Il controllo dei propri dati personali: appunti in materia di diritto di accesso
Il diritto di accesso ai propri dati conservati da aziende e pubbliche amministrazioni costituisce il nucleo essenziale dei diritti riconosciuti dalla normativa europea ai cittadini. Si pensi ad esempio all’accesso ai referti medici, alle cartelle sanitarie oppure ai dati del traffico telefonico. Ad ogni diritto corrisponde un obbligo. Ed in tali casi il mancato riscontro alla richiesta di accesso può comportare maxi sanzioni per le aziende.
Il Garante Privacy ha infatti inflitto una sanzione pari a 200 mila euro a Tim per non aver fornito ad un medico le informazioni sul traffico telefonico necessarie per difendersi in una causa penale.
E più recentemente, sempre il Garante privacy, ha sanzionato per 4 mila euro una società privata, che si occupa di erogare la sorveglianza sanitaria, per aver dato un riscontro inidoneo all’interessato.
Sulla base di tali importanti provvedimenti dell’Autorità e delle recenti linee guida dell’EDPB, è possibile delineare i contorni ed i tratti tipici di tale diritto.
In primo luogo, la normativa e la prassi non individuano un canale privilegiato per la ricezione di tali richieste. Ed allora, in termini organizzativi, visto che l’interessato può utilizzare qualsiasi canale per trasmettere la richiesta, sarà fondamentale individuare, pubblicare ed offrire precisi canali di ricezione per le richieste di accesso (es. form online, pec, email dedicate) e policy aziendali stringenti sulla gestione di tali richieste.
L’accesso ai propri dati è gratuito e chi riceve la richiesta non può chiedere alcun contributo, salvo nei casi in cui le richieste siano manifestamente infondate o eccessive o in caso di ulteriori copie.
In tal senso, il Garante ha ritenuto illegittimo il riscontro fornito da una Società nel quale sono state indicate genericamente le modalità con cui l’istante avrebbe potuto ottenere la copia della cartella sanitaria previo versamento dei costi di riproduzione. Infatti, commenta l’Autorità, la richiesta di accesso ai dati e alle informazioni personali contenute nella cartella sanitaria non deve essere interpretata come una richiesta di accesso agli “atti e/o documenti”, acquisibili sulla base di altre discipline ordinamentali, e che sottende al versamento di un contributo spese per i costi amministrativi.
In generale, per la tematica dell’accesso, si è assistito ad un rovesciamento della precedente prospettiva che comportava l’attivazione del diritto di accesso civico solo strumentalmente all’adempimento degli obblighi di pubblicazione; ora è proprio la libertà di accedere ai dati e ai documenti, cui corrisponde una diversa versione dell’accesso civico, a divenire centrale nel nuovo sistema, in analogia agli ordinamenti aventi il Freedom of Information Act (FOIA), ove il diritto all’informazione è generalizzato e la regola generale è la trasparenza mentre la riservatezza e il segreto eccezioni.
Quale soluzione nel caso in cui i dati possono essere acquisiti anche mediante l’attivazione di altre categorie di accesso come quello documentale, civico e generalizzato?
La prassi dimostra che potrebbe esserci un’interferenza tra l’accesso documentale e quello privacy.
La finalità dell’accesso documentale ex l. 241/90 è quella di porre i soggetti interessati in grado di esercitare al meglio le facoltà – partecipative e/o oppositive e difensive – che l’ordinamento attribuisce loro a tutela delle posizioni giuridiche qualificate di cui sono titolari. Più precisamente, dal punto di vista soggettivo, ai fini dell’istanza di accesso ex lege 241 il richiedente deve dimostrare di essere titolare di un “interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”.
Sul rapporto tra i due diritti, il Garante privacy, si è espresso in vigore della precedente normativa ma con argomentazioni tuttora valide. Il diritto di accesso di cui alla legge n. 241/1990, che si riferisce alla documentazione amministrativa e può essere esercitato dal portatore di un interesse personale e qualificato per la tutela di situazioni giuridicamente rilevanti, salvi i casi di esclusione previsti, differisce in termini di oggetto e di presupposti dai diritti introdotti dalla normativa in materia di protezione dei dati. Questi ultimi riguardano, infatti, i dati personali e possono essere esercitati dalle persone cui si riferiscono senza particolari formalità e limitazioni, ad eccezione di taluni diritti che richiedono una specifica situazione.
Da una lettura del provvedimento del Garante ci sembra di scorgere la seguente soluzione: nel caso in cui tale richiesta abbia a d oggetto i soli dati personali dell’interessato deve applicarsi la disciplina dettata dal GDPR. Infatti, si tratta di due diritti che hanno distinti presupposti giuridici e che sono riconosciuti a tutela di situazioni giuridiche differenziate tra loro.
Su tale tematica, l’Edbp, nelle recenti linee guida attualmente in consultazione, suggerisce di chiedere all’interessato di specificare la propria richiesta. Ad avviso di chi scrive, tale soluzione porterebbe il rischio di scaricare sui cittadini analisi giuridiche di tipo specialistico in contrasto con lo spirito della norma, che richiede invece immediatezza e semplicità.
Quindi, bene venga la richiesta ma che non si configuri come pretesto per ostacolare l’esercizio del diritto.
La richiesta di accesso poi non deve essere in alcun modo motivata. Una volta ricevuta dovrà darsi riscontro il più presto possibile. E tale riscontro, come anticipato, deve essere tempestivo; ed il termine di un mese, cristallizzato nel GDPR, deve essere inteso come termine massimo di risposta.
Il diritto mira ad un completo controllo dei propri dati ed infatti si estende nell’ottenere copia dei dati personali e non ad un riassunto degli stessi nonché a tutte le informazioni stabilite dall’art. 15 GDPR. Particolarmente prezioso è un recente provvedimento del Garante privacy nei confronti di una società sanzionata per 40 mila euro per aver fornito un riscontro incompleto; la società, scrive l’Autorità, avrebbe dovuto fornire al richiedente tutte le informazioni che potevano consentire al medesimo quantomeno di risalire all’origine dei dati personali detenuti, alla distribuzione delle responsabilità nell’ambito del trattamento, ai soggetti a cui i dati erano o sarebbero stati comunicati e alle modalità e finalità del trattamento e le relative basi giuridiche di liceità, oltre a garantire di aver adottato idonei accorgimenti per impedire ulteriori futuri trattamenti (ad es. inserimento del nominativo in blacklist).
Articolo ripreso da: Federprivacy.org