Diritto di accesso “privacy”: come comportarsi?

In questo articolo forniremo brevi indicazioni su come gestire le richieste di accesso ai dati personali avanzate dagli interessati, con particolare focus sulle richieste di accesso esercitate nei confronti delle organizzazioni.

Un approfondimento, questo, che giunge all’esito di due “eventi” recenti:

• un provvedimento (consultabile qui) dell’Autorità Garante, con cui è stata sanzionata una società che fornisce servizi di medicina del lavoro per non aver consentito ad un lavoratore l’accesso alla sua cartella clinica.
• la pubblicazione da parte dell’European Data Protection Board (“EDPB”) delle Linee guida sul diritto di accesso in materia di protezione dei dati personali, in consultazione pubblica fino agli inizi di marzo 2022.

Partiamo col comprendere in cosa consiste il diritto di accesso “privacy” e come deve essere gestito.

IN COSA CONSISTE IL DIRITTO DI ACCESSO AI DATI PERSONALI?

L’art 15 del GDPR riconosce all’interessato il diritto ad avere:

1. conferma che i suoi dati siano trattati o meno dal Titolare;
2. accesso a questi dati personali;
3. accesso alle informazioni sul trattamento, come le finalità, le categorie di dati e dei destinatari, la durata del trattamento, i diritti degli interessati e le garanzie adeguate su cui si fondano glie eventuali trasferimenti di dati in paesi terzi.

COME DEVE ESSERE CONSENTITO L’ACCESSO AI DATI?

• Occorre che il Titolare fornisca una prima copia gratuita dei dati, anche quando ritiene che il costo di riproduzione sia elevato. Ci si riferisce (solo) a una copia dei dati personali oggetto di trattamento, non necessariamente a una riproduzione dei documenti originali.
• Per ogni ulteriore copia richiesta, il titolare può addebitare un costo ragionevole basato sui costi amministrativi.
• Se l'interessato avanza un’altra richiesta per ottenere informazioni sui dati trattati in un momento diverso o relativi a una serie di dati diversi da quelli inizialmente richiesti, il diritto di ottenere una copia gratuita si applica ancora una volta perché la seconda avanzata equivale a nuova richiesta. Vale lo stesso se la prima richiesta non è stata esaustiva.
• In alcune circostanze potrebbe essere opportuno che il titolare fornisca l'accesso con modalità alternative alla copia. Tali modalità di accesso ai dati potrebbero essere, ad esempio: informazioni orali, verifica di file, accesso in loco o a distanza senza possibilità di download e sono da considerarsi adeguate solo se adottate nell'interesse della persona interessata o su sua richiesta, ma non derogano al diritto di ottenimento di una copia dei dati.

QUAL È IL TERMINE PER FORNIRE RISCONTRO?

Senza ingiustificato ritardo e al più entro 30 giorni dal momento in cui il titolare ha ricevuto una richiesta di accesso e non dal momento della sua presa conoscenza. Il termine può essere sospeso ad esempio quando è necessario verificare l’identità dell'interessato, sempre a condizione che il titolare abbia chiesto ulteriori informazioni senza indebito ritardo.

ALLA LUCE DI QUANTO DETTO, PERCHÉ LA SOCIETÀ È STATA SANZIONATA?

La Società si è limitata a fornire indicazioni sulle modalità con cui l’istante avrebbe potuto ottenere la copia della cartella sanitaria previo versamento dei costi di riproduzione.

Il Garante ha ritenuto inidoneo questo riscontro, in quanto la richiesta di accesso ai dati e alle informazioni personali contenute nella cartella sanitaria non deve essere interpretata come una richiesta di accesso agli “atti e/o documenti”, acquisibili sulla base di altre discipline ordinamentali, e che sottende al versamento di un contributo spese per i costi amministrativi. Insomma, occorre non confondere le richieste di esercizio dei diritti riconosciuti dal GDPR con quelli previsti da altre normative di settore.

Oltretutto, l’interessato ha avanzato la richiesta di accesso ai dati ben due volte, senza però ottenere alcun riscontro dalla Società. Quest’ultima, infatti, ha fornito la copia della cartella sanitaria solo dopo l’intervento dell’Autorità Garante.

IL DIRITTO DI ACCESSO ALLA LUCE DELLE ALTRE DISCIPLINE

In generale, è sempre bene ribadire che il diritto di accesso “privacy” è diverso dal diritto di accesso ai documenti amministrativi (L. n. 241/1990) tra cui sono ricomprese, ad esempio, le cartelle cliniche di enti e strutture sanitarie pubbliche o convenzionate con il Sistema Sanitario Nazionale.

A riguardo, le linee Guida dell’EDPB precisano che quando la richiesta potrebbe essere basata su normative di settore, il Titolare può richiedere all’interessato una precisazione circa il fondamento giuridico della sua richiesta.

Per approfondimenti, abbiamo pubblicato l’e-book "Trasparenza amministrativa e forme di accesso nelle procedure di gara" destinato a chi intende conoscere le varie tipologie di accesso esistenti nel nostro sistema legislativo e saper scegliere la più corretta, per interagire con una Pubblica Amministrazione sempre più trasparente e accessibile. L’e-book contiene anche un focus sul settore degli appalti pubblici volto a fare chiarezza sulla recente rivoluzione apportata in materia di accesso nelle procedure ad evidenza pubblica dalla giurisprudenza amministrativa, che ha dettato paradigmi completamente nuovi rispetto al passato e non sempre di facile comprensione per l'operatore economico.