La recente pubblicazione del corposo testo guida dell’EDPB sul diritto di accesso degli interessati (“Guidelines 01/2022 on data subject rights – Right of access”), articolato e molto atteso, fornisce diversi spunti di riflessione sull’attuazione di uno dei diritti cardine degli interessati ai sensi del GDPR.
Accesso ai dati, Pizzetti: “Le linee guida EDPB uno snodo cruciale. Ecco perché”
Il testo è tanto più utile se pensiamo a una fattispecie di ambigua applicazione e in crescita nella prassi, cioè l’esercizio del diritto di accesso da parte di terzi, non già dall’interessato stesso ma per suo conto. In genere avviene che il delegato dell’interessato sia un familiare o un avvocato, appositamente delegato o sulla base di un ruolo qualificato.
Tuttavia, la fattispecie si può estendere anche al tema dei Personal Information Management Systems (PIMS), cioè degli intermediari nella gestione dei dati personali, business model di monetizzazione dei dati di palese portata e che non trova al momento una specifica disciplina sui limiti o la liceità del proprio agire – ecco perché nuovi progetti normativi come il Data Governance Act, invece, se ne occupano.
Vediamo di seguito come le nuove linee guida del Board possono fondare una prima risposta ai dubbi sull’attuale compliance di queste fattispecie.
A premessa notiamo che alla data odierna, circa il delicato e complesso tema dell’esercizio dei diritti degli interessati (garantiti dagli artt. 15-22 GDPR in particolare), sono state emanate solo alcune indicazioni ufficiali a livello europeo: le linee guida WP29 del 2017 sul diritto alla portabilità, le linee guida EDPB 5/2019 sul diritto all’oblio nei motori di ricerca (e solo una prima parte, finora), fino alla bozza sul diritto d’accesso qui in esame. Possiamo includervi le linee guida WP29 del 2018 sulle decisioni automatizzate e la profilazione di cui all’art. 22 GDPR.
L‘attesa per il parere dell’EDPB: la richiesta del Garante italiano
Il tema era stato parzialmente anticipato da un’espressa richiesta del Garante italiano all’EDPB. Il Garante nell’agosto 2019 aveva annunciato di aver interrotto una propria istruttoria circa il caso della app denominata “Weople”, dedicata all’esercizio centralizzato dei diritti per conto dei propri iscritti (in cambio di una monetizzazione, tema supplementare che non tratteremo in questa sede, in attesa – si auspica – di un indirizzo chiaro circa la necessaria conciliazione tra GDPR, con la sua visione dei dati personali non ammissibili come commodity, e la Direttiva 2019/790 che parrebbe aprire uno spiraglio proprio allo sfruttamento dei dati anche per una loro monetizzazione).
Weople aveva “acquisito” contrattualmente il diritto di esercitare vari diritti dei propri iscritti, tra cui quello alla portabilità ex art. 20 GDPR e oggetto di specifiche linee guida WP29 del 2017 (WP 242 rev.01), e aveva bussato alla porta di vari titolari per chiedere di ricevere i dati dei propri iscritti facendo leva sul diritto di portabilità. Le varie richieste avevano portato a segnalazioni verso il Garante e all’indagine conseguente.
Le linee guida sulla portabilità, però, non toccano il tema degli intermediari e il Garante affermava che “l’attività di “Weople” può produrre effetti in più di uno Stato dell’Unione” in ragione delle richieste di portabilità che potranno essere avanzate e delle questioni relative alla “valorizzazione economica dei dati personali ed alla natura ‘pro-concorrenziale’ del diritto alla portabilità”. Il Garante si era concentrato “sulla corretta applicazione, da parte della società, del cosiddetto diritto alla “portabilità dei dati” introdotto dal nuovo Regolamento europeo, con l’ulteriore complicazione determinata dall’esercitare tale diritto mediante una delega e con il conseguente rischio di possibili duplicazioni delle banche dati oggetto di portabilità”.
Sebbene le nuove linee guida EDPB sull’accesso non tornino sul tema della portabilità, paiono comunque essere una (prima?) succinta risposta circa la tematica dell’esercizio interposto dei diritti riconosciuti dal GDPR alle persone fisiche. Si dovrà monitorare la reazione del Garante, per comprendere se ciò sia ritenuto sufficiente per riprendere l’istruttoria del caso Weople e fornire così più complete indicazioni a PIMS che effettuino simili trattamenti di dati per conto terzi.
Le linee guida circa l’esercizio dell’accesso da parte di terzi
Il nuovo testo EDPB affronta il tema al punto 3.4, rubricato come “Richieste effettuate tramite terze parti o delegate” (“proxy” nel testo inglese). In sostanza si prevede quanto segue:
- qualora venga effettuata una richiesta di accesso da parte di un terzo – delegato che potrebbe essere un portale online a ciò dedicato -, tale terzo dovrebbe, in genere, (i) essere identificato e (ii) verificata la sua delega/autorizzazione (se opportuno e proporzionato, afferma l’EDPB);
- il rischio, altrimenti, è di configurare un data breach violando la riservatezza dell’interessato i cui dati verrebbero comunicati a un estraneo privo di qualsiasi diritto a tal proposito;
- l’EDPB circa la delega/autorizzazione rimanda, correttamente, alle leggi nazionali, considerato che si tratta di un aspetto non uniformato con normative comunitarie; in Italia dovremmo concentrarci sui requisiti del mandato con rappresentanza (artt. 1704 ss. c.c.) e della procura (artt. 1324 ss. c.c.), da verificare onde validare il potere affermato dal delegato dell’interessato, di esercizio del diritto in parola – questa verifica costituisce un anello importante nella catena dell’accountability del titolare, per dimostrare la sua diligenza e valutarne l’accountability;
- l’EDPB puntualizza però che se il diritto nazionale “prevede norme specifiche” sull’affidabilità dei richiedenti, allora la verifica della delega potrà essere omessa, restando quella dell’identità del delegato; l’autorità fa l’esempio degli avvocati – pare di intendere quale categoria professionale qualificata, munita di disciplina professionale e obblighi deontologici – che possono essere ritenuti “affidabili” circa quanto dichiarano, restando da verificarsi solo l’effettività della qualifica (ad es. consultando l’albo professionale circa la vigente iscrizione);
- si ripete quanto già affermato in altre parti della guida, cioè di raccogliere la documentazione appropriata e richiedendo ulteriori informazioni se si hanno “ragionevoli dubbi” sull’identità del richiedente, per verificarla;
- l’EDPB prosegue citando l’esempio dell’accesso richiesto per un interessato deceduto (escluso dal perimetro del GDPR, rimesso agli ordinamenti nazionali e regolato in Italia dall’art. 2-terdecies del Codice privacy nostrano), precisando che i dati possono riguardare terzi viventi, tutelati dal GDPR e la cui riservatezza (ad es. della corrispondenza) va tutelata; oppure trattando il caso dell’esercizio in rappresentanza di minori (specie circa la distinzione da effettuare tra diritto di rappresentanza del responsabile genitoriale e il diritto dello stesso di richiedere informazioni sul minore se previsto dalla legge nazionale).
Il diritto di accesso tramite portali, app o altri canali forniti da terzi
Al punto 3.4.2, infine, il documento affronta proprio “l’esercizio del diritto di accesso tramite portali/canali forniti da terzi”, pur molto brevemente e richiamando quanto già detto sopra; in tal senso si precisa che ci si riferisce ad “aziende che forniscono servizi che consentono agli interessati di effettuare richieste di accesso attraverso un portale”. L’effetto è che l’interessato può inviare richieste di accesso (o di altri diritti) a terzi titolari tramite l’intermediario. L’EDPB segnala quanto segue:
- circa il processo di delega, come richiesto dalla normativa il titolare che riceve la richiesta deve verificare adeguatamente l’autorizzazione, al pari di qualsiasi richiesta proveniente da terzi delegati/autorizzati; nel caso di questa tipologia di intermediari, si può pensare di verificare il contenuto del contratto tra intermediario e interessato, quanto a diritti concessi e modalità di loro delegato esercizio; viene da aggiungere che la verifica potrebbe estendersi, potenzialmente, alle modalità di valida sottoscrizione di tale contratto online, specie nel caso di utilizzo di mere firme elettroniche;
