Il Garante della privacy finlandese, con provvedimento del 5/5/2022 reso nel caso n. 1788/152/22, ha precisato che la limitazione al diritto di accesso ai dati e di copia, di cui al comma 4 dell’art. 15 del Regolamento europeo sulla protezione dei dati (GDPR), non si configura in assenza di una reale, concreta e comprovata violazione dei diritti e delle libertà altrui.
Indice degli argomenti
Cosa dice il GDPR
Prima di addentrarci nell’analisi del provvedimento, nonché degli eventuali risvolti a livello europeo, si rende necessario inquadrare, brevemente, il diritto di accesso di cui all’art. 15 del GDPR.
L’articolo citato stabilisce uno dei diritti che il Regolamento europeo sulla protezione dei dati attribuisce all’interessato. Detto assunto posa le sue fondamenta sul principio di trasparenza del trattamento dei dati, garantendo all’interessato di poter ottenere la conferma che sia in corso o meno un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso a tali dati, nonché di estrarre copia degli stessi.
L’articolo citato, tuttavia, nel suo ultimo comma prevede una limitazione a tale diritto, ovvero che il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui.
GDPR, come funzionano le certificazioni in ambito privacy: rischi e opportunità
Quel comma da interpretare
Proprio sull’interpretazione di questo comma si inserisce il provvedimento del Garante nordico, nato dalla richiesta, rigettata, di un interessato, rivolta all’Università di Scienze Applicate di Polizia, di ricevere le registrazioni video di una prova svolta dallo stesso.
Nello specifico, l’Università si rifiutava, alla luce del comma 4 dell’art 15 del GDPR, di fornire copia di dette registrazioni video in quanto le stesse riprendevano anche altri studenti i quali non potevano tecnicamente essere rimossi o resi anonimi. Pertanto il titolare del trattamento giustificava il proprio diniego stante la violazione del diritto alla riservatezza delle informazioni degli altri studenti.
La decisione del Garante finlandese
Sul punto il Garante scandinavo, richiamando il considerando 63 del GDPR secondo il quale il diritto di accesso e copia non dovrebbe ledere i diritti e le libertà altrui tra i quali rientra anche la protezione dei dati personali (art. 8 della Carta dei diritti fondamentali dell’Unione Europea), e l’art. 15 comma 4 del GDPR, ha precisato che “la protezione di terzi non dovrebbe essere utilizzata come pretesto per impedire rivendicazioni legittime di accesso ai dati delle persone” e che l’impossibilità di utilizzare misure tecniche per soddisfare la richiesta di accesso ai dati (ad esempio, manipolazione delle immagini come mascheramento o crittografia) non permette di lasciare completamente disattesa la richiesta.
Pertanto, prosegue il Garante, il titolare del trattamento deve valutare la richiesta in base all’articolo 15 comma 4 del Regolamento sulla protezione dei dati valutando il pregiudizio ai diritti e alle libertà altrui, anche attraverso un bilanciamento dei diritti, caso per caso sulla base dei dati disponibili nonché sulla probabilità e gravità dei rischi connessi alla fornitura di tali informazioni.
Sintetizzando, quindi, il diritto di accesso e copia non può essere negato da un generico riferimento alla privacy altrui ma è necessario comprovare il pregiudizio concreto ed effettivo dei terzi.
GDPR: quali sono le cinque tendenze chiave e cosa dobbiamo aspettarci in futuro
Un principio che vale in tutti i paesi Ue
Il principio enunciato dal Garante Finlandese appare di particolare rilevanza, essendo lo stesso applicabile in Italia e in tutti gli stati UE.
Infatti, il GDPR, in ragione della sua natura sovranazionale, statuisce al suo interno il c.d. principio di coerenza (o meccanismo di coerenza), la cui interpretazione estensiva, auspicata anche dal Considerando 123 – “Le autorità di controllo dovrebbero controllare l’applicazione delle disposizioni del presente regolamento e contribuire alla sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato interno” -, unita l’applicabilità del Regolamento sull’interno territorio dell’Unione (art. 3), ne determina l’applicazione, anche interpretativa, coerente e uniforme in tutta l’Unione.
