Abstract
La Corte di giustizia Europea (ECJ) è l’organo dell’Unione responsabile di controllare ed interpretare i Trattati dell’UE, rispondendo a casi portati alla sua attenzione da cittadini e imprese europee (Garante Privacy, 2016). In UE vige dal 2018 il Regolamento generale sulla protezione dei dati (GDPR) il cui obiettivo è quello di tutelare il trattamento dei dati personali nel territorio Europeo. A partire da gennaio 2023, sempre più casi in cui aziende non hanno provveduto a rendere noto chi tratta i dati personali degli utenti sono stati portati all’attenzione della ECJ, la quale ha quindi fornito un’interpretazione del GDPR. Questo articolo analizza tre casi sottoposti alla ECJ dall’inizio dell’anno ad oggi, osservando come il regolamento sia stato interpretato e considerando i possibili sviluppi futuri.
Autore - Gabriele Silini, Junior Researcher - Mondo Internazionale G.E.O. Politica
Gennaio 2023 – la ECJ fornisce una prima interpretazione dell’articolo 15 GDPR
Il 12 gennaio 2023 la ECJ ha per la prima volta confermato che ogni cittadino ha il diritto di essere informato su chi riceve e processa i suoi dati personali. Questa sembra essere una chiara vittoria per la trasparenza online dei cittadini Europei. La Corte ha però confermato che devono essere gli interessati a far valere il proprio diritto richiedendo di conoscere chi riceve i loro dati personali, escludendo quindi la possibilità che siano le compagnie stesse a dichiarare in automatico chi processerà le informazioni del cittadino (Hriscu, 2023).
Inoltre, la ECJ ha anche riportato due eccezioni fondamentali a questa sua decisione. Infatti, l’azienda che vende i dati personali dei cittadini può dimostrare che è impossibilitata a rendere noto chi processa i suddetti dati, o provare che la richiesta da parte del cittadino è immotivata o eccessiva basandosi sull’articolo 12 paragrafo 5 comma b del regolamento sulla protezione dei dati generali (GDPR).
Il caso di gennaio 2023 sottoposto alla ECJ proviene da una disputa nelle corti Austriache, dove RW, cittadino austriaco, ha fatto riferimento all’articolo 15 GDPR contro le poste nazionali per conoscere l’identità di chi ha processato e ricevuto i suoi dati personali. Le Österreichische Post hanno infatti dichiarato di vendere i dati personali degli utenti per fini di marketing, senza fornire una lista completa al richiedente. L’articolo 15 GDPR, a cui il cittadino fa riferimento per motivare la sua causa, enuncia i diritti di accesso del titolare del trattamento a sapere chi sta processando i propri dati personali:
«1. L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato» (Vollmer, 2023).
La Corte di giustizia Europea ha dunque interpretato l’articolo 15 GDPR come mezzo dei cittadini non solo per conoscere l’identità di chi processa i dati personali di un cittadino, ma anche e soprattutto per verificare la legalità del trattamento. Dunque, la ECJ ha dichiarato legale la richiesta di RW, creando giurisprudenza per cittadini Europei e preservandone la sicurezza online nell’Unione.
Il secondo caso – maggio 2023
Dopo questo primo caso, altri cittadini europei hanno iniziato a richiedere maggiori dettagli sulla vendita dei loro dati personali. Nel maggio 2023 la ECJ ha raggiunto la conclusione che i cittadini europei abbiano il diritto, secondo l’articolo 15 GDPR, ad una copia della lista delle entità che ricevono i dati personali. Il caso C-487/21, in cui un cittadino austriaco ha richiesto ad un’agenzia di rating del credito austriaca la lista di chi sia in possesso dei suoi dati personali. L’azienda ha però condiviso con il richiedente solo un elenco sommario dei dati trattati senza fornire un elenco dei soggetti che hanno avuto accesso ai dati (Van Quathem, 2023). Il richiedente ha dunque portato il caso alla corte amministrativa federale austriaca, la quale ha chiesto un’interpretazione alla ECJ (Crowell, 2023).
Quest’ultima , oltre a concludere che i cittadini hanno il diritto di ricevere una lista completa, ha affermato che la suddetta copia non deve violare la privacy e le libertà di altri, non specificando però se si riferisse a dati sensibili di altri cittadini o anche di imprese (Curia, 2023).
Il terzo caso – giugno 2023
Il caso più recente ad oggi risale al giugno del 2023, quando un cittadino finlandese ha portato il suo caso all’attenzione della ECJ sostenendo che, secondo il sopracitato articolo 15 GDPR, ha diritto a conoscere l’identità di chi ha processato i suoi dati personali.
Il cittadino finlandese in questione,un ex dipendente di Pankki S, una banca locale, ha chiesto di conoscere le finalità e l’identità degli ex colleghi che hanno avuto accesso ai suoi dati personali . La banca ha a sua volta dichiarato che non può rivelare l’identità dei privati che hanno avuto accesso ai suoi dati personali per violazione, per l’appunto, dei loro dati personali. Il mandante si è dunque rivolto in prima istanza alle corti nazionali finlandesi, raggiungendo la Corte amministrativa della Finlandia dell’est, la quale ha chiesto alla ECJ una pronuncia giudiziale.
