Ogni persona ha il diritto di sapere a chi sono stati comunicati i suoi dati personali.
Il 12 gennaio 2023, la Corte di giustizia dell’Unione europea (CGUE) ha emesso la sentenza nella causa C-154/21, stabilendo che, nell’esercizio del diritto di accesso ai sensi dell’articolo 15 del Regolamento generale sulla protezione dei dati (GDPR), agli interessati deve essere fornito, di norma, il nome dei destinatari dei dati a cui sono stati comunicati i loro dati personali, a meno che non sia impossibile identificare i destinatari specifici o se la richiesta è manifestamente infondata o eccessiva ai sensi dell’articolo 12, paragrafo 5, del GDPR.
La questione è sorta nell’ambito di una controversia tra una persona fisica (“RW”), che chiedeva informazioni sull’identità dei destinatari a cui erano stati comunicati i suoi dati, e Österreichische Post, il principale operatore di servizi postali e logistici in Austria. In risposta a tale richiesta, la società non ha rivelato a RW l’identità dei destinatari specifici dei dati.
RW ha impugnato la risposta delle Poste austriache davanti ai tribunali austriaci, sostenendo che avrebbe dovuto ricevere, tra l’altro, un elenco dei destinatari specifici dei suoi dati.
In prima istanza, i tribunali austriaci hanno ritenuto legittimo l’approccio delle Poste austriache in quanto l’articolo 15, paragrafo 1, lettera c), del GDPR, facendo riferimento a “destinatari o categorie di destinatari”, lascia al titolare del trattamento la discrezionalità su quali informazioni comunicare all’interessato.
RW ha presentato ricorso alla Corte suprema austriaca, che ha sottoposto alla Corte di giustizia una questione di interpretazione dell’articolo 15 del GDPR.
In sintesi, la questione sottoposta alla CGUE era se il diritto di accesso di una persona interessata implichi necessariamente la necessità di ricevere informazioni sui destinatari specifici a cui i suoi dati personali sono già stati divulgati o se siano sufficienti le categorie di destinatari.
Nel suo giudizio, la CGUE ha sostenuto che l’articolo 15, paragrafo 1, lettera c), del GDPR non è esplicito e deve essere letto nel contesto più ampio degli obiettivi perseguiti dal GDPR. Secondo la Corte, per consentire alle persone di verificare la legittimità del trattamento dei loro dati e di esercitare altri diritti previsti dal GDPR, devono poter conoscere, ove possibile, l’identità specifica dei destinatari dei loro dati personali.
Osservando che i diritti di protezione dei dati non sono assoluti e riconoscendo il principio di proporzionalità, la CGUE ha chiarito che i titolari del trattamento possono respingere una richiesta di informazioni su destinatari specifici ai sensi dell’articolo 15, paragrafo 1, lettera c), del GDPR se possono dimostrare che:
- è materialmente impossibile onorare la richiesta (ad esempio, se i destinatari non sono ancora noti), oppure
- la richiesta è manifestamente infondata o eccessiva (ai sensi dell’articolo 12(5) GDPR).
Laddove tali condizioni non dovessero ricorrere, il titolare, di norma, deve fornire agli interessati i nomi dei destinatari, indipendentemente dal fatto che l’interessato abbia esplicitamente richiesto di conoscerne l’identità.
Vedi anche comunicato stampa della CGUE.
