interessante pronuncia della Corte di Giustizia 22.06.2023, C-579/21, sul diritto dell’interssato di essere esattamente informato su chi e perchè ha chiesto l’accesso ai suoi dati.
L’art. 15 § 1 GDPR va interpretato nel senso che:
<<le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione.
Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti>>.
I fatti storici:
<< 20 Nel 2014, J.M., all’epoca dipendente e cliente della Pankki S, è venuto a conoscenza del fatto che i suoi dati di cliente erano stati consultati da membri del personale della banca, in più occasioni, nel periodo compreso tra il 1° novembre e il 31 dicembre 2013.
21 Nutrendo dubbi circa la liceità di tali consultazioni, J.M. che, nel frattempo, era stato licenziato dal suo impiego presso la Pankki S, ha chiesto a quest’ultima, il 29 maggio 2018, di comunicargli l’identità delle persone che avevano consultato i suoi dati di cliente, le date esatte delle consultazioni nonché le finalità del trattamento di detti dati.
22 Nella sua risposta del 30 agosto 2018, la Pankki S, in qualità di titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD, ha rifiutato di comunicare l’identità dei dipendenti che avevano svolto le operazioni di consultazione, con la motivazione che tali informazioni costituivano dati personali di detti dipendenti.
23 Tuttavia, nella medesima risposta, la Pankki S ha fornito precisazioni in merito alle operazioni di consultazione svolte, conformemente alle sue istruzioni, dal servizio di audit interno di quest’ultima. Essa ha in tal modo chiarito che un cliente della banca di cui J.M. era il consulente alla clientela risultava creditore di una persona che aveva lo stesso cognome di J.M., cosicché essa aveva voluto chiarire se il ricorrente nel procedimento principale e detto debitore fossero la stessa persona e se vi fosse stato un eventuale rapporto di conflitto di interessi inappropriato. La Pankki S ha aggiunto che per chiarire tale questione era stato necessario procedere al trattamento dei dati di J.M. e che tutti i dipendenti della banca che avevano svolto il trattamento di tali dati avevano rilasciato al servizio di audit interno una dichiarazione sui motivi di detto trattamento di dati. Inoltre, la banca ha dichiarato che tali consultazioni avevano consentito di fugare qualsiasi sospetto di conflitto di interessi per quanto riguarda J.M>>.
Significativa precisazione: <<è pacifico che le operazioni di consultazione aventi ad oggetto i dati personali del ricorrente nel procedimento principale costituiscono un «trattamento» ai sensi dell’articolo 4, punto 2, del RGPD, con la conseguenza che esse conferiscono a quest’ultimo, in forza dell’articolo 15, paragrafo 1, di tale regolamento, non solo un diritto di accesso a tali dati personali, ma anche un diritto a che gli siano comunicate le informazioni relative a dette operazioni, quali menzionate da quest’ultima disposizione>>.