È obbligo del destinatario dell’istanza di accesso ai dati personali riscontrare la richiesta, anche se la verifica ha esito negativo. In basse all’articolo 12 del regolamento europeo 679/2016 non è il richiedente a dover dimostrare che il destinatario abbia la qualità di titolare oppure di responsabile del trattamento dei dati personali di chi propone l’istanza.
Il principio è stato affermato dalla prima sezione civile della Cassazione con l’ordinanza 9313/23, del 4 aprile 2023 che ha accolto il ricorso proposto dall’interessato e caducata la sentenza del tribunale che aveva rigettato la domanda volta a far accertare l’inadempimento di una banca all’obbligo di riscontrare l’istanza di accesso ai dati personali.
Secondo i giudici di piazza Cavour ha errato il giudice del merito nel sostenere che il privato non avrebbe assolto l’onere di allegazione e prova costituito a suo carico, vale a dire la sussistenza del presupposto della responsabilità in capo alla banca.
E ciò anzitutto perché si tratterebbe di una probatio diabolica, non essendo chiaro, infatti, come il privato potrebbe dimostrare in giudizio la titolarità della banca e il relativo possesso dei dati personali che lo riguardavano.
Secondo la Suprema Corte si configura, dunque, un’illegittima inversione dell’onere della prova poiché spetta al destinatario dell’istanza d’accesso fornire sempre e comunque un riscontro all’interessato, anche in termini negativi.
Era dunque obbligatorio per la banca fornire un compiuto riscontro alla richiesta, se necessario chiedendo una proroga per effettuare eventuali verifiche poiché è il dato letterale della norma a stabilirlo in base all’articolo 12, quinto comma, Gdpr il quale dispone che «incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta».