In data 12 gennaio 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-154/21, RW contro Österreichische Post AG, sull’interpretazione dell’articolo 15, paragrafo 1, lettera c) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra RW e la Österreichische Post AG (“Österreichische Post”) in merito ad una richiesta di accesso a dati personali ai sensi dell’articolo 15, paragrafo 1, lettera c)[2], del GDPR.
Questi i fatti.
In data 15 gennaio 2019, RW si era rivolto all’Österreichische Post al fine di ottenere l’accesso ai dati personali che lo riguardavano e che quest’ultima conservava o aveva conservato in passato e, in caso di loro comunicazione a terzi, l’identità degli stessi. L’Österreichische Post, tuttavia, si era limitata, da un lato, ad affermare che essa utilizzava dati, nei limiti consentiti dalla legge, nell’ambito della sua attività di editore di elenchi telefonici, e che li forniva a partner commerciali a fini di marketing e, dall’altro, a rinviare ad un sito internet per informazioni più dettagliate e per le altre finalità del trattamento dei dati. Di conseguenza, RW aveva citato l’Österreichische Post dinanzi ai giudici austriaci chiedendo che le venisse ingiunto di fornirgli, in particolare, l’identità del destinatario o dei destinatari dei suoi dati personali così comunicati.
Poiché il suo ricorso era stato respinto sia in primo che in secondo grado, RW si era rivolto all’Oberster Gerichtshof (Corte suprema austriaca; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se l’articolo 15, paragrafo 1, lettera c), del GDPR debba essere interpretato nel senso che il diritto di accesso dell’interessato ai dati personali che lo riguardano, previsto da tale disposizione, implica, qualora tali dati siano stati o saranno comunicati a destinatari, l’obbligo per il titolare del trattamento di fornire all’interessato l’identità concreta di questi ultimi.
L’interpretazione di una disposizione del diritto dell’Unione richiede di tener conto non soltanto della sua formulazione, e bensì anche del contesto in cui essa si inserisce nonché degli obiettivi e della finalità che persegue l’atto di cui essa fa parte[3].
Il tenore letterale dell’articolo 15, paragrafo 1, lettera c), del GDPR non consente di stabilire, in modo univoco, se l’interessato, qualora i dati personali che lo riguardano siano stati o saranno comunicati, abbia il diritto di essere informato riguardo all’identità concreta dei destinatari di questi ultimi.
Per quanto riguarda, invece, il contesto in cui si tale articolo si inserisce, la Corte ha preliminarmente ricordato che, per rispettare il diritto di accesso, qualsiasi trattamento di dati personali di persone fisiche deve essere conforme ai principi enunciati all’articolo 5 del GDPR[4] tra cui, in particolare, quello di trasparenza, il quale implica che l’interessato disponga di informazioni sulle modalità con cui i suoi dati personali sono trattati e che tali informazioni siano facilmente accessibili e comprensibili[5]. Nello specifico, l’esercizio di tale diritto di accesso deve consentire all’interessato di verificare non solo che i dati che lo riguardano siano corretti, e bensì anche che siano trattati in modo lecito[6] e che siano stati comunicati a destinatari autorizzati[7]. Più particolarmente, tale diritto di accesso è necessario affinché l’interessato possa esercitare, se del caso, il suo diritto di rettifica, quello alla cancellazione, quello di limitazione di trattamento, quello di opposizione al trattamento dei suoi dati personali nonché di agire in giudizio nel caso in cui subisca un danno[8]. Di conseguenza, al fine di garantire l’effetto utile di tutti questi diritti, l’interessato deve disporre, in particolare, di un diritto di essere informato riguardo all’identità dei destinatari concreti nel caso in cui i suoi dati personali siano già stati comunicati.
L’articolo 15, paragrafo 1, lettera c), del GDPR, pertanto, costituisce una delle disposizioni destinate a garantire che le modalità attraverso le quali i dati personali sono trattati siano trasparenti per l’interessato, consentendo a quest’ultimo di esercitare le prerogative previste dallo stesso regolamento. Di conseguenza, le informazioni fornite all’interessato a titolo del diritto di accesso previsto all’articolo 15, paragrafo 1, lettera c), del GDPR devono essere le più esatte possibili, in quanto tale diritto di accesso implica la possibilità per l’interessato di ottenere dal titolare del trattamento le informazioni sui destinatari specifici ai quali i dati sono stati o saranno comunicati o, alternativamente, di scegliere di limitarsi a richiedere informazioni riguardanti le categorie di destinatari.
Il diritto alla protezione dei dati personali, tuttavia, non è una prerogativa assoluta, in quanto deve essere considerato alla luce della sua funzione sociale, e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità[9]. In circostanze specifiche, pertanto, il diritto di accesso potrà essere limitato all’informazione sulle categorie di destinatari qualora sia impossibile comunicare l’identità dei destinatari concreti, in particolare qualora questi ultimi non siano ancora noti.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 15, paragrafo 1, lettera c), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che il diritto di accesso dell’interessato ai dati personali che lo riguardano, previsto da tale disposizione, implica, qualora tali dati siano stati o saranno comunicati a destinatari, l’obbligo per il titolare del trattamento di fornire a detto interessato l’identità stessa di tali destinatari, a meno che sia impossibile identificare detti destinatari o che il suddetto titolare del trattamento dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive, ai sensi dell’articolo 12, paragrafo 5, del regolamento 2016/679, nel qual caso il titolare del trattamento può indicare a detto interessato unicamente le categorie di destinatari di cui trattasi”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 15 del GDPR, intitolato “Diritto di accesso dell’interessato”, al paragrafo 1, lettera c) dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
(…)
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali…”.
[3] CGUE 15.03.2022, Causa C‑302/20, Autorité des marchés financier, punto 63.
[4] CGUE 16.01.2019, Causa C‑496/17, Deutsche Post, punto 57.
[5] L’articolo 5 del GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 lettera a) dispone: “… I dati personali sono:
a) in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)…”.
[6] CGUE 20.12.2017, Causa C‑434/16, Nowak, punto 57; CGUE 17.09.2014, Cause riunite C‑141/12 e C‑372/12, YS e a., punto 44.
[7] CGUE 07.05.2009, Causa C‑553/07, Rijkeboer, punto 49.
[8] Ibidem, punto 52.
[9] CGUE 16.07.2020, Causa C‑311/18, Facebook Ireland e Schrems, punto 172.