In questi ultimi mesi, in questo blog abbiamo proposto diversi contributi in materia di dati personali e tutela da parte del consumatore, argomento attuale e sempre più sensibile nell'epoca degli acquisti digitali.
Esiste, come ripetutamente ribadito dal garante privacy, un diritto del consumatore ad ottenere notizia in merito ai dati personali ricevuti, conservati ed utilizzati dal professionista, e all'occorrenza anche copia di quanto sottoscritto (si pensi, al contratto di acquisto di un bene o servizio avvenuto via internet).
E' attuale, a tal proposito, la pratica tanto diffusa di carpire o comunque utilizzare i dati personali, per finalità illecite o comunque per rivendere le informazioni ottenute dal consumatore.
Da tale esigenza, il legislatore comunitario ha ritenuto necessario introdurre dei limiti all'utilizzo dei dati personali da parte delle società, introducendo diritti e tutele per i consumatori.
Tali tutele, giova ricordarlo, riguardano anche specifiche materia, come ad esempio il diritto del cliente di avanzare una istanza di invio di copia dei documenti all'istituto di credito (art. 119 Testo Unico Bancario: qui un approfondimento).
Anche la nuova norma europea, richiamando le precedenti regole, tratta l’accesso ai dati personali e sensibili (prima art. 7 Codice della Privacy; ad oggi, art. 15 del Regolamento UE 2016/679).
L’idea di fondo consiste nel fatto che ogni dato personale, alla fin fine, deve essere associato ad un supporto materiale, ossia il suo involucro esterno.
A nostro avviso, è necessario affrontare brevemente la disciplina del diritto di accesso, avendo cura di evidenziarne sia le finalità che l’ambito applicativo.
1.- DIRITTO DI ACCESSO (ARTICOLI 12 E 15 G.D.P.R.)
Il Regolamento UE 2016/679 (meglio noto con la sigla GDPR), per certi versi considerato il successore del Codice della Privacy, rappresenta il complesso tentativo, in area comunitaria, di bilanciare il diritto alla privacy e all’oblio, due facce della stessa medaglia, e la (mastodontica) proliferazione della tecnologia digitale, la quale negli ultimi venti anni ha dato a quasi tutti la possibilità di accedere con un clic ad un’enorme mole di dati.
Giusto per comprendere l’importanza degli interessi coinvolti, basti ricordare che, ogni giorno, su Google LLC si processano 24 petabyte di dati, una misura mille volte superiore alla capienza della biblioteca del Congresso degli Stati Uniti. Inoltre, grazie al cloud computing, viene custodito in server posti fuori al di fuori del nostro controllo diretto un ingente patrimonio informativo, che entra a gamba tesa in rapporti strategici e vitali per stati e privati
Se, da un lato, se nella tecnologia digitale è intravisto un evidente progresso, tanto che nei documenti internazionali è stato consacrato il diritto all’accesso alla rete, dall’altro è intuibile la contropartita: quella di essere, in qualche modo, sempre presenti nella rete. Tutto ciò che è stato inserito nel web rimane, infatti, come una memoria illimitata e senza tempo. E ognuno di noi diffonde i propri dati in rete tramite operazioni banali, alle quali non presta quasi più attenzione: tra queste, scaricare una app o accedere ad un blog.
Alla luce di queste circostanze, in base a principi non troppo diversi dal passato, l’interesse del privato è (e rimane) quello di circoscrivere e autorizzare preventivamente il flusso di informazioni personali, sia dal punto di vista del contenuto che delle finalità di utilizzo. Non si dimentichi, comunque, che oggi la tecnologia ci sovraespone: quindi, il “diritto a essere dimenticati” rappresenta un punto ideale di arrivo, un’utopia. Come pure, non dimentichiamolo, è davvero difficile, oggigiorno, non interagire, ad esempio, con la pubblica amministrazione per mezzo di siti e portali, dal momento che la digitalizzazione è uno degli obiettivi strategici della PA italiana. Il binomio efficienza e digitalizzazione, infatti, costituisce un’associazione abbastanza scontata.
Poste queste premesse, si comprende, allora, perché gli articoli 13 e 14 GDPR impongono a chi tratta i dati (cioè la Società, la Pubblica Amministrazione, il libero professionista etc., la quale di solito dovrebbe nominare e inserire nel proprio organigramma un Responsabile per la protezione dei dati personali) di fornire agli interessati tutta una serie di informazioni, prima di trattare i dati. L’interessato ha diritto a conoscere:
(1) le finalità del trattamento;
(2) le categorie dei dati personali di cui il titolare è in possesso
(s’intendono i dati personali o sensibili);
(3) i destinatari cui i dati sono stati o saranno comunicati, con
speciali garanzie se questi soggetti si trovano fuori dall’Unione Europea o
sono Organizzazioni Internazionali;
(4) se possibile, si stabilisce il
limite massimo di conservazione dei dati.
