In data 26 ottobre 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-307/22, FT contro DW, sull’interpretazione dell’articolo 12, paragrafo 5, dell’articolo 15, paragrafo 3, e dell’articolo 23, paragrafo 1, lettera i) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra FT e DW in merito al rifiuto del primo, medico dentista, di trasmettere al suo paziente una prima copia della sua cartella medica a titolo gratuito.
Questi i fatti.
Sospettando che fossero stati commessi errori durante il trattamento che gli era stato somministrato, DW aveva chiesto a FT la consegna, a titolo gratuito, di una prima copia della sua cartella medica. Quest’ultimo, tuttavia, aveva comunicato a DW che avrebbe risposto favorevolmente alla sua richiesta solo a condizione che si facesse carico delle spese connesse alla fornitura della copia della cartella medica, come previsto dal Bürgerliches Gesetzbuch (codice civile, BGB)[2]. Di conseguenza, DW aveva proposto un ricorso contro FT, che era stato accolto sia in primo grado che in appello. Quest’ultimo, pertanto, si era rivolto al Bundesgerichtshof(Corte federale di giustizia; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 12, paragrafo 5[3], e l’articolo 15, paragrafi 1 e 3[4], del GDPR debbano essere interpretati nel senso che l’obbligo di fornire all’interessato, a titolo gratuito, una prima copia dei suoi dati personali oggetto di trattamento grava sul titolare del trattamento, anche qualora tale richiesta sia motivata da uno scopo estraneo a quelli di cui al considerando 63, prima frase[5], di tale regolamento.
La Corte ha preliminarmente rilevato che da una lettura combinata dell’articolo 12, paragrafo 5, e dell’articolo 15, paragrafi 1 e 3, del GDPR risulta, da un lato, il diritto per l’interessato di ottenere una prima copia a titolo gratuito dei suoi dati personali oggetto di trattamento e, dall’altro, la facoltà offerta al titolare del trattamento, a determinate condizioni, di addebitare spese ragionevoli che tengano conto dei costi amministrativi, o di rifiutare di soddisfare una richiesta se quest’ultima è manifestamente infondata o eccessiva. I due articoli, pertanto, non subordinano la fornitura, a titolo gratuito, di una prima copia dei dati personali al fatto che gli interessati invochino un motivo diretto a giustificare le loro richieste, non offrendo al titolare del trattamento la possibilità di chiedere i motivi della richiesta di accesso presentata dall’interessato.
Di conseguenza, dal momento che quest’ultimo non è tenuto a motivare la richiesta di accesso ai dati, la prima frase del considerando 63 del GDPR non può essere interpretata nel senso che tale richiesta deve essere respinta se con essa si persegue un obiettivo diverso da quello di essere consapevole del trattamento dei dati e di verificarne la liceità. Il preambolo di un atto di diritto dell’Unione, infatti, non ha valore giuridico vincolante, e non può essere fatto valere né per derogare alle disposizioni stesse dell’atto interessato né al fine di interpretarle in un senso manifestamente in contrasto con la loro formulazione[6]. Il diritto di accedere ai dati relativi alla salute garantito dall’articolo 15, paragrafo 1, del GDPR, pertanto, non può essere limitato, mediante un diniego di accesso o l’imposizione del pagamento di un corrispettivo, ad uno dei motivi menzionati nella prima frase del considerando 63, ciò che vale anche per il diritto di ottenere una prima copia a titolo gratuito, come previsto all’articolo 12, paragrafo 5, e all’articolo 15, paragrafo 3, di tale regolamento.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 23, paragrafo 1, lettera i)[7], del GDPR debba essere interpretato nel senso che esso autorizza una normativa nazionale, adottata prima dell’entrata in vigore di tale regolamento, che, al fine di tutelare gli interessi economici del titolare del trattamento, pone a carico dell’interessato le spese di una prima copia dei suoi dati personali oggetto di tale trattamento.
La Corte ha preliminarmente ricordato che l’articolo 12, paragrafo 5, del GDPR, letto alla luce dell’articolo 15, paragrafi 1 e 3, di tale regolamento, consente al titolare del trattamento di tutelarsi dall’abuso del diritto di accesso richiedendo il pagamento di un contributo spese ragionevole, in caso di richiesta manifestamente infondata o eccessiva, di talché il diritto riconosciuto all’interessato di ottenere una prima copia a titolo gratuito dei suoi dati personali oggetto di trattamento non è assoluto.
Nel caso concreto, il regime tariffario previsto dal BGB, che consente al professionista sanitario di porre a carico del paziente i costi connessi alla fornitura di una prima copia della sua cartella medica, mira a tutelare gli interessi economici dei professionisti sanitari, di modo da dissuadere i pazienti dal formulare inutilmente richieste di copia della loro cartella medica. Un tale normativa, tuttavia, porta a scoraggiare non soltanto le richieste inutili, e bensì anche quelle dirette ad ottenere per un motivo legittimo una prima copia, a titolo gratuito, dei dati personali trattati. Di conseguenza, essa viola necessariamente il principio della gratuità della prima copia, rimettendo quindi in discussione l’effetto utile del diritto di accesso previsto all’articolo 15, paragrafo 1, del GDPR nonché, di conseguenza, la protezione garantita da tale regolamento. Il perseguimento dell’obiettivo connesso alla tutela degli interessi economici dei professionisti sanitari, inoltre, non può giustificare una misura che porti a rimettere in discussione il diritto di ottenere, a titolo gratuito, una prima copia e, in tal modo, l’effetto utile del diritto di accesso dell’interessato ai suoi dati personali oggetto di trattamento.
