Il Regolamento generale sulla protezione dei dati (GDPR) conferisce agli interessati il diritto di richiedere informazioni ai responsabili del trattamento dei loro dati. Come la Corte di giustizia europea (CGE) ha ulteriormente specificato il diritto all'informazione e quali linee guida offre il Comitato europeo per la protezione dei dati (EDPB).
Quattro importanti sentenze della Corte di giustizia europea sul diritto all'informazione
Il diritto di accesso è particolarmente importante perché consente agli interessati di far valere altri diritti. Questi includono la rettifica, la cancellazione o il risarcimento. La Corte di giustizia europea ritiene che il diritto di accesso sia un diritto forte e di ampia portata e lo ha confermato in diverse decisioni. Il Commissario di Stato per la protezione dei dati e la libertà di informazione della Renania Settentrionale-Vestfalia ha riassunto le sentenze più importanti della Corte di giustizia europea sul diritto di accesso nel suo 29° rapporto di attività:
Le informazioni comprendono anche l'identità dei destinatari
La Corte di giustizia europea ha stabilito che i responsabili del trattamento devono generalmente informare gli interessati dell'identità dei destinatari a cui sono stati comunicati i loro dati. L'indicazione di categorie di destinatari è sufficiente solo in casi eccezionali: Se è impossibile identificare i destinatari o la richiesta di informazioni sarebbe manifestamente infondata o eccessiva.
Questa decisione (sentenza del 12 gennaio 2023, rif. C-154/21) sottolinea l'importanza della trasparenza nel trattamento dei dati, in modo che gli interessati possano verificare se i loro dati sono trattati legalmente.
Il diritto all'informazione comprende anche i dati di log
Il diritto all'informazione comprende anche le informazioni contenute nei dati di log. Questi documentano quando e perché i dati sono stati consultati. La Corte di giustizia europea ha chiarito (sentenza del 22 giugno 2023, rif. C-579/21) che in genere è sufficiente informare gli interessati sulle interrogazioni dei dati registrati senza menzionare i nomi dei dipendenti.
L'identità dei dipendenti deve essere rivelata solo se ciò è necessario per verificare la legittimità del trattamento dei dati. Tuttavia, i diritti e le libertà dei dipendenti devono essere tenuti in considerazione.
La prima copia è gratuita anche per le cartelle cliniche dei pazienti.
La Corte di giustizia europea ha stabilito che i pazienti hanno diritto, ai sensi della legge sulla protezione dei dati, a una prima copia gratuita della loro cartella clinica, senza dover fornire motivazioni. Questa copia completa è necessaria affinché il paziente possa verificare l'accuratezza e la completezza dei propri dati.
La sentenza (del 26 ottobre 2023, rif. C-307/22) garantisce che i pazienti ricevano una copia completa e comprensibile dei loro dati, comprese informazioni come diagnosi, risultati di esami e dati di trattamento.
Il diritto alla copia è il diritto di riprodurre i dati.
Secondo la CGUE (sentenza del 4 marzo 2023, rif. C-487/21), il diritto a una copia dei dati personali implica una riproduzione fedele e intelligibile dei dati. Ciò include copie di estratti di documenti o di interi documenti, nonché di estratti di banche dati, se ciò è necessario per l'effettivo esercizio dei diritti di protezione dei dati degli interessati. I responsabili del trattamento devono tenere conto dei diritti e delle libertà di altre persone e rendere disponibili i dati in un formato elettronico di uso comune.
Suggerimento di lettura: Attuazione della direttiva NIS 2 nell'UE - lo stato attuale
Linee guida EDPB sul diritto all'informazione
Oltre alle decisioni della Corte di giustizia europea, le linee guida del Comitato europeo per la protezione dei dati (EDPB) forniscono un'assistenza completa nell'applicazione del diritto di accesso ai sensi dell'art. 15 del GDPR.
Le linee guida forniscono innanzitutto una panoramica della complessa struttura del regolamento. Esse stabiliscono i principi più importanti da osservare nell'ambito del diritto all'informazione. Vengono poi trattate in dettaglio le questioni che si pongono al responsabile del trattamento che ha ricevuto una richiesta di informazioni. Si tratta di questioni quali
- l'interpretazione e la fornitura di informazioni,
- Misure per il reperimento dei dati,
- l'importanza di una "copia dei dati" e di
- i limiti del diritto all'informazione.
Un diagramma di flusso nelle linee guida illustra le singole fasi di elaborazione di una richiesta di informazioni. A medio termine sono previste ulteriori linee guida sui diritti degli interessati, come il diritto di opposizione o il diritto alla cancellazione. Per il diritto di base all'informazione sono ora disponibili in tutta Europa spiegazioni standardizzate che ne descrivono dettagliatamente il contenuto e la gestione pratica da parte dei responsabili.
Conclusione: Il diritto di accesso previsto dal GDPR è un elemento centrale della protezione dei dati. Viene continuamente concretizzato e rafforzato dalla giurisprudenza della Corte di giustizia europea e dalle linee guida dell'EDPB. Le aziende e i responsabili del trattamento dei dati dovrebbero familiarizzare con questi requisiti. Dovrebbero inoltre assicurarsi di attuare pienamente e correttamente i requisiti per il diritto di accesso, al fine di garantire la protezione dei dati personali e i diritti degli interessati.
Suggerimento per il collegamento: Linee guida sul diritto all'informazione dell'EDPB