Claudio Cimarossa

1. Introduzione

La Corte di Cassazione, I sezione, con l’ordinanza nr. 9313 del 4.4.2023 è si è occupata del Regolamento Ue nr. 2016/679 o secondo l’acronimo inglese GDPR. In particolare, con l’ordinanza oggetto di questo commento, la Corte di Cassazione ha voluto chiarire gli obblighi del titolare del trattamento derivanti dall’esercizio del diritto di accesso ai dati esercitato dall’interessato ai sensi dell’articolo 15 del GDPR.

2. Fatti della Causa

L’ordinanza nr. 9313 del 4.4.2023 è stata emessa dalla sezione I della Corte di Cassazione in esito all’impugnazione, con ricorso per cassazione, di una sentenza non appellabile emessa dal Tribunale di Milano che rigettava la domanda attorea volta ad accertare l’inadempimento del titolare del trattamento consistente nel mancato riscontro dell’istanza di accesso ai dati.

Il ricorrente, infatti, aveva presentato un’istanza di accesso ai dati ad un istituto bancario, titolare del trattamento. Quest’ultimo non aveva riscontrato in nessun modo l’istanza dell’interessato. Tale mancanza veniva motivata dal fatto che l’interessato non aveva provato lo svolgimento di trattamenti da parte della banca. In buona sostanza, la banca asseriva l’esistenza di un onere probatorio in capo all’interessato, e da questi non soddisfatto, quale presupposto per l’esercizio della facoltà di accesso ai dati prevista nell’articolo 15 del GDPR. Secondo la banca l’interessato non aveva sodisfatto l’asserito onere probatorio non provando la circostanza che la banca stesse o avesse trattato dati personale del richiedente.

Il ricorrente innanzi al Tribunale di Milano, e poi presso la Corte di Cassazione, sosteneva l’inesistenza di tale onere probatorio e che l’unico onere prescritto nel GDPR sussisterebbe anzi in capo al titolare del trattamento consistendo nell’onere di riscontrare le istanze degli interessati a prescindere dall’esistenza di un trattamento.

3. Posizione della Corte di Cassazione

La Corte di Cassazione ricostruisce la propria disposizione partendo dal combinato disposto degli articoli 12 e 15 del GDPR.

L’articolo 12, comma 3, del GDPR che la Corte cita nell’ordinanza afferma “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”. La norma citata scandisce delle tempistiche chiare entro cui il titolare del trattamento deve rispondere all’interessato che abbia esercitato uno dei diritti riconosciuti negli articoli da 15 a 22 del GDPR. È anche prevista la possibilità per il titolare di prorogare la scadenza dei termini con un’istanza unilaterale debitamente documentata. Il comma 4 del medesimo articolo stabilisce inoltre “se non ottempera [il titolare] alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”. Questo comma dell’articolo 12 impone al titolare, inadempiente alla richiesta dell’interessato, di informarlo che può ricorrere all’autorità giudiziaria o presentare reclamo all’autorità di controllo. Tuttavia, come evidenziato dalla Corte di Cassazione, è il comma 5 a risolvere la questione sottoposta dal ricorrente. All’articolo 12, comma 4, è stabilito “Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestatamente infondato e eccessivo della richiesta”. La Corte di Cassazione scrive che il tenore letterale della norma permette di affermare con certezza che il destinatario della richiesta di accesso ai dati deve sempre riscontrare l’istanza dell’interessato, anche in termini negativi, non potendosi considerare adempiente agli obblighi a lui imposti con un semplice “non liquet”.

Sulla base di questi argomenti, la Corte di Giustizia arriva ad affermare che la sentenza del tribunale di Milano, oggetto del ricorso, ha illegittimamente onerato l’interessato dell’onere di dimostrare in giudizio la titolarità e il possesso da parte del titolare del trattamento dei dati personali che lo riguardano, con questo ha onerato l’interessato di una prova impossibile, poiché come afferma la stessa Corte di Cassazione, “non essendo chiaro come [l’interessato] potesse fornire una prova siffatta” e quindi “invertendo l’onere della prova” che, in virtù delle citate norme, deve essere posto a carico del destinatario dell’istanza di accesso il quale è onerato di rispondere all’interessato anche nei termini negativi.

4. Conclusioni

La Corte di Cassazione, accogliendo il ricorso dell’interessato, ha evidenziato lo stesso collegamento, confermato dalla dottrina, tra gli obblighi informativi e i diritti dell’interessato affermando che obblighi informativi e diritti vanno di pari passo e si fondono nel concetto della trasparenza, estrinsecazione del principio di correttezza e liceità.

La Corte di Cassazione ha affermato il seguente principio di diritto che per chiarezza riportiamo come scritto nel provvedimento: “in materia di trattamento dei dati personali, il soggetto onerato dell’obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili è il destinatario dell’istanza di accesso e non invece l’istante, dovendo il primo sempre l’istanza dell’interessato, anche in termini negativi i dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l’ostensione”.

In applicazione di questo principio il titolare del trattamento destinatario di un’istanza di trattamento, per ottemperare agli obblighi impostigli dal GDPR, dovrà sempre rispondere all’istanza anche se non è svolto alcun trattamento. In tal caso la risposta del titolare del trattamento si limiterà ad affermare l’inesistenza di trattamenti. La risposta, negativa o positiva deve pervenire all’interessato entro un mese. Tale termine può essere ampliato di ulteriori sessanta giorni qualora siano necessari ulteriori approfondimenti.