Dalla Corte di Giustizia europea una nuova sentenza sul trattamento dei dati personali: nella causa C-487/21 | Österreichische Datenschutzbehörde e CRIF, la CGE afferma, alla luce del RGPD Regolamento europeo sui dati personali, che il diritto di ottenere una «copia» dei dati personali implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati
L’interessato ha il diritto di ottenere copia di estratti di documenti o anche di documenti interi o di estratti di banche dati contenenti detti dati, se ciò è indispensabile per consentire all’interessato di esercitare effettivamente i diritti conferitigli dal RGPD.
Nell'articolo
Il Caso CRIF: la richiesta di copia dei dati personali
Un privato ha chiesto alla CRIF, un’agenzia di consulenza commerciale che fornisce informazioni sulla solvibilità di terzi, di avere accesso ai dati personali che lo riguardavano, in particolare, una copia dei documenti, ossia i messaggi di posta elettronica e gli estratti di banche dati contenenti, tra l’altro, i suoi dati, «in un usuale formato tecnico».
La CRIF ha trasmesso, in forma sintetica, l’elenco dei suoi dati personali oggetto di trattamento. Il Privato ha promosso ricorso al Bundesverwaltungsgericht (Corte amministrativa federale austriaca), ritenendo che la CRIF avrebbe dovuto trasmettergli una copia di tutti i documenti contenenti i suoi dati, quali i messaggi di posta elettronica e gli estratti di banche dati. La corte austriaca ha quindi rinviato alla Corte di Giustizia chiedendo chiarimenti su
- la portata dell’obbligo previsto all’articolo 15, paragrafo 3, prima frase, del RGPD di fornire all’interessato una «copia» dei suoi dati personali oggetto di trattamento. Basta che il titolare del trattamento trasmetta i dati personali sotto forma di tabella sintetica oppure implica anche la trasmissione di estratti di documenti o anche di documenti interi, i estratti di banche dati, nei quali sono riprodotti detti dati?
- Cosa si intende per «informazioni» ai sensi dell’articolo 15, paragrafo 3, terza frase, del RGPD.
Cosa si intende per consegna di una copia dei dati personali
Secondo la Corte, il diritto di ottenere dal titolare del trattamento una «copia» dei dati personali oggetto di trattamento implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati presuppone quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati contenenti, tra l’altro, tali dati, ancor più se “è indispensabile per consentire all’interessato di esercitare effettivamente i diritti conferitigli dal RGPD”
Per quanto concerne la formulazione dell’articolo 15, paragrafo 3, prima frase, del RGPD, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, la Corte rileva che, sebbene tale disposizione non contenga alcuna definizione della nozione di «copia», si deve tener conto del significato abituale di questo termine, il quale designa la riproduzione o la trascrizione fedele di un originale, cosicché una descrizione puramente generale dei dati oggetto di trattamento o un rinvio a categorie di dati personali non corrisponderebbe a detta definizione.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
Articolo 15
Diritto di accesso dell’interessato
1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
a) | le finalità del trattamento; |
b) | le categorie di dati personali in questione; |
c) | i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; |
d) | quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; |
e) | l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; |
f) | il diritto di proporre reclamo a un’autorità di controllo; |
g) | qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; |
h) | l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. |
2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.
3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.
Quali “informazioni” personali possono essere copiati secondo il GDPR?
Quanto alla a nozione di «informazioni» di cui all’articolo 15, paragrafo 3, terza frase, del RGPD si riferisce esclusivamente ai dati personali di cui il titolare del trattamento deve fornire una copia in applicazione della prima frase di tale paragrafo.
Sempre secondo la Corte l’interessato ha il diritto di ottenere una riproduzione fedele dei suoi dati personali, intesi in senso ampio, e che siano oggetto di operazioni qualificabili come trattamento effettuato dal titolare di tale trattamento. Pertanto, la copia dei dati personali oggetto di trattamento, che il titolare del trattamento è tenuto a fornire, deve presentare tutte le caratteristiche che consentano all’interessato di esercitare effettivamente i suoi diritti a norma del RGPD e, pertanto, deve riprodurre integralmente e fedelmente tali dati .