- l’autorità precisa, invece, un aspetto che potrebbe valere per ulteriori casistiche facenti capo all’uso di “portali”: ovvero che in questo caso non sussiste un “obbligo” di fornire i dati (oggetto dell’accesso) direttamente al “portale” dell’intermediario, bensì per farlo andranno previamente valutate – esemplifica l’EDPB, ragione per cui gli aspetti da valutare potrebbero essere ulteriori – le misure di sicurezza del portale richiedente e, se ritenute insufficienti dal titolare, si potrà “impiegare un altro modo per la comunicazione dei dati all’interessato”, in base ad eventuali altre procedure di riscontro adottare dal titolare (viene da pensare alla comunicazione diretta ai recapiti dell’interessato, non già al delegato); detto ciò, nella prassi potrebbe essere difficile argomentare compiutamente il tipo di verifica di security circa le modalità di comunicazione (e conservazione?) dei dati da parte dell’intermediario; questi aspetti potenzialmente “critici” non dovrebbero essere molto diversi da quelli attuati da altri terzi richiedenti i dati; se ad es. si pensasse come critico l’invio di dati personali tramite una semplice e-mail si potrebbe imporre l’invio con allegato criptato, protetto con password, ma questo parrebbe valere per qualsiasi richiesta effettuata via e-mail, a seconda del tipo di dati e delicatezza del trattamento in esame;
- rimandiamo al punto 5.2 della guida per ulteriori dettagli sulla valutazione delle misure idonee da adottare nel fornire l’accesso, come imposto dall’art. 12 GDPR; l’EDPB comunque richiama l’analisi delle circostanze rilevanti come la scala di dati da comunicare, la complessità del trattamento e la relativa conoscenza che ne hanno gli interessati; ciò dovrebbe portare a una valutazione – caso per caso – sul modo più appropriato per fornire i dati richiesti; si dovrà fare riferimento anche al punto 2.3.2 della guida ove si ribadisce l’obbligo generale per il titolare di valutare il livello di sicurezza necessario per la scelta della modalità di accesso (copia o mera informazione che sia) dei dati personali – l’EDPB lo sottolinea per la necessità di adottare una crittografia end-to-end (ad es. nel caso di dati particolari ex art. 9 GDPR), per cui potrebbe essere necessario inviare i dati con altre modalità più sicure come l’invio per raccomandata contenente una chiavetta USB all’interessato (e, nel caso di PIMS, ciò potrebbe portare a bypassare l’intermediario come destinatario, a giudicare da quanto riportato sopra dall’EDPB al punto 3.4.2.
Nulla più viene detto esplicitamente circa questa fattispecie nel documento. Tuttavia pare di poter trarre almeno qualche conclusione:
- anzitutto l’ente riconosce la possibilità per l’intermediario – il Weople portato a esempio dal Garante – di esercitare i diritti per conto dell’interessato; se ciò vale per il diritto d’accesso, a maggior ragione potrà valere per gli altri come il diritto alla portabilità e che specificamente esercitava l’intermediario italiano;
- l’intermediario richiedente dovrà documentare uno specifico livello di tutela della sicurezza dei dati per attuare l’accesso ai dati, almeno per la trasmissione e le modalità di comunicazione, che sia robusta e adatta a fronteggiare eventuali obiezioni dei titolari che detengono i dati – possiamo pensare a certificazioni ISO e mezzi di crittografia, per un primo orientamento; prevedere più modalità di richiesta e ricezione dei dati ai titolari potrebbe aiutare nel caso in cui una di queste venga rifiutata dai titolari stessi; molto dipenderà anche da fattori come il tipo di dati richiesti (comuni, particolari, di profilazione, ecc.), dal volume degli stessi, ecc.
Lo scenario a venire
Il documento dell’EDPB non è ancora definitivo: la consultazione pubblica si è chiusa l’11 marzo e porterà alla versione definitiva. Sebbene di prassi la versione finale delle linee guida non si discosti molto dalla prima versione, potrebbe esserci margine per integrazioni e maggiori chiarimenti proprio per il caso qui esaminato, per i terzi che potremmo chiamare “intermediari digitali” e che possono giocare un ruolo non di poco rilievo nello scenario 2020-2030 dei dati personali.
I progetti normativi in corso, tra l’altro, come il Digital Services Act o lo stesso Data Act reso noto di recente, indirizzano il mercato dei dati verso una maggiore condivisione e apertura a forme di intermediazione, per sviluppare un flusso e una libera circolazione dei dati finora frenati da incertezze e dogmatismi normativi. Verificheremo lo sviluppo delle linee guida e la risposta dei player di mercato – oltre che del Garante – nei mesi a venire.