In seguito ad alcune azioni di attivismo digitale, stanti le modalità inusuali e le novità che vengono poste sul tavolo – invero ben più ampie del singolo fatto di per sé – gli esperti di data protection e non solo hanno avuto modo di approfondire l’art. 12 GDPR nella parte in cui riguarda condizioni, limiti e modalità di riscontro alle richieste da parte dell’interessato.
Alcune premesse fondamentali di metodo. Il criterio orientativo generale cui il titolare deve conformarsi è comunque il dovere di agevolare l’esercizio dei diritti dell’interessato (art. 12.2 GDPR), e dunque di predisporre misure tecniche e organizzative in tal senso ed essere in grado di comprovarle. Allo stesso modo ogni titolare del trattamento è tenuto al termine di un mese per informare circa l’esito (positivo o negativo) della richiesta o altrimenti dell’esigenza di una proroga fino a due ulteriori mesi “tenuto conto della complessità e del numero delle richieste” (art. 12.3 GDPR). Il silenzio, dunque, comporta una violazione.
Per quanto riguarda invece le eccezioni nel caso di richieste “manifestamente infondate o eccessive” in relazione alle quali è possibile o comunicare un rifiuto o altrimenti addebitare “un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta” (art. 12.5 GDPR), è bene precisarne la portata applicativa.
Innanzitutto, il carattere manifestamente infondato o eccessivo della richiesta deve essere dimostrato dal titolare del trattamento in quanto costituisce un elemento fondamentale del processo decisionale che ha comportato un determinato esito alla richiesta di esercizio dei diritti. Dopodiché, come chiarito dall’EDPB (Guidelines 01/2022 on data subject rights – Right of access), l’interpretazione in sede applicativa delle eccezioni deve essere restrittiva e tenere conto di non compromettere il principio generale di trasparenza e di gratuità dell’esercizio dei diritti dell’interessato, dovendosi riferire necessariamente al contesto specifico della richiesta. Ad esempio, l’impiego di un linguaggio improprio non è sufficiente a far ritenere la richiesta infondata, così come il tempo e gli sforzi richiesti non possono qualificare la richiesta come eccessiva né tantomeno può esserlo l’evenienza che dalla richiesta avrà seguito un’azione giudiziaria.
Il carattere dell’infondatezza si riscontra nella carenza degli elementi costitutivi del diritto esercitato, oltre che in via generale nella mancata possibilità di identificare l’interessato o altrimenti della sua legittimazione qualora agisca per conto di terzi, nonché nell’impossibilità di individuare dati riferiti allo stesso in quanto non oggetto di trattamento da parte del titolare, ad esempio. Il carattere eccessivo è invece comprovabile facendo riferimento alla condotta dell’interessato non coerente con gli scopi dell’esercizio del diritto, così come può essere ad esempio nel condizionare una rinuncia alla richiesta in caso di ottenimento di un vantaggio da parte del titolare o altrimenti l’ipotesi contemplata dall’EDPB come malicious in intent: esclusivamente infastidire o causare disagi.
Attenzione, però: anche nell’ipotesi in cui si riscontri il carattere infondato o eccessivo della richiesta, il titolare è tenuto a informare l’interessato entro i termini della propria decisione a riguardo: rifiuto, o altrimenti condizionamento ad un “contributo spese ragionevole”, nonché essere in grado di comprovare con evidenze la propria scelta in caso di richiesta da parte dell’autorità di controllo.
