In una recente sentenza la Corte di Giustizia dell’Unione Europea ha stabilito il principio secondo cui l’interessato che faccia richiesta di accesso ai propri dati personali ha diritto di conoscere esattamente chi sono i destinatari a cui gli stessi sono stati trasferiti.
Tale pronuncia nasce dal ricorso di un cittadino austriaco nei confronti del principale servizio postale del suo paese che comunicava i dati degli utenti a società terze per finalità di marketing. Esercitando il diritto di accesso ai sensi dell’art. 15 GDPR e nonostante diversi tentativi, l’interessato non aveva mai ricevuto l’indicazione puntuale di quali terzi avessero ricevuto i suoi dati personali.
Ed ecco così che il procedimento arrivava fino alla CGUE, dinanzi alla quale il servizio postale eccepiva un mancato obbligo di fornire i dettagli specifici sui terzi che hanno ricevuto i dati, potendo indicarli genericamente, per categorie, seguendo il dettato della lettera dell’art. 15/1 GDPR che pare offrire un’alternativa, priva di condizioni o priorità, tra destinatari o categorie di destinatari.
Pertanto avrebbe rispettato la trasparenza nella misura richiesta dalla normativa europea, senza incorrere in alcuna violazione.
La Corte ha ribattuto con una sua interpretazione netta e contraria, combinando il dato letterale dell’art. 15 GDPR agli altri diritti collegati e domandandosi come potrebbe un interessato esercitare i propri diritti verso terzi destinatari – che hanno ricevuto i dati personali – se il primo titolare, quello d’origine del flusso, omettesse di comunicare i dettagli precisi che identificano tali terzi.
Pertanto, per la CGUE ciò rappresenterebbe una lesione dei diritti riconosciuti dal GDPR e dei principi ad esso sottesi: il diritto di accesso rappresenta il cuore del sistema di protezione, senza il quale verrebbe meno il senso dell’intera tutela normativa, e va pertanto tutelato nella maggior misura possibile.
Con riguardo all’opzione sopra citata tra ‘destinatari’ e ‘categorie di destinatari’ la Corte ricostruisce il diritto in parola precisando che, in sede di accesso, l’interessato ha facoltà di scelta, potendo richiedere le categorie così come il dettaglio dei destinatari, con le seguenti eccezioni: la prima eccezione si ha qualora sia “impossibile” identificare i destinatari; la seconda si ha qualora le richieste di accesso dell’interessato siano “manifestamente infondate o eccessive”, come previsto dall’art. 12/5 GDPR.
Nelle predette eccezioni si potrà utilizzare la mera categoria di destinatari nel replicare all’interessato, gravando comunque sul titolare l’onere di comprovare i requisiti per l’applicazione delle eventuali eccezioni che, ricordiamo, potrebbero sussistere normativamente a livello nazionale o sovranazionale.