NEWS

Abuso del diritto di accesso ai dati: che cosa ha stabilito veramente la Corte di Giustizia UE

Con la sentenza C-526/24, caso Brillen Rottler, la Corte di giustizia si è pronunciata per la prima volta sull’abuso del diritto di accesso ai dati personali. Esaminiamo la vicenda, che ha destato notevole risonanza.

(Nella foto: l'Avv. Enrico Pelino)

Il fatto - Un interessato si iscrive a una newsletter. Decorsi appena tredici giorni, esercita il diritto di accesso ai propri dati, che gli viene negato poiché ritenuto eccessivo, e radica una causa risarcitoria. Secondo il titolare del trattamento, società Brillen Rottler, non rileva che fosse la prima richiesta di accesso, poiché l’interessato sarebbe infatti notoriamente dedito a iscrizioni seriali a newsletter, ancorché nei confronti di altri titolari, finalizzate all’esercizio strumentale dei diritti riconosciuti dal GDPR.

Che cosa ha stabilito la Corte - La Corte ha deciso che anche una prima richiesta di accesso può essere considerata “eccessiva”, e dunque rifiutata. Non rileva infatti il numero di richieste precedenti, ma la qualità, tenuto conto di tutte le circostanze del caso. Che il modus operandi dell’interessato risulti da informazioni pubblicamente reperibili può integrare queste circostanze.

Il Giudice ha, in particolare, ritenuto operante un principio immanente al sistema giuridico, quello dell’abuso del diritto. Occorre a tal fine la concorrenza di due elementi, uno oggettivo, l’altro soggettivo. Quanto al primo, è necessaria una deviazione reale dalla ratio della normativa, pur nel suo formale rispetto. L’elemento soggettivo consiste nella dimostrazione della volontà dolosa dell’interessato.

Poi, quasi a riparare il vulnus inflitto al diritto d’accesso, la pronuncia, sotto altro profilo, ha segnato un ampliamento del diritto risarcitorio. Ai fini dell’esercizio dell’art. 82 GDPR – ha chiarito – non occorre la sussistenza di un trattamento di dati personali, è sufficiente una qualsiasi violazione del Regolamento che abbia cagionato un danno. Sono dunque perfettamente configurabili domande risarcitorie per negato accesso (purché non abusivo), indipendentemente da un pregresso trattamento.

Che cosa non ha stabilito la Corte - La Corte non ha indicato che l’accesso può essere liberamente rifiutato dal titolare del trattamento sul mero sospetto di condotta abusiva. Ha anzi chiarito che il rifiuto costituisce eccezione a un diritto, da interpretare in senso stretto e sulla base di elementi rigorosi, il cui onere probatorio incombe sul titolare del trattamento.

Ha anche evidenziato che il legittimo rifiuto dell’accesso ai dati personali dipende, nel caso esaminato, dall’artificioso tentativo dell’interessato di creare i presupposti della violazione di cui chiede il risarcimento. Non si può quindi utilizzare la sentenza in commento per giustificare un rifiuto di accesso rispetto a violazioni create dal titolare del trattamento. Si pensi a comunicazioni di spam.

Che cosa appare poco condivisibile nella sentenza - L’abuso di diritto rappresenta costruzione giuridica assai condivisibile sul piano teorico e, al tempo stesso, estremamente scivolosa su quello applicativo, prestandosi, paradossalmente, ad abusi di segno opposto. È in effetti operazione delicatissima, da artificieri – se è consentito il paragone –, disinnescare una condotta abusiva senza far detonare anche l’istituto giuridico collegato.

A parere dello scrivente, la sentenza si presterà con prevedibile certezza ad applicazioni restrittive dell’accesso ai dati personali, ledendo il diritto forse più strutturale del GDPR e insieme il più comunemente violato. Sono invero quattro gli elementi che appaiono poco convincenti nella decisione.

Il primo si connette a quanto appena notato: il diritto d’accesso è un presidio indispensabile quanto fragile e questa fragilità dipende dalla generale posizione di debolezza degli interessati. Lo squilibrio di posizioni avrebbe dovuto, a parere di chi scrive, fare ingresso nella valutazione della Corte, quantomeno nei punti in cui la stessa si spinge a enunciazioni di ampia portata.

La seconda perplessità riguarda la rilevanza del pregresso. Ammettiamo, cioè, che il richiedente sia soggetto indubbiamente dedito a istanze seriali pretestuose. Si può veramente rifiutare una domanda d’accesso sulla base del pregresso soggettivo anziché sul merito dell’istanza? Sostenerlo porta, mi pare, a una serie di conseguenze difficilmente accettabili.

Dovremmo infatti sostenere che ci sono soggetti con diritti attenuati o azzerati per via del loro pregresso. E quanto dura questa profilazione negativa? Non è di per sé la profilazione negativa un trattamento?

Una terza ragione di dubbio mi pare riguardi l’intenzione dell’interessato, che è elemento impalpabile, la cui determinazione non può essere certo rimessa al titolare del trattamento, non foss’altro per conflitto di interessi. Ma anche se fosse possibile catturare l’intenzione, non è certo che abbia rilevanza giuridica.

Un conto è la pianificazione dolosa che si estrinseca in una condotta antigiuridica, altro è una condotta oggettivamente combaciante con l’esercizio del diritto, sia pure in modo formale.

Non vorrei che di questo passo andassimo a caccia delle intenzioni, perché ci spingeremmo in un labirinto giuridico da cui non sono certo esista l’uscita.

Da ultimo, se il soggetto in questione avesse esercitato il diritto di cancellazione o quello di rettifica decorsi tredici giorni dall’iscrizione alla newsletter anziché il diritto d’accesso, non si vede come si potesse negarglielo. E allora siamo davvero sicuri che rilevi il diritto in concreto esercitato? Ugualmente, se invece di tredici giorni, avesse esercitato l’accesso dopo sei mesi, la richiesta sarebbe stata eccessiva? È chiaro che qui mancano metriche, si entra in apprezzamenti molto discrezionali. Discettare dell’esercizio di un diritto piuttosto che di altri non giova né alla certezza giuridica né all’attuazione piena del Regolamento.

Insomma, una decisione da manipolare con cautela.

Note sull'Autore

Enrico Pelino Enrico Pelino

Avvocato partner dello Studio Legale Grieco Pelino Avvocati e dottore di ricerca in diritto dell’informatica. Web: www.griecopelino.com

Prev Con l'intelligenza artificiale il Data Protection Officer non sarà un semplice supervisore tecnico, ma un catalizzatore di visioni
Next Per molte startup la privacy diventa un tema strategico quando è troppo tardi

Tavola rotonda su privacy e intelligenza artificiale nel mondo del lavoro

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy