In data 28 marzo 2023, l’European Data Protection Board (“EDPB”) ha adottato la nuova versione delle Linee Guida 01/2022 sul diritto di accesso (“Linee Guida”), che aggiorna e fornisce nuovi chiarimenti in merito al diritto di cui all’art. 15 del Regolamento (UE) 2016/679 (“GDPR”). Le Linee Guida, che analizzano vari aspetti del diritto di accesso e forniscono indicazioni più precise su come questi debba essere attuato in diversi contesti, forniscono, in particolare, chiarimenti sulla portata del diritto di accesso, le informazioni che il titolare del trattamento deve fornire all'interessato, le principali modalità per facilitare l'accesso e la nozione di “richiesta manifestamente infondata o eccessiva”. Rispetto alle considerazioni già oggetto della prima versione, di seguito, l'analisi delle principali novità introdotte dall’EDPB con l’aggiornamento delle Linee Guida.
Verifica dell’identità dell’interessato che esercita il diritto di accesso: limiti e modalità di identificazione
L’aspetto più problematico, e che si pone con maggiore frequenza in relazione all’esercizio del diritto di accesso, riguarda l’attività di accertamento dell’identità del soggetto richiedente che il titolare del trattamento è tenuto a condurre prima di evadere la richiesta dell’interessato.
Sul punto l’EDPB ha chiarito che, sia nel caso in cui il trattamento effettuato dal titolare non richieda l’identificazione, sia nel caso in cui lo richieda (e quindi nel caso in cui l’interessato si sia registrato presso il titolare del trattamento con conseguente creazione di un personale), qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che effettua la richiesta, egli può richiedere a quest’ultimo di comunicare ulteriori informazioni necessarie per confermare dell’identità.
Seppur il GDPR non dia indicazioni relativamente alle modalità di accertamento dell’identità dell’interessato, si deve tuttavia ricondurre tale attività nell’alveo di operatività del principio di minimizzazione dei dati (ex art. 5, par. 1, lett. c del GDPR) che impone al titolare del trattamento di richiedere solo i dati personali strettamente necessari ai fini dell’autenticazione. L’EDPB raccomanda ai titolari del trattamento di implementare una procedura ad hoc di autenticazione per l’accertamento dell’identità degli interessati che esercitano il diritto di accesso. A tal proposito ritiene proporzionato, ad esempio, l’invio di un codice OTP sul numero di telefono dell’interessato (che abbia fornito il proprio numero in fase di creazione dell’account) ai fini della sua autenticazione, come parte del sistema di doppia verifica.
Inoltre, aggiunge l’Autorità, per consentire all'interessato di fornire le informazioni ulteriori necessarie per identificare i propri dati, il titolare del trattamento dovrebbe informare l’interessato circa la natura delle informazioni aggiuntive necessarie per consentire l’identificazione.
Furto di account e diritto di accesso
Ulteriori chiarimenti sono stati forniti dall’EDPB in relazione all’ipotesi di furto dell’account e successivo esercizio del diritto di accesso da parte del titolare effettivo dell’account. La specificazione si inserisce nell’ambito dell’interpretazione della locuzione contenuta all’interno dell’art. 15 del GDPR: “dati personali che lo riguardano”; ci si chiede, in buona sostanza, se il diritto di accesso copra anche i dati che sono stati raccolti a seguito del furto dell’account (e quindi riferiti alle azioni protrattesi on-line da parte del truffatore) ma comunque legati all’identità digitale dell’interessato/truffato.
L’EDPB, con un’interpretazione di portata generale (già fatta propria dal precedente WP29 nelle Linee Guida sul diritto alla portabilità dei dati) aveva già chiarito che le parole del GDPR non devono essere interpretate in modo “eccessivamente restrittivo” dai titolari: dunque, rispetto al caso in esame, l’EDPB ha ulteriormente precisato che, sebbene si ricada in situazioni in cui il legame tra i dati e più persone può sembrare confuso al titolare del trattamento, alla vittima dovrebbero comunque essere fornite informazioni su tutti i dati personali che il titolare del trattamento memorizza in relazione alla sua identità, compresi quelli che sono stati raccolti sulla base delle azioni del truffatore. In altre parole, anche dopo che il responsabile del trattamento è venuto a conoscenza del furto di identità, i dati personali associati o correlati all’identità della vittima costituiscono dati personali dell’interessato.
Il formato elettronico di uso comune
L’art. 15, comma 3, del GDPR prevede che, salvo diversa richiesta dell'interessato, ove l’interessato effettui la richiesta con mezzi elettronici, le informazioni debbano essere fornite in un “formato elettronico di uso comune”. Anche in questo caso il GDPR definisce quale sia il “formato elettronico di uso comune” più adeguato.
Al fine di determinare quale formato possa essere considerato come comunemente utilizzato nella situazione de quo, il titolare del trattamento dovrà valutare in concreto, e in modo obiettivo, se esistono formati specifici generalmente utilizzati nell'area di attività del titolare del trattamento o nel contesto specifico in cui si inserisce la richiesta dell’interessato. Allorquando, all’esito di tali valutazioni, il titolare riscontri l’inesistenza di formati generalmente utilizzabili nel contesto della richiesta, i formati aperti fissati in uno standard internazionale, come l’ISO, dovrebbero, in generale, essere considerati formati elettronici di uso comune. Tuttavia, l'EDPB non esclude la possibilità che anche altri formati possano essere considerati di uso comune ai sensi dell’articolo 15, paragrafo 3: nell’ambito della valutazione del formato elettronico, l’EDPB ritiene, infatti, che sia importante considerare la facilità con cui l’individuo può accedere alle informazioni che gli vengono fornite. Al fine di rendere il formato più accessibile all’interessato, il titolare dovrebbe prestare attenzione alla chiarezza con cui comunica all’interessato le modalità per accedere ad un file che è stato fornito in un formato specifico (come, ad esempio, quali programmi o software che potrebbero essere utilizzati).
Avv. Simona Lanna e Dott. Lorenzo Baudino Bessone
