Il diritto di sapere se qualcuno ha e usa i nostri dati.
Una recente sentenza della Corte di Giustizia dell’Unione Europea (causa C-154/21) aprirà probabilmente una nuova fase di adempimenti per le imprese.
Molto in breve, la decisione stabilisce che, quando esercitiamo il diritto di accesso previsto dall’art. 15 del Gpdr, l’azienda che tratta i nostri dati personali deve indicare, nella risposta, salvi casi particolari, anche i nomi dei destinatari cui i dati vengono trasferiti.
Il diritto di accesso, probabilmente il primo e più importante diritto di cui disponiamo, prevede il diritto di sapere se una determinata organizzazione stia trattando i nostri dati e, in caso positivo, di sapere anche diverse altre cose, come per esempio il perché (le finalità del trattamento), le categorie (dati comuni, dati di tipo “sensibile”), i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione e altre specifiche circostanze ricordate dall’articolo menzionato.
Stabilire, come ha fatto la Corte, che l’interessato abbia diritto di ottenere informazioni sui destinatari specifici a cui i dati sono o saranno comunicati, porta con sé alcune questioni, che molto probabilmente faranno sì che le aziende debbano modificare alcune prassi.
L’accesso cui abbiamo diritto come interessati, infatti, prevede che a nostra richiesta, che tra l’altro non deve nemmeno rivestire particolari formalità, ci vengano indicate, con precisione:
- le finalità del trattamento (il perchè vengono trattati i dati),
- le categorie di dati trattati (dati comuni o particolari),
- i destinatari o le categorie di destinatari cui i dati sono o saranno comunicati e, in particolare, se i destinatari si trovano in paesi terzi o siano organizzazioni internazionali e, in questi casi, anche se esistano garanzie idonee per tali trasferimenti,
- il periodo di conservazione dei dati o, se questo non sia esattamente previsto, i criteri utilizzati per determinarlo,
- l’esistenza del diritto alla rettifica dei dati inesatti o alla cancellazione,
- l’esistenza dei diritti di limitazione e di opposizione al trattamento,
- l’esistenza del diritto di proporre un reclamo ad una Autorità di controllo come il Garante della Privacy,
- se i dati non fossero stati raccolti direttamente da noi, tutte le informazioni disponibili sulla loro origine,
- l’esistenza di eventuali processi decisionali automatizzati, compresa l’eventuale profilazione, e anche le logiche utilizzate in tali processi, unitamente all’importanza e alle possibili conseguenze di tale trattamento.
Come si vede, da un lato lo scopo del diritto di accesso è quello di fornirci un controllo effettivo, teso a darci consapevolezza e chiarimenti sul trattamento effettuato sui nostri dati ma, al contempo, anche quello di consentire, nel caso un qualche trattamento sia in corso, di esercitare gli altri diritti previsti negli articoli successivi (dal 16 al 22).
La sentenza della Corte, che tra l’altro è in linea con le indicazioni del gruppo dei Garanti Europei EDPB espresse nelle Linee Guida 01/2022, prevedendo la necessità di fornire, nella risposta, anche “informazioni sui destinatari specifici” cui i dati sono comunicati” ed escludendo da tale necessità solo i casi in cui sia realmente impossibile farlo perché non sono ancora noti, impone, come intuibile, un sovrappiù di sforzi di compliance alle aziende.
Innanzi tutto relativamente alla necessità di rivedere le informative sul trattamento dei dati personali.
Si tratta, in certi contesti, di diversi documenti, che andranno probabilmente rivisti e rimessi a disposizione degli interessati (dipendenti, clienti, prospect, fornitori, visitatori del sito, destinatari delle comunicazioni di marketing, delle newsletter, ecc.): anche gli artt. 13 e 14, infatti, sugli obblighi informativi, prevedono una specifica voce destinata alla indicazione delle categorie dei destinatari: molto probabile, dunque, che per conformarsi compiutamente si debba lavorare anche su queste.
Un altro importante settore nel quale l’indicazione specifica dei destinatari avrà certamente impatto è quello degli allegati ai contratti relativi all’affidamento di trattamenti di dati personali ai fornitori, soprattutto nei campi e settori più tecnologici, come quello dei servizi IT, della gestione di servizi di web marketing e comunicazione, dello sviluppo e dell’implementazione del software e, ovviamente, quello della fornitura dei servizi cloud (SaaS, PaaS, IaaS, ecc., sebbene, ovviamente, i grandi player abbiano uffici legali molto attenti a questi sviluppi e la stragrande maggioranza presenti, oggi, Clausole e addendum DPA piuttosto completi).
L’art. 28 del Gdpr, dedicato alle indicazioni, agli obblighi e alle responsabilità dei fornitori nei casi in cui a questi ultimi vengano affidate operazioni di trattamento di dati, impone infatti al Titolare, ossia all’organizzazione che si avvale di tale outsourcer, di precisare con dovizia di particolari molti aspetti del rapporto.
Uno di questi aspetti è proprio l’eventuale autorizzazione al fornitore di servirsi di ulteriori subfornitori. Laddove vi siano, sarà importante, in conseguenza del visto approccio, indicare in modo particolareggiato non solo, ovviamente, i propri responsabili direttamente individuati (indicando anche il luogo di trattamento…) ma ulteriormente precisando l’utilizzo, il nominativo e l’ubicazione dei subresponsabili.
Infine, un ulteriore possibile sviluppo di questo trend, che potrebbe caratterizzare aziende di grandi dimensioni è, come notato da autorevoli esperti, un uso quanto meno disinvolto del diritto di accesso da parte di lavoratori insoddisfatti che, anche senza reali (per quanto più legittimi, ovviamente) interessi, propongano istanze di accesso volutamente tese a complicare la vita dei responsabili aziendali nel periodo necessario all’adeguamento delle nuove informazioni.