Con sentenza n.4/2023 del 12 gennaio 2023 la Corte di Giustizia europea torna sul trattamento dei dati riconoscendo il diritto ad ogni persona di sapere a chi sono stati comunicati i propri dati personali e al tempo stesso che il titolare del trattamento può limitarsi a indicare le categorie di destinatari qualora sia impossibile identificare questi ultimi o qualora la richiesta sia manifestamente infondata o eccessiva.
Un cittadino ha chiesto all’Österreichische Post, il principale operatore di servizi postali e logistici in Austria, di comunicargli l’identità dei destinatari a cui essa aveva comunicato i suoi dati personali. Il richiedente fondava la sua istanza sul diritto di accesso, espresso dall’art.15 del Regolamento (UE) 2016/679, inteso come il diritto di ottenere dal titolare del trattamento le informazioni relative ai destinatari o alle categorie di destinatari a cui i suoi dati personali sono stati o saranno comunicati.
L’Österreichische Post si è limitata ad affermare che essa utilizza dati personali, nei limiti consentiti dalla legge, nell’ambito della sua attività di editore di elenchi telefonici e che fornisce tali dati ai partner commerciali a fini di marketing.
Il cittadino ha allora citato l’Österreichische Post dinanzi ai giudici. Nel corso del procedimento giudiziario, l’ente si è difeso comunicando di aver trasmesso i suoi dati a taluni clienti, inserzionisti attivi nel settore della vendita per corrispondenza e del commercio tradizionale, imprese informatiche, editori di indirizzi e associazioni quali organizzazioni di beneficienza, organizzazioni non governative (ONG) o partiti politici.
Da qui, il ricorso alla Corte di Giustizia UE: quali dati personali si possono comunicare?
Con la sentenza 4/2022, la Corte di giustizia conferma che qualora i dati personali siano stati o saranno comunicati a destinatari, il titolare del trattamento è obbligato a fornire all’interessato, su sua richiesta, l’identità stessa di tali destinatari.
La mappatura dei destinatari è funzionale sì al diritto di accesso ma anche agli altri diritti riconosciuti dal GDPR, in particolare il titolare del trattamento, ai sensi dell’art. 19 del GDPR, è tenuto a comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali la richiesta di esercizio del diritto di rettifica, cancellazione o limitazione del trattamento, salvo che ciò si riveli impossibile od implichi uno sforzo sproporzionato (non sostenibile per l’organizzazione da un punto di vista organizzativo e/o economico) . Inoltre, sempre ai sensi dell’art. 19, il titolare del trattamento è tenuto a comunicare all’interessato tali destinatari qualora lo stesso lo richieda.
Da un punto di vista operativo la sentenza della CGUE richiama la necessità per il titolare del trattamento di tenere traccia dei destinatari a cui si comunicano i dati personali nell’esecuzione dei trattamenti. In questo modo è possibile ricostruire agilmente, in caso di richieste degli interessati, il dettaglio concreto (e non per categoria) dei destinatari a cui sono comunicati i dati personali.
Se il titolare è in grado di gestire tale dettaglio all’interno del registro, quando riceve una richiesta di accesso da un determinato interessato, come prima azione, dovrà ricondurre l’interessato all’interno della categoria di appartenenza e verificare all’interno del registro in che processi quella categoria di interessati è coinvolta. Si potrà così avere un primo elenco di destinatari, che poi dovrà comunque essere verificato sulla base della storia di quel determinato interessato che sta esercitando il diritto di accesso e sta richiedendo di conoscere i destinatari a cui sono stati comunicati i dati personali.
Diventa quindi importantissimo il “versioning” del documento, ossia la cronologia degli aggiornamenti. È necessario mantenere anche le versioni precedenti del documento e che sono state modificate. Qualora un interessato richieda di conoscere i destinatari a cui sono stati comunicati i suoi dati, si dovrà verificare quando è incominciato il trattamento e i destinatari a cui sono stati comunicati i dati dal giorno di inizio del trattamento al giorno della richiesta.
A titolo di esempio pratico: si ipotizzi che una farmacia comunichi i dati dei propri clienti a società che si occupano di servizi di telemedicina. Il cliente riceve una refertazione su carta intestata della farmacia, ma il servizio è stato svolto da soggetti terzi (e la farmacia potrebbe essersi avvalsa di più soggetti in convenzione per il servizio di telemedicina). La farmacia, in qualità di titolare del trattamento, deve poter risalire al fornitore del servizio cui ha comunicato i dati personali dell’interessato, che fa richiesta di accesso.
Un altro esempio pratico potrebbe riguardare le concessionarie e le agenzie di pratiche auto per l’immatricolazione dei veicoli. Un soggetto interessato ha diritto di sapere a quale agenzia il concessionario ha comunicato i suoi dati personali.