Ogni persona ha il diritto di sapere a chi vengono comunicati i propri dati personali. Lo ha affermato il 12 gennaio 2023 la Corte di giustizia dell’Ue con la sentenza nella Causa C-154/21, aggiungendo che il titolare del trattamento può tuttavia limitarsi a indicare le categorie di destinatari qualora sia impossibile identificare questi ultimi, o nel caso la richiesta sia manifestamente infondata o eccessiva.
Con una seconda decisione adottata sempre lo scorso 12 gennaio nella Causa C-132/21, i giudici della Corte UE hanno inoltre affermato che il ricorso amministrativo e il ricorso civile previsti dal GDPR possono essere esercitati in modo concorrente e indipendente. Spetta, infatti, agli Stati membri garantire che l’esercizio parallelo di tali ricorsi non pregiudichi l’applicazione coerente e omogenea del Regolamento europeo sulla protezione dei dati personali.
Nel primo caso, un cittadino austriaco aveva chiesto alla Österreichische Post di conoscere a chi avesse trasmesso i suoi dati personali. Le poste austriache si erano limitate ad affermare che utilizzavano i dati personali nei limiti consentiti dalla legge nell’ambito della propria attività di editore di elenchi telefonici, e che forniva tali dati ai partner commerciali a fini di marketing. A seguito di ricorsi vari, la Corte suprema austriaca aveva chiesto alla Corte di Giustizia dell’UE di sapere se il GDPR lasciasse al titolare del trattamento dei dati la libera scelta di comunicare l’identità concreta dei destinatari oppure unicamente le categorie dei destinatari, e se l’interessato avesse il diritto di conoscere la loro identità concreta.
Con la sentenza nella Causa C-154/21, la Corte di Giustizia ha affermato che qualora i dati personali siano stati o saranno comunicati a dei destinatari, il titolare del trattamento è obbligato a fornire all’interessato, su sua richiesta, l’identità stessa di tali destinatari. Solo nel caso in cui il titolare dimostri che la richiesta è manifestamente infondata o eccessiva, o che non sia (ancora) possibile identificare tali destinatari, allora il titolare del trattamento può limitarsi a indicare unicamente le categorie di destinatari a cui vengono comunicate i dati. La Corte sottolinea che tale diritto di accesso è necessario per esercitare gli altri diritti riconosciuti dal Regolamento UE 2016/679, come il diritto di rettifica, il diritto alla cancellazione, il diritto di limitazione di trattamento, il diritto di opposizione al trattamento o, il diritto di agire in giudizio nel caso in cui subisca un danno.
Il secondo caso trattato dalla Corte UE riguardava invece il diverso tema del rapporto tra il ricorso amministrativo e civile in tema di tutela dei dati personali, e parte dalla richiesta di accedere alla registrazione del proprio intervento, da parte di un azionista, ed alle relative risposte (che invece erano state negate) nel corso di una assemblea societaria.
Il Tribunale di Budapest aveva quindi chiesto alla Corte di giustizia UE se, nell’ambito dell’esame della legittimità della decisione dell’autorità nazionale di controllo, essa sia vincolata dalla sentenza passata in giudicato dei giudici civili relativa agli stessi fatti e alla stessa pretesa violazione del GDPR da parte della società interessata. Inoltre, poiché un esercizio parallelo di ricorsi amministrativi e civili può portare a decisioni contrastanti, il giudice ungherese voleva verificare se esistesse un’eventuale priorità di un ricorso rispetto all’altro.
Con la sentenza nella Causa C-132/21, la Corte dell’UE ricorda che il GDPR non prevede alcuna competenza prioritaria o esclusiva, né alcuna regola di prevalenza della valutazione effettuata dall’autorità di controllo o da un tribunale relativa all’esistenza di una violazione dei diritti in questione. Di conseguenza, il ricorso amministrativo e il ricorso civile previsti dal Regolamento europeo sulla protezione dei dati personali possono essere esercitati in modo concorrente e indipendente.
Per quanto riguarda il rischio di decisioni contrastanti, la Corte UE sottolinea che spetta a ciascuno Stato membro assicurare, adottando le norme procedurali necessarie a tal fine e nell’esercizio della propria autonomia procedurale, che i ricorsi concorrenti e indipendenti previsti dal GDPR non pregiudichino né l’effetto utile e la tutela effettiva dei diritti garantiti dallo stesso Regolamento europeo, né l’applicazione coerente e omogenea delle sue disposizioni né, infine, il diritto a un ricorso effettivo dinanzi a un giudice.