Ciò che per il bruco è una catastrofe, per l’intero universo è una meraviglia.
Se il battito di ali di questa meraviglia rappresenta uno spettacolo per i presenti, lo stesso non si può dire per l’altra parte del mondo travolta dal butterfly effect.
Punti di vista relativi, i cui esempi potrebbero essere lunghi come i 7 anni di sfortuna per un ultranovantenne ben felice di rompere uno specchio.
I sacrosanti diritti di cui godere, si trasformano dall’altra parte del ring in doveri da rispettare, con la bilancia che corre continuamente il rischio di pendere eccessivamente dall’una o dall’altra parte.
Il nuovo regolamento per la protezione dei dati personali ha provato a disciplinare dinamiche estremamente articolate, ma l’evoluzione dei comportamenti impongono prese di posizioni a volte apparentemente contrastanti.
L’ultimo, in ordine cronologico, dei casi in questione è ambientato in Austria.
La richiesta di accesso ai dati da parte dell’interessato
Il principale operatore di servizi postali e logistici in Austria, Österreichische Post, è il protagonista della vicenda.
Un soggetto ha inviato la richiesta di accesso ai dati per ricevere informazioni in merito all’identità dei destinatari a cui Post aveva comunicato i suoi dati personali.
Nulla di particolarmente strano, tanto è vero che l’articolo 15 del GDPR disciplina il diritto di accesso a queste informazioni:
“L’informativa deve indicare i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali”.
Niente degno di nota nemmeno nella risposta dell’operatore austriaco, che ha dichiarato di utilizzare i dati personali nella misura consentita dalla legge, nell'ambito della sua attività e che fornisce tali dati ai suoi partner commerciali per scopi di marketing, basandosi sulla possibilità di fare riferimento alla sola categoria di destinatari dei dati personali.
La presa di posizione della Corte di Giustizia Europea (CGUE) al sollecito
A rendere la vicenda interessante e creare un precedente a livello giuridico, c’è l’insistenza e l’insoddisfazione dell’interessato che coinvolge la Corte Suprema austriaca (l'Oberster Gerichtshof) che a sua volta deferisce il caso alla Corte di Giustizia Europea (CGUE).
La domanda è tanto chiara quanto di difficile soluzione: il GDPR lascia al titolare del trattamento la libertà di scegliere di rivelare l'identità concreta dei destinatari? Oppure è sufficiente indicare solo le categorie di destinatari? O ancora, conferisce all'interessato il diritto di conoscere concretamente la loro identità?
“L'interessato ha il diritto di ottenere dal titolare del trattamento informazioni sui destinatari specifici a cui i dati personali che lo riguardano sono stati o saranno comunicati.”
Il diritto di accesso può essere limitato alle informazioni su categorie di destinatari solo se è impossibile comunicare l'identità dei destinatari precisi, in particolare quando non sono ancora noti .”
Risposta perfettamente coerente con le linee guida dell’EDPB “il titolare del trattamento dovrebbe nominare i destinatari effettivi a meno che non sia possibile indicare solo la categoria dei destinatari”.
Quali conseguenza determina la sentenza della CGUE
Il GDPR impone ai titolari del trattamento la condivisione delle informazioni entro un mese, che possono diventare al massimo due in caso di complessità e numero elevato di richieste.
Questa sentenza della Corte di Giustizia Europea suona come un campanello d’allarme soprattutto nei confronti delle aziende che erroneamente non registrano i nomi dei destinatari di ciascuna categoria di dati personali.
Eppure c’è chi vede un altro tipo di allarme come Giulio Coraggio, in Gamingtechlaw: “Ci sono persone che sfruttano il proprio diritto di accesso solo per danneggiare un fornitore che non amano o il proprio datore di lavoro con cui non sono in buoni rapporti.”
Questi soggetti percepiscono quanto sia gravosa la gestione di una richiesta di diritto di accesso per una grande organizzazione e, pur non avendo alcun interesse a ricevere le informazioni richieste, esercitano un diritto di accesso per danneggiarla e chiedere il risarcimento dei danni”.
Anche perché il GDPR consente di rifiutare le richieste dell’interessato solo quando sono “manifestamente infondate o eccessive” delegando però al titolare, l’obbligo di dimostrare tali caratteristiche.