Riscontrare le richieste di esercizio dei diritti da parte dell’interessato è un obbligo che il titolare del trattamento è tenuto ad adempiere entro il termine di un mese dalla richiesta, prorogabile di ulteriori due (art. 12.3 GDPR). In mancanza di riscontro, l’interessato può presentare reclamo all’autorità garante per la protezione dei dati personali al fine di richiedere l’applicazione di provvedimenti correttivi, fra cui rientra ad esempio l’ingiunzione di soddisfare la richiesta di esercizio dei diritti (art. 58.2 lett. c) GDPR).
Così è stato per un reclamo valutato dal Garante, concernente una richiesta rivolta da parte del legale rappresentante di una società, concernente l’accesso ai propri dati personali conferiti in occasione di una trattativa poi sfociata in un contenzioso civile, cui non era stato dato alcun riscontro. Sebbene la società destinataria della richiesta di accesso abbia adempiuto successivamente all’invito dell’Authority, il ritardo è stato valutato come una violazione dell’art. 12 GDPR e per l’effetto ha comportato l’applicazione di una sanzione di 10 mila euro.
Nel caso di cui al citato Provvedimento sanzionatorio, la società produceva copia dell’informativa, conferma del trattamento in corso e informava delle categorie di dati personali oggetto di trattamento “senza fornire all’interessato il dettaglio delle specifiche informazioni trattate”, con l’impegno di predisporre copia dei dati con addebito di un contributo spese, ritenendo “la richiesta dell’interessato è manifestamente infondata e volta ad arrecare danno alla società”.
Il riscontro ad una richiesta di accesso ai dati personali, ai sensi dell’art. 15 GDPR, consiste però nel fornire:
- una conferma o meno circa l’attività di trattamento di dati personali in corso (ivi inclusa la conservazione);
- l’accesso ai dati personali trattati e copia degli stessi;
- le informazioni sul trattamento in corso;
e l’inesatto o tardivo adempimento richiama una responsabilità in capo al titolare del trattamento, tenendo conto che anche in caso di rifiuto per impossibilità o impedimento lo stesso è tenuto a comunicare “al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.”. Sempre in ottica di accountability, anche l’onere di dimostrare un carattere manifestamente infondato o eccessivo della richiesta incombe sul titolare del trattamento (art. 12.5 GDPR).
Le difese formulate dalla società non hanno superato le contestazioni del Garante, ma possono essere un’occasione utile per trarre o confermare alcuni elementi di metodo e coordinate normative da dover tenere in considerazione per la gestione delle richieste di accesso.
Prima di tutto, il legale rappresentante di una persona giuridica è soggetto interessato al trattamento per le informazioni che fanno riferimento alla persona fisica (quali ad esempio: nome e cognome, indirizzo e-mail e numero di telefono) e non consistono in meri dati societari (quali ad esempio: ragione sociale, sede legale, dati di pagamento, dati di contatto).
Circa la dimostrazione del carattere pretestuoso della richiesta, a nulla giova opporre il fatto che l’interessato dispone già dell’informazione richiesta, né la sua consapevolezza circa la conclusione delle attività di trattamento, in quanto il diritto di accesso è verificare correttezza e completezza dei dati oggetto di trattamento. Disporre già di un’informazione circa le attività di trattamento in corso può esonerare dal rendere un’informativa nel caso di dati non ottenuti presso l’interessato (art. 14.5 GDPR), ma non dal garantire un controllo successivo all’interessato mediante richiesta di accesso.
