I diritti in materia di privacy e trattamento dati personali
Come già riportato in altri articoli pubblicati su questo portale, l’interessato (vale a dire la persona cui il dato personale si riferisce) ha diritto di chiedere al titolare del trattamento (vale a dire il soggetto che tratta il dato personale) informazioni sui propri dati personali da questi trattati.
Quest’ultimo soggetto ha il dovere di rispondere, fornendo le informazioni e le indicazioni previste dal GDPR nella sezione “diritti dell’interessato” (articoli dal 15 al 22 del Regolamento Protezione Dati Personali).
Il GDPR stabilisce anche i termini entro i quali la risposta deve essere fornita, che sono di un mese estendibile fino a 3 mesi nel caso in cui l’evasione della richiesta sia particolarmente gravosa, difficoltosa, impegnativa.
Il codice prevede inoltre che – qualora il titolare del trattamento dovesse avvalersi della suddetta proroga – egli ha in ogni caso l’obbligo di fornire una risposta entro i primi 30 giorni.
Quanto precede assicura all’interessato una risposta in tempi brevi. La stessa potrà essere risolutiva (nel senso che gli saranno comunicate le informazioni da lui richieste), oppure interlocutoria (nel senso che sarà informato che avrà risposta entro la proroga).
Non sempre però il titolare del trattamento si comporta come dovrebbe, spesso adducendo tesi inverosimili. Ed è proprio questo il caso su cui si è trovata ad esprimersi la Cassazione, e che ha risolto con l’ordinanza numero 9313 depositata il 4 aprile 2023.
La vicenda
Un uomo – ai sensi degli articoli 15 e seguenti del GDPR – ha effettuato via pec una istanza di accesso agli atti presso una banca, chiedendo conto di quali suoi dati personali questa stesse trattando. L’istituto di credito – che avrebbe avuto quindi l’obbligo di fornire un riscontro completo e tempestivo a tale istanza – si è rifiutato di rispondere, sostenendo che l’uomo non aveva dimostrato che la banca fosse titolare del trattamento, vale a dire che fosse in possesso dei suoi dati personali.
Ebbene, l’articolo 12 del Regolamento UE n. 679/2016 onera il soggetto destinatario della richiesta di accesso agli atti di fornire al richiedente informazioni in ordine all’esistenza dei dati personali, e ciò solo per effetto dell’istanza di accesso presentata dall’interessato. Ne consegue che la banca – entro i termini già sopra indicati – avrebbe dovuto fornire riscontro alla richiesta di accesso agli atti, ovvero avrebbe dovuto chiedere una proroga al fine di effettuare eventuali verifiche finalizzate ad accertare il possesso dei dati.
Al contrario l’istituto non ha fornito riscontro all’istanza, impedendo così al richiedente di conoscere l’eventuale possesso dei suoi dati personali, di verificare la legittimità della procedura di raccolta degli stessi (provenienza dei dati; base giuridica che ne giustificasse il trattamento; logiche correlate al trattamento; ecc.) e di esercitare eventualmente gli altri suoi diritti (opposizione al trattamento; blocco del trattamento; cancellazione dei dati; correzione dei dati; ecc.).
La sentenza
Secondo i Giudici della Suprema Corte, l’istituto avrebbe dovuto fornire una risposta all’interessato anche qualora il riscontro fosse stato negativo.
Infatti, affermano gli Ermellini, è il destinatario dell’istanza di accesso ai dati a dover essere considerato onerato dell’obbligo di fornire risposta in ordine al possesso o meno dei dati personali, e non può invece ritenersi l’istante onerato della prova di tale circostanza.
L’articolo 12 del GDPR, al terzo comma, chiaramente prevede l‘obbligo, per il titolare del trattamento, di fornire all’interessato le informazioni richieste ai sensi degli articoli 15-22 del Regolamento. Lo stesso articoli stabilisce anche i termini in cui ciò deve avvenire, che sono di un mese dal ricevimento della richiesta, prorogabile di altri due mesi; in tale eventualità, “Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”. In capo al titolare del trattamento sussiste quindi sempre e comunque l’obbligo di fornire una risposta; il predetto articolo 12 stabilisce inoltre chiaramente che “incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta”.
La banca ha quindi errato nel pretendere che l’uomo dimostrasse che l’istituto di credito fosse in possesso di suoi dati personali.
Lo spirito della norma sul trattamento dati
Il titolare del trattamento ha quindi sempre l’obbligo di rispondere, anche quando non possiede dati personali del richiedente.
Non è infatti possibile onerare il richiedente della dimostrazione della titolarità e del possesso, da parte del ricevente, dei dati personali che lo riguardano. Per l’interessato sarebbe impossibile dimostrare di sapere che il destinatario della sua richiesta possegga effettivamente i suoi dati personali.
Pertanto, in materia di trattamento dei dati personali, il soggetto onerato dell’obbligo di fornire risposta in ordine o meno al possesso dei dati è il destinatario dell’istanza di accesso e non l’istante, dovendo il primo sempre rispondere alla richiesta, anche in termini negativi.