Diritto di accesso ai propri dati personali: a cosa serve?
Ma a cosa serve il diritto di accesso ai dati previsto all’art. 15 del GDPR?
La Corte spiega che il diritto di accesso ai dati deve consentire all’interessato di verificare che i propri dati personali siano corretti e trattati in modo lecito. Inoltre, il titolare del trattamento è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni previste, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro; tali informazioni devono essere fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici, a meno che non sia l’interessato a chiedere che esse siano fornite oralmente.
Ulteriormente la Corte spiega che quando si generano dati personali a partire da altri dati o quando dati del genere derivano da campi a testo libero, vale a dire, da una mancanza di indicazioni che rivelino un’informazione sull’interessato, il contesto in cui tali dati sono oggetto di trattamento è un elemento indispensabile per consentire all’interessato di disporre di un accesso trasparente e di una presentazione intelligibile di tali dati. In caso di conflitto tra, da un lato, l’esercizio del diritto di accesso pieno e completo ai dati personali e, dall’altro, i diritti o le libertà altrui, la Corte ritiene che occorra effettuare un bilanciamento tra i diritti e le libertà in questione. Sempre la Corte ricorda che si devono scegliere modalità di comunicazione di dati personali che non ledano i diritti o le libertà altrui, tenendo conto del fatto che tali considerazioni non devono condurre a un diniego a fornire all’interessato tutte le informazioni.
Trattamento dati – ultime sentenze della Corte di Giustizia Europea – 2023
Trattamento dei dati: l’informazione e la formazione per il Professionista della Security
Qual è la normativa di riferimento per la security in azienda?
In materia di trattamento dei dati suggeriamo i libri di Security editi da EPC editore e dedicati alla formazione e informazione dei professionisti della security e dei lavoratori:
Protezione dei dati personali e sicurezza informatica
Compliance aziendale e modalità tecnico-comportamentali nella conduzione degli audit
a Beccara Jean Louis, Cirolini Lunelli Alessandra , Ranise Silvio
Libro
Edizione: ottobre 2023
Pagine: 176
Formato: 150×210 mm
Tutela dei dati e sicurezza informatica
Del Pizzo Alessia
E-book
Contesto normativo e strategico, studio della cybersecurity e blockchain, Cyber security del PTD, il corretto trattamento dei dati nei processi digitali e conoscenza del percorso digitale della pubblica amministrazione.
Il volume fa parte della collana “PNRR, digitalizzazione e cybersecurity”
Abc del trattamento dei dati personali
Biasiotti Adalberto
Manualistica per i lavoratori
Edizione: ristampa aggiornata marzo 2022
Pagine: 96
Formato: 115×165 mm
Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR
Castroreale Renato, Ponti Chiara
Libro
Edizione: marzo 2021
Pagine: 384
Formato: 150×210 mm
Corso di formazione e-learning sul GDPR
In materia di formazione del professionista della Security, suggeriamo il corso organizzato da Istituto Informa nel catalogo dei corsi di Security e Privacy e dedicato al GDPR
In questo corso si possono approfondire tutte le novità introdotte dal nuovo Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il corso è rivolto a tutti coloro che hanno necessità di apprendere in modo puntuale e veloce le novità introdotte dal nuovo GDPR.
Coordinamento editoriale Portale InSic.it -redattore giuridico
Laurea in Giurisprudenza in Diritto europeo (LUISS Guido Carli 2006) e Master in “Gestione integrata di salute e sicurezza nell’evoluzione del mondo del lavoro” INAIL-Sapienza (I° Ed. 2018-19).
Formatore certificato in salute e sicurezza sul lavoro dal 2017 per Istituto Informa e RLS per EPC Editore.
Esperto in sicurezza sul lavoro e amministratore del Gruppo Linkedin Ambiente&Sicurezza sul Lavoro.
Content editor e Social media per InSic.it su Linkedin e X (ex Twitter).
Contatti:
Linkedin
Mail: a.mazzuca@insic.it