Con la recentissima sentenza RW contro Österreichische Post AG, C‑154/21, del 12 gennaio 2023, la Corte di Giustizia chiarisce un aspetto essenziale del diritto di accesso ai dati personali: l’interessato ha il diritto di conoscere i destinatari specifici delle trasmissioni di dati, non solo le categorie degli stessi.
Ma procediamo con ordine, anche per apprezzare il rilievo sistematico e le implicazioni per i titolari del trattamento
Da che cosa nasce la questione giuridica?
Il problema dei limiti del diritto di accesso si era posto perché l’art. 15.1.c) GDPR presenta una formulazione ambigua. L’interessato ha infatti titolo di apprendere dal titolare del trattamento “i destinatari o le categorie di destinatari”. Abbiamo cioè una “o”, una disgiuntiva che apparentemente pone un’equivalenza tra due possibilità di riscontro: destinatari specifici oppure semplici categorie (es.: aziende del marketing, dell’editoria, del turismo, ecc.).
La Corte non a caso osserva che “i termini «destinatari» e «categorie di destinatari» che figurano in tale disposizione sono utilizzati in successione, senza che sia possibile dedurre un ordine di priorità tra di essi”.
Ma allora chi ha titolo di scegliere tra l’una e l’altra possibilità di riscontro, l’interessato o il titolare del trattamento?
L’accesso è espressione del potere di scelta dell’interessato sui propri dati
Il Giudice europeo scioglie l’ambiguità facendo richiamo all’obiettivo a cui è sotteso l’istituto dell’accesso, che è espressione del potere di controllo dell’interessato e presupposto per consentirgli l’esercizio degli altri diritti previsti dalla normativa.
Affinché l’interessato possa esercitare il proprio controllo sui dati, occorre che sia lui a scegliere il perimetro dell’accesso e non che questo passaggio essenziale sia discrezionalmente rimesso al titolare del trattamento.
In altre parole: se l’interesso chiede di conoscere a chi in particolare i suoi dati sono stati trasmessi, il titolare non può limitarsi al generico riferimento a categorie.
In definitiva, nota la Corte, sussiste “l’obbligo per il titolare del trattamento di fornire a detto interessato l’identità stessa di tali destinatari, a meno che sia impossibile identificare detti destinatari o che il suddetto titolare del trattamento dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive”.
Ma come si arriva a tale conclusione?
La Corte articola il ragionamento in tre passaggi.
Innanzitutto, vanno valorizzati i considerando, a dispetto di coloro che tuttora ne revocano in dubbio il pieno valore normativo. Bene, il considerando 63, collegato all’art. 15 GDPR, non fa alcuna menzione delle categorie dei destinatari, in altre parole “non precisa che tale diritto possa essere limitato alle mere categorie di destinatari”.
Seconda osservazione. I diritti – prosegue la CGUE – vanno letti in conformità con l’art. 5 GDPR, e precisamente, con il principio di trasparenza, principio che sarebbe contraddetto ove l’interessato incontrasse opacità proprio nell’identificare i punti terminali dei flussi di dati personali che lo riguardano. E’ a ben vedere il cd. “diritto di seguito” su cui molto insisteva Rodotà. Conforta che trovi conferma.
Terzo e ultimo punto, il più importante, perché è di ordine sistematico. Se il diritto d’accesso ai dati è il presupposto per l’esercizio degli altri diritti, ad esempio quello di rettifica, di limitazione, di cancellazione, di opposizione, nei confronti di chi l’interessato può azionarli se gli è impedito di individuare costoro? E’ cioè la logica intrinseca all’impianto normativo a guidare la risposta.
Pertanto, al fine di garantire l’effetto utile di tutti i diritti menzionati al punto precedente della presente sentenza, l’interessato deve disporre, in particolare, di un diritto di essere informato riguardo all’identità dei destinatari concreti nel caso in cui i suoi dati personali siano già stati comunicati
Ciò è talmente vero che la Corte valorizza il dato testuale della formulazione di un altro articolo, il 19 GDPR, ampliandone l’ambito applicativo. La disposizione “conferisce espressamente all’interessato il diritto di essere informato dei destinatari concreti dei dati che lo riguardano da parte del titolare del trattamento, nell’ambito dell’obbligo di quest’ultimo di informare tutti i destinatari dell’esercizio dei diritti di cui l’interessato dispone”.
Conclusioni
Ancora una volta, la Corte di Giustizia si conferma un baluardo di garanzia per gli interessati del trattamento, e si trova a contrastare tendenze restrittive provenienti dall’interpretazione del giudice ordinario o delle autorità di controllo. La pronuncia ha un suo precedente notevole nella decisione Rijkeboer, C‑553/07, nella quale tuttavia non si trova precisata in modo così netto l’enunciazione che va assicurata all’interessato la scelta di conoscere con esattezza i destinatari specifici dei suoi dati personali.
Il recentissimo arresto qui brevemente commentato ha implicazioni evidenti per i titolari del trattamento, che sono tenuti a porre in essere quanto necessario per ricostruire i flussi di dati personali in uscita, col solo limite delle situazioni che pongano oneri impossibili o dei casi di abuso di diritto da parte dell’interessato.