CGUE | Caso Österreichische Post: il titolare deve fornire l’identità dei destinatari, ma la data protection non è un “diritto tiranno”
Il 12 gennaio 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata sulla portata dell’art. 15 GDPR, affermando che, in caso di comunicazione a terzi, il diritto di accesso ai dati implica l’obbligo per il titolare del trattamento di fornire all’interessato l’identità dei destinatari. Non basta, quindi, fare riferimento genericamente a categorie o gruppi di destinatari. Ciò, a meno che non sia impossibile identificare i destinatari o il titolare non dimostri che le richieste di accesso dell’interessato siano manifestamente infondate o eccessive.
Questa è l’interpretazione autentica della norma del GDPR fornita dai giudici di Lussemburgo nella sentenza RW vs Österreichische Post, a cui dovranno conformarsi tutti i giudici nazionali degli Stati membri in casi analoghi. In particolare, dovrà aderirvi l’Oberster Gerichtshof (Suprema Corte austriaca), cioè l’Autorità giudiziaria che ha effettuato il rinvio pregiudiziale della questione alla Corte.
Il procedimento giudiziario era nato dal diniego opposto dall’Österreichische Post (principale operatore di servizi postali austriaco) alla richiesta di accesso ai sensi dell’art. 15 GDPR, formulata da RW al fine di conoscere l’identità dei soggetti a cui erano stati comunicati i suoi dati. Pertanto, RW aveva citato l’Österreichische Post dinanzi ai giudici chiedendo un’ingiunzione a fornire l’identità dei destinatari.
Sia in primo grado che in appello, però, il ricorso di RW era stato respinto, poiché i giudici avevano ritenuto che il titolare potesse scegliere di indicare soltanto le categorie di destinatari – cosa che l’Österreichische Post aveva provveduto a fare, informando che i dati erano stati trasmessi per finalità di marketing a inserzionisti, imprese informatiche, editori di indirizzi, ma anche ad organizzazioni di beneficienza, ONG e partiti politici –, senza menzionare nominativamente i singoli destinatari concreti.
Così, RW si è rivolto alla Suprema Corte, la quale si è interrogata sulla corretta interpretazione dell’articolo 15 GDPR, non essendo chiaro se la norma concedesse all’interessato il diritto di avere accesso alle informazioni relative ai destinatari concreti o se il titolare del trattamento potesse scegliere discrezionalmente in che modo dare seguito alla richiesta. Perciò, i giudici dell’Oberster Gerichtshof hanno deciso di sottoporre il dubbio alla Corte di Lussemburgo.
Benché dalla lettera della norma non risulti un ordine di priorità tra i termini “destinatari” e “categorie di destinatari”, la Corte ha ritenuto che dal “contesto” in cui si colloca l’art. 15 GDPR – stando a una lettura sistematica delle norme e dei considerando del Regolamento –, si possa dedurre che il diritto di accesso ai dati non vada limitato alle sole categorie di destinatari.
Tuttavia, la Corte di Giustizia ha tenuto a sottolineare che il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e bilanciato con altri diritti. Il diritto di accesso può essere, così, limitato all’informazione sulle categorie di destinatari qualora sia impossibile comunicare l’identità dei destinatari concreti – specialmente ove questi ultimi non siano ancora noti –. Inoltre, il titolare del trattamento può rifiutare di soddisfare la richiesta dell’interessato se questa risulta manifestamente infondata o eccessiva.
Qui la Sentenza integrale.
