Cosa prevede davvero il GDPR e quando il titolare può opporsi
Il diritto di accesso ai dati personali rappresenta uno dei pilastri fondamentali del Regolamento Europeo 2016/679 (GDPR). Ma si tratta di un diritto illimitato oppure, in certi casi, il titolare del trattamento può legittimamente negarlo o chiederne una motivazione? Scopriamo cosa dice realmente la normativa e quali sono le implicazioni pratiche per cittadini, aziende e amministratori.
È un diritto incondizionato oppure serve una motivazione?
Sì, il diritto di accesso ai dati personali è un diritto autonomo, pieno e non condizionato alla presenza di una motivazione specifica.
L’articolo 15 del GDPR, insieme al considerando n. 63, chiarisce in modo inequivocabile che l’interessato ha il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, indipendentemente da eventuali scopi o contenziosi. Questo diritto, fondamentale per l’autodeterminazione informativa, si esercita senza necessità di indicare una ragione, a differenza di quanto accade nel diritto amministrativo, dove la richiesta di accesso ai documenti deve invece essere motivata.
Non è un caso che il diritto di accesso ai dati personali venga definito come funzionale all’esercizio di altri diritti: solo conoscendo quali dati vengono trattati, infatti, è possibile chiedere la rettifica, la limitazione, l’opposizione o la cancellazione. Si tratta quindi di un diritto che, pur autonomo, svolge un ruolo strumentale per garantire il pieno controllo dell’individuo sul trattamento delle proprie informazioni personali.
Il titolare del trattamento può rifiutare la richiesta?
No, salvo casi eccezionali previsti dal GDPR stesso.
In linea generale, il titolare del trattamento è tenuto a rispondere entro un mese dalla ricezione della richiesta, eventualmente prorogabile di due mesi per casi particolarmente complessi, informando però l’interessato del motivo della proroga. Il rifiuto, invece, può avvenire solo se la richiesta è manifestamente infondata o eccessiva, ad esempio per il carattere ripetitivo, e anche in questo caso il titolare è obbligato a fornire una motivazione.
In nessun caso, invece, può essere pretesa una motivazione preventiva da parte dell’interessato: non è legittimo rigettare l’accesso solo perché chi lo richiede non ha spiegato le sue ragioni. Anzi, come chiarisce anche il Garante per la Protezione dei Dati Personali, ogni ostacolo formale ingiustificato rappresenta una violazione del principio di facilitazione dell’esercizio dei diritti sancito dall’art. 12 GDPR. In questo contesto, anche i moduli prestabiliti richiesti da alcuni siti o aziende non possono mai rendere irricevibile una richiesta trasmessa con altre modalità.
L’interessato deve identificarsi? In che modo?
Sì, ma con modalità proporzionate e trasparenti.
Il diritto di accesso, pur essendo ampio, è necessariamente connesso all’identità del richiedente. Per questo il titolare del trattamento può richiedere informazioni aggiuntive per verificare l’identità dell’interessato, specialmente nei casi in cui nutra dubbi ragionevoli. Tuttavia, anche qui, il principio di proporzionalità è centrale: non possono essere imposti requisiti arbitrari o eccessivamente onerosi per dimostrare l’identità, come ad esempio l’autenticazione via PEC per tutti i soggetti o documentazioni che vanno ben oltre quanto ragionevole.
Particolarmente delicato è il caso in cui l’accesso venga richiesto da soggetti terzi rispetto all’interessato, come ad esempio un familiare in caso di decesso. In queste situazioni, il titolare dovrà accertare che sussista un interesse tutelabile, o un mandato specifico, e agire nel rispetto della riservatezza anche post mortem. Il bilanciamento tra trasparenza e protezione richiede una valutazione caso per caso, con attenzione alla normativa privacy e al Codice civile.
Che succede se il titolare non risponde?
In caso di mancata risposta entro i termini, l’interessato può rivolgersi al Garante per la protezione dei dati personali.
Il meccanismo di tutela previsto dal GDPR è immediato e concreto: se la risposta non arriva entro un mese, o se viene fornita in modo incompleto o evasivo, l’interessato può inoltrare un reclamo all’autorità di controllo. Il Garante potrà avviare un’istruttoria, chiedere chiarimenti al titolare e, nei casi più gravi, adottare provvedimenti sanzionatori o prescrittivi. Questo aspetto rafforza la funzione deterrente del diritto di accesso: sapere che si può verificare come e da chi sono trattati i propri dati scoraggia pratiche scorrette o opache.
In definitiva, il diritto di accesso ai dati personali rappresenta uno strumento essenziale di trasparenza, autodeterminazione e controllo nel mondo digitale. Non è una “grazia” concessa dai titolari del trattamento, ma un diritto pieno, riconosciuto dall’ordinamento europeo e nazionale, che può e deve essere esercitato con semplicità, chiarezza e consapevolezza.
E per quanto riguarda invece la privacy all’interno delle parti comuni? Scarica il nostro manuale gratuito per essere conforme alla normativa privacy nell’ambito del condominio.
Clicca sul seguente link: https://www.tutelacondomini.it/nuove-linee-guida-privacy-in-condominio/
