Il diritto di accesso del soggetto interessato

Il diritto di accesso, previsto dall'art.15 GDPR – Capo III, “Diritti dell'interessato”, Sezione 2 “Informazione e accesso ai dati personali” – consente al soggetto interessato di ottenere dal titolare del trattamento “conferma” se sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso agli stessi. Il diritto, si concreta, qualora tale trattamento sia confermato, nella possibilità dell'interessato di accedere ai propri dati ottenendo dal titolare informazioni utili quali la finalità del trattamento, le categorie di dati personali trattati, il periodo di conservazione, la possibilità di chiedere la rettifica o cancellazione di tali dati ecc. (si veda, art. 15, par 1 GDPR).   Tale diritto si pone, da un lato, in stretto rapporto con il principio c.d. di “trasparenza” (art. 5, par. 1, lett. a) GDPR), inteso quale trasparenza proattiva in capo al titolare (l'obbligo di rendere l'informativa) e trasparenza reattiva (l'obbligo di riscontrare le richieste degli interessati) e, dall'altro lato, si pone quale diritto propedeutico e strumentale ai successivi diritti, quale rettifica o cancellazione dei propri dati personali. La finalità sottesa al diritto di accesso è, infatti, quella di consentire al soggetto interessato di mantenere un controllo sui dati che lo riguardano verificando “facilmente e a intervalli regolari” (Considerando 63 GDPR), la legittimità del trattamento in corso, in modo da poter esercitare consapevolmente anche gli altri diritti con richieste di rettifica, integrazione o cancellazione dei dati personali.

L'oggetto dell'accesso può essere rappresentato non solo da documenti testuali ma anche, ad esempio, da documenti fotografici, riprese video ecc.; la comunicazione dei dati deve essere intellegibile per il soggetto interessato (è, ad esempio, il caso di cartelle cliniche con grafia non comprensibile). Il diritto di accesso – che non presuppone l'esistenza di una lesione riferibile all'interessato e che non è soggetto a limiti temporali – può essere esercitato direttamente dall'interessato: qualora si voglia usufruire di tale diritto per chiedere l'accesso di dati personali di un terzo sarà necessaria la delega del terzo stesso oltre alla possibilità di identificare tanto il delegato che l'interessato (invece, per l'ipotesi di esercizio dei diritti di cui agli artt. 15 – 22 GDPR riguardanti le persone decedute si rimanda all'art. 2 terdecies  d.lgs.196/2003).

Rispetto alla forma della richiesta di accesso il GDPR non prevede specifiche indicazioni: la stessa risulta libera e la richiesta potrà essere indirizzata dall'interessato al titolare in qualunque modalità (es. anche oralmente). Il titolare – ai sensi dell'art. 12, par. 2 GDPR – agevola i diritti dell'interessato e non può perciò prevedere modalità che possano restringere l'esercizio del diritto stesso che resta, di fatto, subordinato unicamente all'identificazione dell'interessato (Considerando 64 GDPR).

Inoltre, il titolare deve adottare “misure ragionevoli per verificare l'identità dell'interessato”, avvalendosi di strumenti che riterrà opportuni (ad es. acquisendo un documento di identità, pur rispettando il principio di minimizzazione e limitazione della conservazione, art. 5 GDPR) e, nell'ipotesi di esercizio del diritto ex art. 2 terdecies dovrà accertare tanto l'identità dell'interessato che quella del richiedente.

La risposta del titolare alla richiesta di accesso dell'interessato (che può avvenire oralmente o per iscritto e che va fornita sia nel caso in cui il trattamento sia confermato sia qualora non sussista alcun trattamento) deve pervenire “senza ingiustificato ritardo” e al più tardi entro un mese dal ricevimento della stessa, prorogabile di altri 2 mesi in caso di complessità (art. 12, par. 3 GDPR).

L'art. 15, par. 3 GDPR prevede, ancora, in maniera espressa, l'obbligo in capo al titolare di fornire copia gratuita all'interessato dei dati personali oggetto del trattamento, purché tale copia riguardi unicamente i dati personali dell'interessato e non di soggetti terzi, poiché la consegna della copia dei documenti contenenti dati personali non potrà “ledere i diritti e le libertà altrui” (art. 15, par. 4 GDPR).

Da ultimo, è previsto che il titolare possa rifiutarsi di accogliere la richiesta in caso di impossibile identificazione dell'interessato: tale rigetto dovrà essere motivato e dovrà indicarsi all'interessato la possibilità di proporre reclamo a un'Autorità di controllo o ricorso giurisdizionale.

Se il rigetto richiede una motivazione esplicitata dal titolare, come sopra visto, la richiesta di accesso dell'interessato non deve essere necessariamente motivata e, per tale circostanza, si distingue dal diritto di accesso ai documenti amministrativi soggetto alla disciplina di cui alla l. 241/1990 che, oltre alla necessità di motivare la richiesta prevede altresì ulteriori formalità procedurali.