Trasparenza sui dati personali e risarcimento del danno

138

Due decisioni della Corte di Giustizia europea offrono spunti per porre in luce importanti questioni in materia di privacy.

Con la sentenza resa nella causa C-487/21 La Corte chiarisce che il diritto di ottenere una “copia” dei dati personali implica che sia consegnata all’interessato una “riproduzione fedele e intelligibile dell’insieme dei dati”.

Ciò implica il diritto di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati contenenti detti dati, se ciò è indispensabile per consentire all’interessato di esercitare effettivamente i diritti conferitigli dal GDPR. La decisione trae origine dal fatto che un’agenzia di consulenza commerciale austriaca abilitata a fornire ai propri clienti informazioni sulla solvibilità di terzi, nel riscontrare la richiesta di un privato ha trasmesso in forma sintetica, l’elenco dei suoi dati oggetto di trattamento. Ritenendo che tale elenco fosse insufficiente la parte ha presentato reclamo al Garante privacy che lo ha respinto.

La Corte EU, investita del caso, partendo da un’interpretazione letterale dell’articolo 15, paragrafo 3, prima frase, del GDPR, ha affermato il pieno diritto dell’interessato ad ottenere una riproduzione fedele dei suoi dati personali, intesi in senso ampio, che siano oggetto di operazioni qualificabili come trattamento. Inoltre, la sentenza precisa che il termine «copia» non si riferisce a un documento in quanto tale, ma ai dati personali che esso contiene e che devono essere completi. La copia deve quindi contenere tutti i dati personali oggetto di trattamento poiché il diritto di ottenere dal titolare del trattamento una «copia» dei dati personali oggetto di trattamento implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati.

advertise

Il diritto, inoltre, presuppone l’ottenimento di copia di estratti di documenti o anche di documenti interi o, ancora, di banche dati, se la fornitura è indispensabile per esercitare i diritti conferiti dal Regolamento europeo. Occorre aggiungere che anche la Giurisprudenza Italiana (Cassazione – Prima sezione civile ordinanza n. 9313/2023), ha recentemente affermato che banche e istituti finanziari sono sempre obbligati a rispondere alle richieste in materia di trattamento dei dati personali presentate dai soggetti interessati, precisando che “Il soggetto onerato dell’obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili è il destinatario dell’istanza di accesso e non invece l’istante, dovendo il primo sempre riscontrare l’istanza dell’interessato, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l’ostensione”.

Una seconda sentenza resa nella causa C 300/21, invece, afferma che la mera violazione del Regolamento UE sulla protezione dei dati personali non fa sorgere un diritto al risarcimento. Ma chiarisce anche che per conferire tale diritto, non è necessario che il danno immateriale subito raggiunga una determinata soglia di gravità.

La questione affrontata nella causa C 300/21 è invece sorta dopo che un giornale aveva raccolto informazioni sulle affinità politiche della popolazione austriaca. Con l’ausilio di un algoritmo aveva definito «indirizzi di gruppi destinatari» utilizzando criteri sociali e demografici. I dati hanno indotto l’Österreichische Post a stabilire che un determinato cittadino aveva un’elevata affinità con un determinato partito politico austriaco. Il soggetto coinvolto, che non aveva acconsentito al trattamento dei suoi dati personali, agiva chiedendo una somma di danaro a titolo di risarcimento del danno.

La Corte Europea di Giustizia, investita della questione ha affermato che il diritto al risarcimento previsto dal GDPR è subordinato in modo univoco a tre condizioni cumulative: una violazione del RGPD, un danno materiale o immateriale derivante da tale violazione e un nesso di causalità tra il danno e la violazione. Pertanto, qualsiasi violazione del Regolamento sulla protezione dei dati, da sola, non dà, di per sé, diritto al risarcimento. In secondo luogo, la Corte ha evidenziato che il diritto al risarcimento non è riservato ai danni immateriali che raggiungono una determinata soglia di gravità. Il GDPR infatti non menziona un requisito del genere. Infine afferma che spetta all’ordinamento giuridico di ciascuno Stato membro fissare i criteri che consentono di determinare l’entità del risarcimento.

Advertisement