A seguito di una consultazione pubblica, l’EDPB ha adottato la versione finale delle Linee guida sul diritto di accesso dei soggetti interessati per verificare il trattamento dei propri dati personali.
Le linee guida analizzano i vari aspetti del diritto e forniscono indicazioni più precise sulle modalità di attuazione dello stesso nelle diverse situazioni.
Lo scopo del diritto di accesso è determinato dall’ambito del concetto di dati personali come definito nell’art. 4(1) del GDPR.
Oltre ai dati personali di base come nome, indirizzo, numero di telefono, ecc., un’ampia gamma di dati può rientrare in questa definizione, come i risultati medici, lo storico degli acquisti, gli indicatori di affidabilità creditizia, i registri delle attività, le attività di ricerca, ecc. I dati personali che sono stati sottoposti a pseudonimizzazione sono ancora dati personali, a differenza dei dati anonimizzati.
Il diritto di accesso si riferisce ai dati personali della persona che ne fa richiesta. Questo non deve essere interpretato in modo eccessivamente restrittivo e può includere dati che potrebbero riguardare anche altre persone, ad esempio la cronologia delle comunicazioni con messaggi in entrata e in uscita.
Oltre a fornire l’accesso ai dati personali, il responsabile del trattamento deve fornire ulteriori informazioni sul trattamento e sui diritti degli interessati.
Tali informazioni possono basarsi su quanto già raccolto nel registro delle attività di trattamento del responsabile del trattamento (art. 30 GDPR) e nell’informativa sulla privacy (artt. 13 e 14 GDPR). Tuttavia, è possibile che queste informazioni generali debbano essere aggiornate al momento della richiesta o adattate per riflettere le operazioni di trattamento effettuate in relazione alla specifica persona che effettua la richiesta.
Tra le altre cose, le Linee guida forniscono chiarimenti sull’ambito di applicazione del diritto di accesso, sulle informazioni che il responsabile del trattamento deve fornire all’interessato, sul formato della richiesta di accesso, sulle principali modalità di accesso e sulla nozione di richiesta manifestamente infondata o eccessiva.
In seguito alla consultazione pubblica, le Linee guida sono state aggiornate e sono stati aggiunti ulteriori chiarimenti su diversi aspetti emersi nel corso della consultazione.
Si ricorda che il diritto di accesso comprende tre diverse componenti:
- conferma dell’eventuale trattamento o meno di dati sulla persona;
- accesso a tali dati personali;
- accesso alle informazioni sul trattamento, quali finalità, categorie di dati e destinatari, durata del trattamento, diritti degli interessati e garanzie adeguate in caso di trasferimenti in paesi terzi.