Alcune recenti decisioni della Corte di Giustizia dell’Unione Europea (sentenza 12 gennaio 2023, causa C-154/21), della Corte di Cassazione (sent. 24 febbraio 2023, n. 9313) e l’European Data Protection Board, (Linee guida 1/2022 adottate il 28 marzo 2023), hanno puntualizzato alcuni aspetti della problematica relativa alla protezione dei dati e alla tutela del diritto di accesso dell’interessato.
La Corte di Giustizia dopo aver considerato che la finalità dell’accesso è quella di consentire all’interessato di verificare la legittimità della trattazione dei dati che lo riguardano, ha evidenziato la necessità della conoscenza dell’identità dei destinatari per rendere possibile il controllo sulla liceità del trattamento.
La Corte di Cassazione, dal canto suo, ha chiarito che in materia di trattamento dei dati personali il destinatario dell’istanza di accesso è tenuto a riscontrare l’istanza dell’interessato sempre, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l’ostensione.
Le “linee guida” pubblicate dall’European Data Protection Board, infine, rispondono all’esigenza di chiarimenti sulla portata e sulle modalità d’esercizio di tale diritto da parte dell’interessato, nonché sulla gestione della richiesta da parte del titolare, risolvendo le questioni interpretative circa l’applicazione concreta del diritto di accesso.
Il diritto di accesso degli interessati è sancito espressamente dalla Carta dei diritti fondamentali dell’Unione Europea, dall’art. 8 dedicato alla protezione dei dati di carattere personali, legato a doppio filo al «diritto al rispetto della vita privata e familiare», previsto dall’art 7 della medesima Carta.
Si tratta dei principi fondamentali su cui poggia l’intero regime di protezione che legittima il trattamento dei dati “secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge” e che finalizza l’accesso per verificare la liceità del trattamento medesimo.
Da ciò deriva che qualsiasi persona fisica attraverso il diritto di accesso ha il diritto di verificare che i dati personali che la riguardano siano esatti e che siano trattati in maniera lecita (art. 8). Si tratta di principi presenti nel Regolamento europeo sulla protezione dei dati personali (Reg. UE n. 2016/679 – Gdpr), che dedica un’intera sezione al tema delle informazioni e dell’accesso ai dati personali, all’obbligo del titolare del trattamento di fornire le corrette informazioni sia i dati personali siano raccolti presso l’interessato (art. 13) sia quando siano stati in altro modo ottenuti (art. 14), attraverso la previsione di modalità e condizioni per l’esercizio di un diritto dell’interessato di aver accesso, in corso di trattamento, a una serie di informazioni sul trattamento concretamente eseguito (art. 15).