Il diritto di accesso consiste, come previsto dall’art. 15, paragrafo 1 del GDPR, nel diritto in capo al soggetto interessato “di ottenere dal titolare del trattamento la conferma che sia in corso o meno un trattamento dei dati personali che lo riguardano”. In questa ipotesi l’interessato ha il diritto di ottenere l’accesso ai propri dati personali raccolti ed elaborati nell’ambito di quel trattamento e di ricevere dal titolare una serie di informazioni ad esso relative, per capire come quei dati sono stati ricevuti, per quale scopo e come vengono utilizzati. Siccome lo stesso titolare potrebbe trattare anche una notevole quantità di informazioni dello stesso interessato (ad esempio perché i dati sono trattati per numerose finalità distinte), gli è consentito, in questi casi, chiedere delle precisazioni all’interessato così da identificare, prima di procedere, a quali informazioni o a quali attività lo stesso vuole avere accesso.
Il GDPR prevede, in particolare, che l’interessato abbia il diritto di conoscere:
- le finalità del trattamento;
- le categorie dei dati personali di cui il titolare è in possesso;
- i destinatari cui i dati sono stati o saranno comunicati, specificando in particolare se si tratta di soggetti che si trovano in paesi terzi rispetto all’Unione Europea o se si tratta di organizzazioni internazionali. In particolare, qualora ricorra una di queste ultime ipotesi, l’interessato ha anche il diritto di essere informato sull’esistenza di adeguate garanzie concernenti il trasferimento dei suoi dati personali (uscendo in questi casi, almeno parzialmente dalla copertura del GDPR), come precisato nel Capo V del GDPR, dedicato proprio ai trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali;
- se possibile, la durata prestabilita del periodo di conservazione dei dati o quanto meno i criteri cui il titolare fa riferimento per determinare tale durata;
- l’esistenza del suo diritto: (a) a chiedere la rettifica o la cancellazione dei dati (quindi la modifica, ad esempio, se i dati raccolti sono errati o sono cambiati rispetto al momento del loro ottenimento oppure la loro eliminazione, come nel caso in cui sia decorso il periodo di conservazione previsto o i dati siano detenuti illegittimamente dal titolare), (b) a chiedere la limitazione del trattamento dei dati personali (quando ne viene fatto un utilizzo che va oltre quanto consentito dall’interessato, ad esempio, perché eccedente rispetto allo scopo comunicato nell’informativa al momento della raccolta o semplicemente perché l’interessato ha avuto un ripensamento – come può accadere quando viene chiesto di non ricevere più determinate comunicazioni commerciali), e (c) di opporsi al loro trattamento, perché ritenuto illegittimo;
- il diritto di proporre un reclamo all’autorità di controllo (ovvero al Garante per la protezione dei dati personali) quando l’interessato ritiene che vi sia stata violazione dei propri diritti o delle proprie libertà;
- tutte le informazioni disponibili sull’origine dei dati nel caso in cui non siano stati raccolti presso l’interessato, ma ricevuti da soggetti terzi (ai quali l’interessato potrebbe aver dato il consenso anche a tal fine) oppure ottenuti tramite elenchi pubblici;
- infine, la logica su cui è basato un processo automatizzato, come ad esempio la profilazione, e il funzionamento di tali meccanismi e le possibili conseguenza del loro utilizzo (ovvero in cosa consistono sostanzialmente, quali dati e come vengono elaborati).
Vista la varietà di informazioni e considerato che alcune di esse possono variare nel corso del tempo (si pensi al periodo di conservazione, se non predeterminato fin dall’inizio del trattamento o all’utilizzo di meccanismi di profilazione), il diritto d’accesso può essere esercitato anche più volte e persino con una cadenza periodica, perché solo mediante un controllo costante l’interessato sarà davvero consapevole delle attività che riguardano i propri dati personali. Addirittura, nella logica del GDPR viene consigliato ai titolari di creare un sistema per consentire all’interessato l’accesso remoto a un sistema sicuro che gli permetta di verificare direttamente i propri dati
Come puntualizzato poi dall’art. 12, paragrafo 3, l’interessato ha il diritto di ricevere dal titolare le informazioni richieste esercitando il proprio diritto di accesso il prima possibile e, comunque, al massimo entro un mese. Soltanto in casi particolari, ad esempio quando le richieste siano molto numerose oppure le informazioni da fornire siano particolarmente complesse, il titolare potrà estendere questo termine ad un periodo massimo di due mesi, informando però, sempre entro un mese dalla sua richiesta, l’interessato della necessità di proroga e dei relativi motivi che l’hanno resa necessaria (per esempio, i tempi tecnici necessari al titolare per reperire le informazioni e per preparare la documentazione). Si configura in questo modo l’obbligo per il titolare (o per il responsabile, se presente) di riscontrare sempre la richiesta dell’interessato entro un mese dalla ricezione, anche nel caso in cui non intenda ottemperare (il comma 4 dell’art. 12 GDPR prevede infatti che “Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”).
Le informazioni dovranno essere date a titolo gratuito all’interessato, salvo il caso eccezionale in cui il titolare debba sostenere delle spese tecniche rilevanti per adempiere (ad esempio, qualora siano state richieste più copie, art. 15, co. 3, GDPR) oppure le richieste dell’interessato siano risultate infondate o eccessive (art. 12, co. 5, GDPR): in presenza di simili condizioni, il titolare potrà, quindi, addebitare, entro limiti ragionevoli all’interessato una parte delle spese e richiedergli il versamento di un contributo.
Di norma, poi, la risposta dovrà essere data in forma scritta, assecondando però, per quanto possibile, le eventuali modalità richieste specificamente dall’interessato (ad esempio, se l’interessato chiede che le informazioni siano fornite oralmente). Lo stesso Regolamento, poi, precisa che quando l’interessato avanza delle richieste utilizzando mezzi elettronici, anche le risposte da parte del titolare dovranno fare ricorso alle medesime modalità (art. 15, co. 3, GDPR: “Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune”).
Infine, due precisazioni sono necessarie: per prima cosa, il titolare è tenuto ad adottare anche in questo contesto tutte le misure di sicurezza adeguate, prime tra tutte quelle atte a verificare l’identità di chi chiede l’accesso, con particolare attenzione ai casi in cui ciò avvenga direttamente online. In secondo luogo, l’esercizio del diritto in esame non deve creare delle violazioni a diritti di altri soggetti: il Considerando n. 63, al riguardo, a titolo esemplificativo, fa riferimento ai segreti industriali e ai diritti di proprietà industriale (si pensi alla tutela dei diritti d’autore relativi a software).