In sintesi
- L'art. 15 GDPR riconosce all'interessato il diritto di accesso ai propri dati e a un set informativo.
- Include conferma del trattamento, copia dei dati, finalità, destinatari, retention, fonte, diritti, reclamo.
- La prima copia è gratuita; per copie ulteriori, contributo ragionevole basato sui costi.
- L'accesso include dati grezzi e dati derivati (scoring, segmenti, profili).
- Il diritto è bilanciato con i diritti e libertà altrui (par. 4): redazione per dati di terzi.
- Termine 1 mese ex art. 12; identificazione proporzionata al rischio.
Testo dell'articoloVigente
Articolo 15 del Regolamento (UE) 2016/679 (GDPR) — Diritto di accesso dell’interessato.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La portata del diritto di accesso
L'art. 15 GDPR riconosce all'interessato il diritto di accesso ai propri dati personali. È il diritto-base che apre la cassetta degli attrezzi di tutela: senza accesso, gli altri diritti (rettifica, cancellazione, limitazione, portabilità, opposizione) sono in larga parte ineseguibili. La norma è applicazione diretta del principio di trasparenza dell'art. 5, lett. a e dell'autodeterminazione informativa. La giurisprudenza CGUE ha dato letture estensive: il diritto di accesso include anche i destinatari specifici dei dati (sentenze in materia di registri pubblici).
Conferma e copia dei dati (par. 1-3)
Il par. 1 prevede che l'interessato abbia il diritto di ottenere dal titolare la conferma che sia o meno in corso un trattamento di propri dati personali e, in tal caso, di ottenere l'accesso ai dati personali e a una serie di informazioni (finalità, categorie, destinatari, periodo di conservazione o criteri, esistenza dei diritti di rettifica/cancellazione/limitazione/opposizione, diritto di reclamo, fonte se non ottenuti dall'interessato, esistenza di decisioni automatizzate con logica e conseguenze). Il par. 3 obbliga a fornire copia dei dati personali oggetto del trattamento, gratuitamente per la prima copia; per copie ulteriori, contributo ragionevole basato sui costi amministrativi.
Contenuto informativo dell'accesso
L'accesso include sia i dati grezzi (record, log, contenuti generati dall'utente) sia le informazioni derivate (categorie analitiche, scoring, segmenti di profilazione). Le linee guida EDPB 1/2022 hanno precisato che l'accesso copre tutti i dati personali, non solo quelli forniti dall'interessato. Esclusi sono i dati che, per loro natura, non sono personali (es. statistiche aggregate, dati di altri interessati anonimizzati). Per i contenitori di dati misti (file con dati di più persone), il titolare deve redarre le parti relative ad altri interessati, in coerenza con il par. 4.
Limiti e bilanciamento (par. 4)
Il par. 4 prevede che il diritto di ottenere copia non leda i diritti e le libertà altrui. È regola di bilanciamento: l'accesso non può tradursi in accesso ai dati di terzi (familiari, dipendenti, controparti). In azienda, l'accesso del dipendente non include i giudizi soggettivi di altri (es. valutazioni di colleghi); l'accesso del paziente in cartella include solo i propri dati e non quelli dell'equipe. La CGUE ha bilanciato accesso e segreto commerciale, riconoscendo la possibilità di redazione (redaction) e di non disclosure di algoritmi proprietari purché sia comunque comunicata logica significativa.
Tempi, gratuità, identificazione
L'art. 12 stabilisce i tempi (1 mese, prorogabile di 2 mesi per richieste complesse), la gratuità (con eccezione per richieste manifestamente infondate o eccessive) e le modalità (per iscritto, anche elettroniche). L'identificazione del richiedente è condizione di evasione: il par. 6 dell'art. 12 ammette al titolare di richiedere ulteriori informazioni necessarie per confermare l'identità, evitando però richieste eccessive che dissuadano l'esercizio. L'identificazione forte è giustificata per dati sensibili; per dati non sensibili, identificazione proporzionata.
Casi tipici e prassi
Sul piano applicativo, le aree principali sono: rapporti di lavoro (accesso del dipendente al fascicolo personale), sanità (cartella clinica), bancario (movimenti, scoring, log antiriciclaggio), telco (tabulati, log accessi), Big Tech (profilo utente, contenuti, log). Il Garante e i Garanti europei hanno sanzionato titolari che hanno opposto rifiuti generici, ritardi superiori a un mese senza motivazione, redaction eccessiva, oneri economici sproporzionati per copie aggiuntive. La compliance richiede sistemi di self-service o ticketing dedicati.
Regola pratica e checklist operativa
Compliance art. 15: (i) implementare ticketing dedicato (privacy@) e dashboard self-service ove possibile; (ii) procedura standard di triage (identificazione, perimetro, redaction); (iii) template di risposta per dato; (iv) timer 1 mese con escalation; (v) reazione su dati derivati (scoring, segmenti); (vi) redaction per dati di terzi; (vii) tracciamento nel registro. La risposta deve essere completa: silenzio o redaction eccessiva sono sanzionati.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Prassi e linee guida
Garante per la protezione dei dati personali
Garante per la protezione dei dati personali
Leggi il documento su www.garanteprivacy.itCasi pratici
Caso 1: Tizio: dipendente e fascicolo personale
Tizio, dipendente, chiede accesso al fascicolo personale. Diritto di art. 15: ottenere copia dei dati (CV, valutazioni, presenze) esclusi giudizi su colleghi ex par. 4. Il datore ha 1 mese ex art. 12.
Caso 2: Caio: paziente e cartella clinica
Caio, paziente, chiede cartella clinica. Diritto di accesso art. 15 + disciplina sanitaria nazionale. Include diagnosi, terapie, esami; esclusi dati di altri pazienti e annotazioni soggettive su terzi.
Caso 3: Sempronio: utente piattaforma e profilazione
Sempronio, utente social, chiede accesso al profilo. Include log, contenuti, segmenti di profilazione, scoring pubblicitario. Il titolare può redigere per dati di terzi ma deve fornire logica della profilazione.
Caso 4: Commento applicativo
L'art. 15 è il diritto più esercitato. Titolari che hanno implementato self-service dashboard (Google Takeout, Facebook download, Apple privacy report) hanno ridotto i ticket e migliorato la trasparenza. Per le PMI, ticketing dedicato è obbligatorio.
Domande frequenti
Cosa include il diritto di accesso?
Conferma del trattamento, copia dei dati, finalità, categorie, destinatari, retention, fonte (se indiretta), diritti, reclamo, decisioni automatizzate con logica e conseguenze.
Quanto costa l'accesso?
La prima copia è gratuita. Per copie ulteriori il titolare può chiedere un contributo ragionevole basato sui costi amministrativi (par. 3). Richieste manifestamente infondate o eccessive possono essere rifiutate (art. 12, par. 5).
Il titolare può rifiutare l'accesso?
Solo nei casi previsti (par. 4: lesione di diritti altrui; art. 23 limitazioni nazionali; art. 12, par. 5 abuso). Il rifiuto va motivato con indicazione dei rimedi.
Devo provare l'identità?
Sì, se il titolare ha dubbi (art. 12, par. 6). L'identificazione deve essere proporzionata: più forte per dati sensibili, leggera per dati ordinari. Richieste eccessive sono sanzionate.
Cosa fare se ricevo molte richieste simili?
Implementare dashboard self-service riduce il carico. Per richieste ripetitive dello stesso interessato, possibile contributo ragionevole o rifiuto motivato (art. 12, par. 5).
Vedi anche