La necessità di fornire dati ci deve
fare comprendere entro che limiti si
configura il diritto di accesso: esso non rappresenta uno strumento per mezzo
del quale ottenere indiscriminatamente documenti o prove. Anzi, oggetto
immediato di questo diritto (e correlativo obbligo imposto a chi custodisce)
riguarda il nostro “profilo personale”:
è possibile chiedere, infatti:
-
di conoscere finalità del trattamento dei propri dati;
-
le categorie dei dati che vengono trattate;
-
quanto verranno conservati i nostri dati e qual è stato il criterio
scelto per determinare il periodo di conservazione;
- se esiste, nei nostri riguardi, un
processo automatizzato di profilazione (appunto, poco sopra abbiamo dato atto
delle nuove potenzialità della rete) e se i nostri dati verranno trasferiti
fuori dall’Unione Europea (ad esempio, negli USA o nel Regno Unito).
In coerenza con i punti appena indicati,
con l'istanza di accesso (art. 15) si richiedono le specifiche
informazioni che la stessa disposizione individua nei paragrafi 1 e 2.
Protagonista dell’istanza è, ovviamente, una persona fisica (oppure un suo delegato)
la quale può inoltrare la propria istanza senza essere assoggettato a termini
di decadenza: in altre parole, dato che i dati permangono nella rete, allora
non esiste un limite temporale per richiederne la rimozione e, oltre a quello,
di essere resi edotti su tutto ciò che riguarda il loro trattamento.
L’interpellato deve riscontrare
l’istanza e fornire le informazioni richieste “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta
stessa”. Il termine prorogabile di due
mesi, “se necessario, tenuto conto della complessità e del numero delle
richieste”, previo onere di avviso. Va precisato che l’interessato non deve
fornire motivazioni per la sua richiesta di accesso né il titolare del
trattamento può chiederle per procrastinare il risultato dell’accesso.
Quanto al risultato finale, esso
consiste nella produzione di un supporto (digitale, analogico, oppure cartaceo)
nel quale sono registrate le informazioni, precisamente quelle informazioni che
concernono il titolare dei dati, e
non anche eventuali terzi. Il responsabile del trattamento dei dati può, tra
l’altro, imputare al titolare il rimborso degli oneri amministrativi, in particolare quando vengano richiesti dei supporti
nei quali inserire i dati personali oppure le richieste siano reputate
eccessive.
In caso di inottemperanza all’istanza, si pone alla ribalta l’inadempimento dell’interpellato: a tale riguardo, l’articolo 12, co. 4, offre all’interessato la possibilità di proporre, alternativamente un reclamo davanti all’Autorità Garante della Protezione dei Dati Personali ovvero un ricorso davanti al Giudice Ordinario.
2.- ECCEZIONI E LIMITI AL DIRITTO DI ACCESSO DELL’INTERESSATO
Come più volte precisato da parte
dell’Autorità Garante della Privacy nelle proprie schede informative, “il diritto di accesso dell'interessato non
deve ledere i diritti e le libertà altrui o ad esempio causare un pregiudizio
effettivo e concreto allo svolgimento di indagini difensive o all'esercizio di
un diritto in sede giudiziaria (v. art. 15 GDPR)”.
Questa precisazione costituisce, se
vogliamo, un freno a richieste indiscriminate (e surrettizie) di documenti interi
attinenti a rapporti con l’interessato (ad esempio, copie di contratti, sulla
falsariga dello strumento fornito dall’articolo 119 TUB, di cui abbiamo
accennato in apertura).
Vediamo meglio il motivo.
In primo luogo, è lo stesso GDPR,
all’articolo 12, a precisare che la risposta che il titolare deve fornire
all’interessato non deve essere solo “intelligibile”, ma anche “concisa,
trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice
e chiaro”.
In altre parole, al titolare viene richiesto di effettuare una sintesi e, quindi, di escludere documenti o supporti materiali nei quali questi dati sono registrati.
Inoltre, a conferma di quanto appena detto, spetta al titolare valutare la complessità del riscontro a fornire all’interessato e stabilire l’ammontare dell’eventuale (si badi bene, “eventuale”) contributo spese da chiedere all’interessato.
Se l’attività del titolare del
trattamento dei dati si riducesse alla produzione di copie di documenti, il
costo sarebbe sempre previsto per eventuali “spese di cancelleria”. Invece, per
regola generale, noi sappiamo che il contributo spese è richiesto soltanto
quando il riscontro è complesso: cioè, quando, è difficile compiere una sintesi
del profilo personale dell’istante.
3.- CONSIDERAZIONI CONCLUSIVE
Abbastanza appariscente è
l’impossibilità, almeno allo stato, di proporre ricorsi per decreto ingiuntivo, quando
l’interpellato si rifiuti di produrre i dati personali.
Alla prima, parrebbe logico ritenere che
un dato personale, per quanto immateriale quando si trova nel web, diviene un oggetto materiale quando viene
incorporato su un supporto: l’identità tra contenuto e contenitore, se non
attuale, può essere raggiunta. E altrettanto logico equiparare il documento ad
una cosa mobile che costituisce l’oggetto di un obbligo di consegna.
Queste considerazioni, tuttavia, si scontrano con la necessità, parimenti avvertita dall’ordinamento e rispondente a principi costituzionali, di sancire la sede in cui i fatti vengono allegati e provati: all’interno del processo ordinario, nel contraddittorio. Quindi, in vista del processo, per il processo e nel processo.
Nessun commento:
Posta un commento