Nel rispondere a una domanda pregiudiziale rivoltale dal Tribunale amministrativo della Finlandia orientale, nella sentenza Pankki S (C-579/21) emessa il 22 giugno 2023, la Corte di Giustizia UE ha avuto modo di precisare che chiunque ha il diritto di conoscere la data e le ragioni per cui i propri dati personali sono stati consultati.
La sentenza della Corte ha avuto origine da una controversia in cui il dipendente di una banca, che era anche suo cliente, ha preteso spiegazioni sulla ragione per cui i suoi dati personali erano stati oggetto di consultazione da parte della stessa banca (il caso di specie riguardava un’omonimia con un altro cliente della stessa banca).
Il giudice finlandese adito dal dipendente ha rivolto alla Corte di giustizia una questione pregiudiziale sull’interpretazione dell’articolo 15 del GDPR. In particolare, lo stesso ha chiesto alla Corte di chiarire se la consultazione di dati personali effettuata dal titolare del trattamento di tali dati (la banca nel nostro caso) costituisse una forma di accesso che l’interessato aveva diritto di conoscere con particolare riferimento ai motivi per cui erano state effettuate tale consultazioni.
La Corte UE ha risposto precisando che la nozione di “dati personali” disciplinata dal regolamento in questione è particolarmente ampia e che comprende ogni tipo di consultazione. L’interessato ha dunque diritto di sapere le ragioni che hanno indotto il titolare del trattamento dei dati ad accedervi e a effettuare i relativi controlli. Fondamentalmente, alla luce delle spiegazioni che il titolare del trattamento dei dati è tenuto a fornirgli, l’interessato deve essere in grado di vagliare la ragione della consultazione onde valutare segnatamente che non via stato un danno nei suoi confronti e, se del caso, per agire giudizialmente per il risarcimento del danno subito.
La Corte ha precisato che tale diritto non comprende tuttavia il diritto dell’interessato – che, tra l’altro nel nostro caso, era dipendente del titolare del trattamento dei dati – a conoscere il/i nominativo/i dei colleghi che hanno effettuato tale consultazione.
In proposito la Corte ha osservato in particolare che, ai sensi del considerando 4 del GDPR, “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, poiché dev’essere considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 172)”.
Di conseguenza, l’esercizio di un diritto di accesso che assicura l’effetto utile dei diritti riconosciuti dal GDPR all’interessato va contemperato con i diritti o le libertà altrui scegliendo, ove possibile, modalità che non ledano tali diritti o libertà.
La Corte ha in sostanza osservato che, fermo restando che tali considerazioni non devono condurre a un diniego, di fatto, di fornire all’interessato tutte le informazioni legittimamente richieste, per contro il GDPR ed in particolare il suo articolo 15 “non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti”.