La ECJ ha nuovamente analizzato l’articolo 15 GDPR tenendo in considerazione quanto deciso nei casi di gennaio e maggio 2023. Tuttavia, la ECJ ha concluso che l’articolo 15 GDPR si limita a permettere al cittadino di conoscere l’identità delle compagnie che ricevono i dati personali, non dei dipendenti di tali compagnie che usano i dati personali legalmente e secondo le istruzioni dell’azienda, in quanto questo risulterebbe in una violazione della privacy dei dipendenti (Parker, Wolters Ruckert and Van der Leeuw-Veiksha, 2023). La ECJ ha quindi dichiarato che i dipendenti di un’azienda che acquista e processa i dati personali di un cittadino non possono rientrare nel termine riceventi usato dall’articolo 15 GDPR portando maggiore chiarezza a quanto concluso anche nel caso di maggio 2023 (European Union, 2023).
Conclusioni
In conclusione, la ECJ, oltre a rendere l’Unione Europea prima nel mondo nella tutela dei dati personali dei cittadini, ha procurato validi strumenti per la trasparenza della vendita e processamento dei dati personali in UE. Come analizzato precedentemente, la Corte da gennaio 2023 è stata interessata da un numero crescente di casi in merito ed è probabile che altri casi simili emergano negli anni a venire, producendo un’interpretazione ancora più solida dell’articolo 15 GDPR.
Tuttavia, permane la necessità che debba essere il cittadino di sua iniziativa a chiedere una lista completa di chi processa i suoi dati personali, dando quindi al cittadino l’onere di fare la richiesta e portarla avanti qualora l’impresa si rifiuti di fornire un elenco completo. Va quindi sottolineato che l’articolo 15 GDPR obbliga il cittadino a presentare una richiesta di accesso, attenderne la risposta ed elaborare le informazioni, qualora ricevute, altrimenti portare il caso prima alle corti nazionali e poi all’attenzione della ECJ. Questo processo rappresenta un carico notevole per il cittadino, che potrebbe pertanto rinunciare o non avere le risorse necessarie per portare avanti la sua causa.
Nonostante sia innegabile che l’UE si sia posta ancora una volta come pioniere nella regolamentazione dei dati personali dei cittadini nel mondo, questa interpretazione dell’articolo 15 GDPR non è che un primo passo verso una maggiore trasparenza sulla vendita dei dati personali dei cittadini.
Contenuto dell’Informazione | ||
1 | Confermata | Confermato da altre fonti indipendenti; logico in sé; coerente con altre informazioni sull’argomento |
2 | Presumibilmente Vera | Non confermato; logico in sé; consistente con altre informazioni sull’argomento. |
3 | Forse Vera | Non confermato; ragionevolmente logico in sé; concorda con alcune altre informazioni sull’argomento |
4 | Incerta | Non confermato; possibile ma non logico in sé; non ci sono altre informazioni sull’argomento |
5 | Improbabile | Non confermato; non logico in sé; contraddetto da altre informazioni sul soggetto. |
6 | Non giudicabile | Non esiste alcuna base per valutare la validità dell’informazione. |
Affidabilità della fonte | ||
A | Affidabile | Nessun dubbio di autenticità, affidabilità o competenza; ha una storia di completa affidabilità. |
B | Normalmente Affidabile | Piccoli dubbi di autenticità, affidabilità, o competenza, tuttavia ha una storia di informazioni valide nella maggior parte dei casi. |
C | Abbastanza Affidabile | Dubbio di autenticità, affidabilità o competenza; tuttavia, in passato ha fornito informazioni valide. |
D | Normalmente non Affidabile | Dubbio significativo sull'autenticità, affidabilità o competenza, tuttavia in passato ha fornito informazioni valide. |
E | Inaffidabile | Mancanza di autenticità, affidabilità e competenza; storia di informazioni non valide. |
F | Non giudicabile | Non esiste alcuna base per valutare l’affidabilità della fonte. |
Bibliografia
Crowell (2023) CJEU Clarifies the Right to Obtain a ‘Copy’ of Personal Data. Available at: https://www.crowell.com/en/ins... (Accessed: 4 October 2023). 1B
Curia (2023) Judgment of the Court (First Chamber), InfoCuria. Available at: https://curia.europa.eu/juris/... (Accessed: 4 October 2023). 1A
European Union (2023) Judgment of the Court (First Chamber) of 22 June 2023. Available at: https://eur-lex.europa.eu/lega... (Accessed: 4 October 2023). 1A
Garante Privacy (2016) Cosa intendiamo per dati personali? Available at: https://www.garanteprivacy.it/... (Accessed: 4 October 2023). 2B
Hriscu, A.-M. (2023) Exercising the right to access personal data in an interconnected online world – Are we really closer to finding out who the recipients of our data are?, European Law Blog. Available at: https://europeanlawblog.eu/202... (Accessed: 4 October 2023). 1B
Parker, N., Wolters Ruckert, N. and Van der Leeuw-Veiksha, A. (2023) EU CJEU confirms broad right of access to personal data under GDPR but protects employee privacy, Allen & Overy. Available at: https://www.allenovery.com/en-... (Accessed: 4 October 2023). 1B
Van Quathem, K. (2023) CJEU Clarifies the Right to Obtain a Copy of Personal Data under the GDPR, Inside Privacy. Available at: https://www.insideprivacy.com/... (Accessed: 4 October 2023). 1B
Vollmer, N. (2023) ‘Articolo 15 EU regolamento generale sulla protezione dei dati (EU-RGPD)’. 1A