Con la terza questione, infine, il giudice del rinvio chiedeva se l’articolo 15, paragrafo 3, prima frase, del GDPR debba essere interpretato nel senso che, nell’ambito di un rapporto medico/paziente, il diritto di ottenere una copia dei dati personali oggetto di trattamento implica che sia consegnata all’interessato una copia integrale dei documenti contenuti nella sua cartella medica e che contengono i suoi dati personali o soltanto una copia di questi ultimi in quanto tali.
La Corte ha preliminarmente rilevato che, in forza della sua formulazione, l’articolo 15, paragrafo 3, prima frase, del GDPR conferisce all’interessato il diritto di ottenere una riproduzione fedele dei suoi dati personali, intesi in senso ampio, che siano oggetto di operazioni qualificabili come “trattamento” effettuato dal relativo titolare[8]. Il termine “copia”, inoltre, si riferisce non già ad un documento in quanto tale, e bensì ai dati personali che esso contiene e che devono essere completi, di talché la copia stessa deve contenere tutti i dati personali oggetto di trattamento[9]. Per garantire che le informazioni fornite dal titolare del trattamento siano facilmente comprensibili, la riproduzione di estratti di documenti o addirittura di documenti interi contenenti, tra l’altro, i dati personali oggetto di trattamento può rivelarsi indispensabile nel caso in cui la contestualizzazione dei dati trattati sia necessaria per garantirne l’intelligibilità[10]. Di conseguenza, il diritto di ottenere dal titolare una copia dei dati personali oggetto di trattamento non solo implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati, e bensì presuppone anche quello di ottenere copia di estratti di documenti o addirittura di documenti interi o, ancora, di estratti di banche dati contenenti, tra l’altro, tali dati, se la fornitura di una tale copia è indispensabile per consentire all’interessato di esercitare effettivamente i diritti conferitigli dal GDPR[11].
Per quanto riguarda i dati personali relativi alla salute, è proprio a causa della loro sensibilità che il legislatore dell’Unione ha sottolineato l’importanza che l’accesso delle persone fisiche a quelli contenuti nel loro cartella medica avvenga nel modo più completo e preciso possibile, ma anche intelligibile. Di conseguenza, la fornitura di una semplice sintesi o di una compilazione dei dati riguardanti risultati di esami, pareri di medici curanti e terapie o interventi praticati ad un paziente, che comprendono, in generale, numerosi dati tecnici, o addirittura immagini, da parte del medico potrebbe creare il rischio che taluni dati pertinenti siano omessi o riprodotti in modo inesatto o, in ogni caso, che la verifica della loro esattezza e della loro completezza nonché la loro comprensione da parte del paziente ne siano rese più difficili.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 12, paragrafo 5, e l’articolo 15, paragrafi 1 e 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che l’obbligo di fornire all’interessato, a titolo gratuito, una prima copia dei suoi dati personali oggetto di trattamento grava sul titolare del trattamento anche qualora tale richiesta sia motivata da uno scopo estraneo a quelli di cui al considerando 63, prima frase, di detto regolamento.
L’articolo 23, paragrafo 1, lettera i), del regolamento 2016/679 deve essere interpretato nel senso che una normativa nazionale adottata prima dell’entrata in vigore di tale regolamento può rientrare nell’ambito di applicazione di detta disposizione. Tuttavia, una siffatta facoltà non consente di adottare una normativa nazionale che, al fine di tutelare gli interessi economici del titolare del trattamento, ponga a carico dell’interessato le spese di una prima copia dei suoi dati personali oggetto di tale trattamento.
L’articolo 15, paragrafo 3, prima frase, del regolamento 2016/679 deve essere interpretato nel senso che nell’ambito di un rapporto medico/paziente, il diritto di ottenere una copia dei dati personali oggetto di trattamento implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati. Tale diritto presuppone quello di ottenere la copia integrale dei documenti contenuti nella sua cartella medica che contengano, tra l’altro, detti dati, qualora la fornitura di una siffatta copia sia necessaria per consentire all’interessato di verificarne l’esattezza e la completezza nonché per garantirne l’intelligibilità. Per quanto riguarda i dati relativi alla salute dell’interessato, tale diritto include in ogni caso quello di ottenere una copia dei dati della sua cartella medica contenente informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati al medesimo”.
[1] GUUE L 119 del 04.05.2016.
[2] Ai sensi dell’articolo 630g, paragrafo 1, prima frase, del BGB, al paziente deve essere concesso, su richiesta, l’accesso immediato all’intera cartella medica che lo riguarda, purché motivi terapeutici importanti o altri diritti rilevanti di terzi non ostino alla consultazione. Ai sensi del paragrafo 2, tuttavia, il paziente deve rimborsare al professionista sanitario i costi sostenuti.
[3] L’articolo 12 del GDPR, intitolato “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”, al paragrafo 5 dispone: “… Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:
a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure
b) rifiutare di soddisfare la richiesta.
Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta…”.
[4] L’articolo 15 del GDPR, intitolato “Diritto di accesso dell’interessato”, ai paragrafi 1 e 3 dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
(…)
Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune…”.
[5] Il considerando (63) del GDPR dispone “… Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. Ciò include il diritto di accedere ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati. Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento. Ove possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali. Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce…”.
[6] CGUE 13.09.2018, Causa C‑287/17, Česká pojišťovna, punto 33.
[7] L’articolo 23 del GDPR, intitolato “Limitazioni”, al paragrafo 1 lettera i) dispone: “… Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
(…)
i) la tutela dell’interessato o dei diritti e delle libertà altrui…”.
[8] CGUE 04.05.2023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 28.
[9] Ibidem, punto 32.
[10] Ibidem, punto 41.
[11] Ibidem, punto 45.