Se l'interessato richiede una copia dei suoi dati personali deve essergli fornita una riproduzione fedele e intelligibile dei documenti che lo riguardano
Piena trasparenza sui dati personali raccolti che a richiesta dell'interessato devono essere esibiti nella forma più completa, senza però che la semplice violazione del GDPR comporti da sola necessariamente il diritto al risarcimento del danno. Con due rispettive decisioni della Corte di Giustizia europea arrivano i chiarimenti su importanti temi in materia di privacy.
Con la sentenza della Cgue nella causa C-487/21 viene chiarito che il diritto di ottenere una "copia" dei dati personali implica che sia consegnata all'interessato una riproduzione fedele e intelligibile dell'insieme dei dati. Ciò implica il diritto di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti di banche dati contenenti detti dati, se ciò è indispensabile per consentire all'interessato di esercitare effettivamente i diritti conferitigli dal GDPR.
La sentenza nella causa C 300/21 invece afferma che la mera violazione del Regolamento UE sulla protezione dei dati personali non fa sorgere un diritto al risarcimento. Ma chiarisce anche che per conferire tale diritto, non è necessario che il danno immateriale subito raggiunga una determinata soglia di gravità.
Nella causa C-487/21, la CRIF, un'agenzia di consulenza commerciale austriaca che fornisce ai propri clienti informazioni sulla solvibilità di terzi, rispondendo ad una richiesta di un privato gli ha trasmesso in forma sintetica, l'elenco dei suoi dati oggetto di trattamento. Ritenendo che tale elenco fosse insufficiente la parte ha presentato reclamo al Garante privacy che lo ha respinto. La Corte amministrativa federale, investita del ricorso, si è rivolta alla Cgue.
Con la suddetta sentenza, la Corte afferma che il diritto di ottenere dal titolare del trattamento una «copia» dei dati personali oggetto di trattamento in forza dell'articolo 15, paragrafo 3, prima frase, del GDPR implica che sia consegnata all'interessato una riproduzione fedele e intelligibile dell'insieme di tali dati. Il diritto, prosegue, presuppone quello di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di banche dati, se la fornitura è indispensabile per esercitare i diritti conferiti dal Regolamento europeo.
Partendo da un'interpretazione letterale dell'articolo 15, paragrafo 3, prima frase, del GDPR, la Corte afferma dunque il diritto dell'interessato ad ottenere una riproduzione fedele dei suoi dati personali, intesi in senso ampio, che siano oggetto di operazioni qualificabili come trattamento. Inoltre, la sentenza precisa che il termine «copia» non si riferisce a un documento in quanto tale, ma ai dati personali che esso contiene e che devono essere completi. La copia deve quindi contenere tutti i dati personali oggetto di trattamento.
Di recente la Cassazione, con ordinanza n. 9313/2023, ha affermato che banche e istituti finanziari sono sempre obbligati a rispondere alle richieste in materia di trattamento dei dati personali presentate dai soggetti interessati. "Il soggetto onerato dell'obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili - afferma la Prima sezione civile enunciando un principio di diritto - è il destinatario dell'istanza di accesso e non invece l'istante, dovendo il primo sempre riscontrare l'istanza dell'interessato, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l'ostensione".
La questione affrontata nella causa C 300/21 è invece sorta dopo che un giornale aveva raccolto informazioni sulle affinità politiche della popolazione austriaca. Con l'ausilio di un algoritmo aveva definito «indirizzi di gruppi destinatari» utilizzando criteri sociali e demografici. I dati hanno indotto l'Österreichische Post a stabilire che un determinato cittadino aveva un'elevata affinità con un determinato partito politico austriaco. Il soggetto coinvolto, che non aveva acconsentito al trattamento dei suoi dati personali, afferma di aver provato una grave contrarietà e una perdita di fiducia ed ha chiesto a titolo di risarcimento un importo di 1.000 euro.
La Corte suprema austriaca ha espresso dubbi in merito ed ha chiesto lumi alla Corte di giustizia. Nella sua sentenza odierna, la Cgue enuncia, in primo luogo, che il diritto al risarcimento previsto dal GDPR è subordinato in modo univoco a tre condizioni cumulative: una violazione del RGPD, un danno materiale o immateriale derivante da tale violazione e un nesso di causalità tra il danno e la violazione. Pertanto, qualsiasi violazione del Regolamento sulla protezione dei dati, da sola, non dà diritto al risarcimento. In secondo luogo, la Corte evidenzia che il diritto al risarcimento non è riservato ai danni immateriali che raggiungono una determinata soglia di gravità. Il GDPR infatti non menziona un requisito del genere. Infine afferma che spetta all'ordinamento giuridico di ciascuno Stato membro fissare i criteri che consentono di determinare l'entità del risarcimento.