Dati personali, è possibile conoscere l'identità del terzo a cui sono stati comunicati?

La Corte di Giustizia Europea  si è espressa con una serie di provvedimenti (EU:C:2023:3 C-154/21 del 12 gennaio che è integrata dalla EU:C:2023:2, C-132/21) che hanno per oggetto l’interpretazione dell’art.15 §.1, Lett. c) GDPR. Viene previsto che il diritto di accesso dell’interessato ai dati personali che lo riguardano procura l’obbligo in capo al titolare del trattamento di fornire al diretto interessato la stessa identità dei destinatari/terzi a cui sono stati comunicati tali dati.

IL CASO

La discussione scaturisce da una lite tra un consumatore e le Poste austriache che utilizzavano i dati del primo al fine di cederli a terzi a scopo di marketing. Il consumatore, si richiamava al GDPR, pretendendo “l’accesso all'identità concreta dei soggetti cui erano stati ceduti i suoi dati personali”, questione al contrario negata dalle Poste che aveva comunicato solo le categorie generiche di tali terzi («inserzionisti attivi nel settore della vendita per corrispondenza e del commercio tradizionale, imprese informatiche, editori di indirizzi e associazioni quali organizzazioni di beneficienza, organizzazioni non governative (ONG) o partiti politici»).

INTERPRETAZIONE DELLA NORMA

L’interrogativo che si pone è relativo all’obbligatorietà in capo al titolare del trattamento dei dati di comunicare il nome o la categoria del terzo cui sono stati ceduti i dati dell’interessato richiedente l’accesso. 

Secondo quanto disposto dall’art. 15 del GDPR  «la persona interessata ha il diritto di ottenere dal responsabile del trattamento la conferma che sia o meno in corso un trattamento di dati personali che la riguardano e, in caso affermativo, l'accesso a tali dati personali e alle informazioni relative ai destinatari o alle categorie di destinatari cui tali dati sono stati o saranno comunicati».

L’interpretazione data dalla Corte di Giustizia Europea è tesa a stabilire un vero e proprio diritto di accesso al trattamento dei propri dati da parte dell'interessato diretto alla:

- Verifica della correttezza del trattamento;
- Verifica della liceità del trattamento;
- Conoscenza dei destinatari a cui i dati sono stati ceduti dal titolare del trattamento. 

L’interpretazione letterale dell’art. 15 del GDPR indica come il diritto di conoscenza dell’interessato nei confronti dei propri dati sia «un diritto di essere informato riguardo all'identità dei destinatari concreti nel caso in cui i suoi dati personali siano già stati comunicati». Da questo si deduce che «si deve ritenere che le informazioni fornite all'interessato a titolo del diritto di accesso previsto all'articolo 15, paragrafo 1, lettera c), del GDPRdebbano essere le più esatte possibili. In particolare, tale diritto di accesso implica la possibilità per l'interessato di ottenere dal titolare del trattamento le informazioni sui destinatari specifici ai quali i dati sono stati o saranno comunicati o, alternativamente, di scegliere di limitarsi a richiedere informazioni riguardanti le categorie di destinatari».

Si discute, infine, se tale onere sia completamente espletato nel caso di comunicazione limitata alle categorie dei destinatari. In questo senso la CGUE evidenzia come questo diritto di accesso non abbia un carattere di assolutezza. Infatti «deve essere infatti considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità» (EU:C:2020:559). 

CONCLUSIONI

Questo brevissimo approfondimento costituisce uno spunto per determinare in concreto la responsabilità del titolare del trattamento in merito al diritto di accesso dell’interessato. Si presume, come regola generale, la comunicazione dell’identità concreta dei destinatari della comunicazioni dei dati personali dell'interessato. È data però facoltà al titolare di rifiutare, previa argomentazione delle motivazioni a sostegno, la richiesta e limitarsi a comunicare le categorie delle stesse laddove i destinatari non siano ancora noti, perché non è avvenuta detta comunicazione o se la richiesta è manifestamente infondata od eccessiva ex art.12 §.5 GDPR.