L’esercizio del diritto di accesso ai dati personali al vaglio di un arecente sentenza del Tribunale di Salerno.

Premessa

L’articolo 5 stabilisce i principi in materia di trattamento dei dati personali, che corrispondono, per una buona parte, a quelli di cui all’articolo 6 della direttiva 95/46/CE. Tra i nuovi elementi aggiunti si trovano il principio di trasparenza, la precisazione del principio di minimizzazione dei dati e l’introduzione di una responsabilità generale del Responsabile del trattamento. Si richiamano, brevemente, i principi enunciati nell’articolo 5 del Regolamento.

Il principio di trasparenza previsto dal Regolamento, è, forse, il principio che maggiormente è divenuto oggetto dell’intervento modificativo operato dal Legislatore europeo, volto a rafforzarne la portata.

Il nucleo è il seguente: le informazioni che il Titolare del trattamento deve fornire all’interessato con riferimento alle modalità di trattamento dei suoi dati, devono sempre essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

Nel caso, poi, l’interessato effettui una richiesta specifica chiedendo l’accesso ai dati, la rettifica, la cancellazione, una limitazione del trattamento, o la portabilità degli stessi, le informazioni oggetto della richiesta devono essere rese senza ritardo e, al più tardi, entro un mese dal ricevimento della richiesta (se ci sono comprovate difficoltà nel reperimento dei dati il termine può essere prorogato di altri 30 g.).

I diritti poco sopra citati devono poter sempre essere esercitati in modo gratuito, e il Titolare del trattamento può ottemperare o meno la richiesta Qualora egli decidesse di non ottemperare alla richiesta deve, comunque, entro un mese, comunicare all’interessato il diniego e la sua motivazione, nonché informarlo della possibilità di proporre reclamo innanzi alle Autorità di controllo o innanzi alle Autorità giudiziarie.

Modalità per raggiungere la trasparenza

Per quanto concerne le modalità tramite le quali le informazioni devono essere fornite, il Regolamento prevede che il Titolare del trattamento predisponga i mezzi per inoltrare le richieste per via elettronica, in particolare nel caso in cui i dati personali siano trattati con mezzi elettronici.

Qualora l’interessato presenti la richiesta mediante mezzi elettronici, le informazioni devono essere fornite in un formato elettronico “di uso comune”, salvo che vi sia un’indicazione diversa da parte dello stesso interessato.

Al fine di evitare che soggetti terzi possano venire illegittimamente a conoscenza dei dati trattati, al Titolare spetta, inoltre, il compito di verificare l’identità dell’interessato che richieda l’accesso, adottando tutte le misure ragionevoli.

All’interno del Capo II, è inserita la Sezione 1 intitolata “Trasparenza e modalità” con il fine di stabilire delle regole a sostegno dell’esercizio dei diritti di accesso da parte dell’interessato. Da notare che il diritto di accesso ai propri dati personali è cosa distinta rispetto al diritto di accesso, esercitato ai sensi della l. n. 241/1990 e s.m.i.,, così come è diverso rispetto al diritto di accesso civico (cd. di primo conio) ed il diritto di accesso generalizzato (d.lgs. n. 97/2016), che si rifà per alcuni aspetti al al cd. FOIA (Fredom Of information Act).

Commento all’articolo

L’articolo in commento, si ispira in particolare alla risoluzione di Madrid (adottata il 5 novembre 2009 dalla Conferenza internazionale dei commissari in materia di protezione dei dati e della vita privata sulle norme internazionali sulla protezione dei dati personali e della vita privata), introduce l’obbligo per i responsabili del trattamento di fornire informazioni trasparenti, comprensibili e facilmente accessibili.

