Corte di Giustizia dell’Unione Europea, sentenza del 12 gennaio 2023, nella causa C‑154/21
Il 15 gennaio 2019 RW si è rivolto all’Österreichische Post al fine di ottenere, sulla base dell’articolo 15 del RGPD, l’accesso ai dati personali che lo riguardavano conservati da quest’ultima o che la stessa aveva conservato in passato e, in caso di comunicazione dei dati a terzi, l’identità di tali destinatari.
In risposta a tale richiesta, l’Österreichische Post si è limitata ad affermare che essa utilizza dati, nei limiti consentiti dalla legge, nell’ambito della sua attività di editore di elenchi telefonici e che fornisce tali dati personali a partner commerciali a fini di marketing. Inoltre, essa ha rinviato a un sito Internet per informazioni più dettagliate e per le altre finalità del trattamento dei dati. Essa non ha comunicato a RW l’identità in concreto dei destinatari dei dati.
RW ha citato l’Österreichische Post dinanzi ai giudici austriaci chiedendo che venisse ingiunto a quest’ultima di fornirgli, in particolare, l’identità del destinatario o dei destinatari dei suoi dati personali così comunicati.
Nel corso del procedimento giudiziario così avviato, l’Österreichische Post ha informato RW che i suoi dati personali erano stati trattati a fini di marketing e trasmessi a clienti, tra cui inserzionisti attivi nel settore della vendita per corrispondenza e del commercio tradizionale, imprese informatiche, editori di indirizzi e associazioni quali organizzazioni di beneficenza, organizzazioni non governative (ONG) o partiti politici.
I giudici di primo grado e d’appello hanno respinto il ricorso di RW in quanto l’articolo 15, paragrafo 1, lettera c), del RGPD, nella parte in cui fa riferimento a «destinatari o (…) categorie di destinatari», accorderebbe al titolare del trattamento la possibilità di indicare all’interessato soltanto le categorie di destinatari, senza dover indicare nominativamente i destinatari concreti ai quali sono trasmessi i dati personali.
In proposito la Corte ha dichiarato:
L’articolo 15, paragrafo 1, lettera c), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:
il diritto di accesso dell’interessato ai dati personali che lo riguardano, previsto da tale disposizione, implica, qualora tali dati siano stati o saranno comunicati a destinatari, l’obbligo per il titolare del trattamento di fornire a detto interessato l’identità stessa di tali destinatari, a meno che sia impossibile identificare detti destinatari o che il suddetto titolare del trattamento dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive, ai sensi dell’articolo 12, paragrafo 5, del regolamento 2016/679, nel qual caso il titolare del trattamento può indicare a detto interessato unicamente le categorie di destinatari di cui trattasi.