  15. Corte federale di giustizia, sentenza del 15 giugno 2021, VI ZR 576/19, Racc. 28.
  16. Tribunale del lavoro di Düsseldorf, sentenza del 3 marzo 2021, 9 Ca 6557/18.
  17. Tribunale del lavoro di Düsseldorf, sentenza del 3 marzo 2021, 9 Ca 6557/18, ErwG. 111.
  18. Tribunale regionale di Bonn, sentenza del 1° luglio 2021, 15 O 372/20, Racc. 33.
  19. Corte di Cassazione, decisione del 14 aprile 2021, 6Ob120/21x.
  20. CNIL, decisione del 18 novembre 2020, n. SAN-2020-008.
Tag:
Condividi questo post :
it_ITItalian