Si rimarca che le informazioni richieste dall’interessato gli devono essere rilasciate in forma chiara ed esaustiva; se l’interessato ne ha fatto espressa richiesta le informazioni gli possono esser date anche oralmente, purchè l’interessato stesso sia stato debitamente identificato. A tale proposito, il Considerando (58) richiede che le informazioni “destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione”, oltre ad essere caratterizzate da un linguaggio “semplice e chiaro” . (par. 1)

È fatto obbligo al Titolare di agevolare le richieste di accesso che pervengono dall’interessato e a tale scopo è utile (se non addirittura necessario) predisporre un Regolamento interno all’ente/azienda con il quale tracciare i passaggi necessari da compiere per adempiere correttamente, e nel rispetto della tempistica prevista, agli obblighi di trasparenza. Il Considerando (59) a tale riguardo prevede che il titolare adotti “meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione”. (par. 2)

Il termine entro il quale fornire il riscontro all’interessato è di 30 giorni, che possono essere raddoppiati (60 giorni) se ci sono oggettive difficoltà nel riscontrare l’istanza (quindi non più i 15 gg. più 15 gg. previsti dalla precedente normativa). (par. 3)

Se non ottempera alla richiesta dell’interessato, il Titolare deve comunicarglielo entro 30 giorni, indicandogli anche le modalità per proporre, eventualmente, reclamo all’Autorità di controllo o ricorso giurisdizionale. A differenza del passato in cui l’interessato che presentava una istanza di accesso poteva scegliere se dettagliarla o meno, il Regolamento richiede la sua cooperazione per evitare un impiego di risorse inutile e sproporzionato al Responsabile del trattamento. (par. 4)

Le informazioni richieste vengono rilasciate gratuitamente a meno che nel caso di manifesta infondatezza delle stesse o loro ripetitività può essere addebitato all’interessato un rimborso delle spese sostenute. La infondatezza della richiesta, così come la sua eccessività, deve essere dimostrata dal Titolare. (par. 5)

In fase di identificazione del richiedente il Titolare, se persistono dubbi sulla sua identità, può richiedergli ulteriori informazioni in merito. (par. 6)

Il rilascio delle informazioni può avvenire anche attraverso la predisposizione di icone tali da rendere più facilmente visibili, intelligibili e leggibili le informazioni stesse. (par. 7)

Nel rilascio delle informazioni richieste, sempre nell’ottica di una maggiore trasparenza, si può ricorrere all’utilizzo di icone standardizzate. (par. 8)

Profili sanzionatori

Il Titolare e il Responsabile che violano le prescrizioni di cui all’articolo 12 sono soggetti a sanzioni amministrative pecuniarie fino a 20 milioni di euro e se è una impresa fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. (art. 83, par. 5, lett. b)

Il caso

A fronte di una richiesta di accesso compiuta da un utente nei confronti di una compagnia di telefonia, quest’ultima si era opposta sostenendo che la mancata risposta positiva fosse giustificabile in base alla normativa di settore; oltre che alla necessità di dovere allegare alla richiesta una procura o una delega sottoscritta. (cosa non avvenuta)

Pertanto, la compagnia telefonica, correttamente, non riscontrava la richiesta e non consegnava copia della documentazione richiesta (i.e., il contratto)

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

L’esercizio del diritto di accesso ai dati personali al vaglio di una recente sentenza del Tribunale di Salerno.

About Author / Davide De Luca

Le registrazioni tra presenti, che avvengano all’insaputa dei presenti ad una conversazione sono legittime ed utilizzabili per fare valere un proprio diritto di difesa.

Recepito dall’Italia il 𝐑𝐞𝐠𝐨𝐥𝐚𝐦𝐞𝐧𝐭𝐨 𝐃𝐎𝐑𝐀: 𝐬𝐮𝐥𝐥𝐚 𝐫𝐞𝐬𝐢𝐥𝐢𝐞𝐧𝐳𝐚 𝐨𝐩𝐞𝐫𝐚𝐭𝐢𝐯𝐚 𝐝𝐢𝐠𝐢𝐭𝐚𝐥𝐞

Lascia un commento Annulla risposta