Per chiedere l’accesso ai dati personali per conto di un cliente non basta la parola dell’avvocato, che dichiara di agire su incarico dell’interessato. La richiesta di accesso, formulata in applicazione dell’articolo 15 Gdpr deve essere firmata sia dall’avvocato sia dal cliente oppure deve avere in allegato la delega conferita al professionista.
È quanto stabilito dal tribunale di Salerno (sentenza n. 47/2025 del 7 gennaio 2025), che ha bocciato l’iniziativa di un avvocato che ha mandato, per incarico di un suo cliente, una richiesta di accesso privacy a una società di servizi, limitandosi a dichiarare di agire per conto dell’interessato, ma senza documentare il mandato ricevuto.
Ok alla mancata risposta - Nella sentenza il tribunale campano attesta che il titolare del trattamento (l’azienda di servizi) ha fatto bene a non rispondere, perchè c’era oggettiva incertezza sul possesso in capo al legale dei poteri di rappresentanza. In questi casi, tra l’altro, bisogna agire con estrema cautela, perché chi consegna informazioni a soggetti non autorizzati commette una violazione del Gdpr, punita con una pesante sanzione amministrativa (articolo 83 Gdpr).
Diritto d’accesso ai dati personali - In base al Gdpr, l’interessato (soggetto di cui si trattano i dati) ha diritto di sapere se un’impresa o una pubblica amministrazione sta trattando i suoi dati e quali. Si tratta del diritto di accesso ai dati personali e alle informazioni sul trattamento (articolo 15 Gdpr). La richiesta di accesso “privacy”, peraltro,
È un atto che può essere formulato sia personalmente sia tramite proprio delegato e non è un atto riservato agli avvocati. In ogni caso, tuttavia, se si agisce per il tramite di un delegato, quest’ultimo deve dimostrare di avere ricevuto la delega dal cliente e non basta l’autodichiarazione del delegato.
La delega serve sempre - La sentenza in commento avverte che una delega è sempre necessaria, anche se può essere una semplice scrittura privata, non essendo necessario un atto pubblico. Per dimostrare di avere ricevuto dal proprio cliente un mandato a chiedere l’accesso “privacy”, dunque, è sufficiente allegare una scrittura privata contenente procura o delega sottoscritta dall’interessato.
D’altra parte, come attestato dalle Linee guida 1/2022 sui diritti degli interessati dell’Edpb (Comitato europeo per la protezione dei dati), il titolare del trattamento che riceve una richiesta di accesso, ai sensi dell’articolo 15 Gdpr, ha il dovere di controllare la legittimazione del richiedente a ricevere le informazioni.
E, nel caso in cui il titolare del trattamento, ricevuta una richiesta di accesso, nutra ragionevoli dubbi circa l'identità della persona fisica che presenta la richiesta, deve richiedere ulteriori informazioni necessarie per confermare l'identità dell'interessato.
Dati a disposizione di terzi - In effetti, se il titolare del trattamento, a seguito di una richiesta di accesso, mette a disposizione i dati a un terzo non autorizzato, rischia una sanzione amministrativa, fino a 20 milioni di euro o, per le imprese, se superiore fino all’importo pari al 4% del fatturato. Non sempre è, però, giustificato identificare il richiedente chiedendo un documento di identità. Ciò potrebbe essere giustificato per i soggetti che trattano categorie particolari di dati personali o che effettuano trattamenti di dati suscettibili di rappresentare un rischio per gli interessati (ad esempio informazioni di carattere medico o sanitario). Ma in tal caso non va conservata una copia del documento: ciò costituisce violazione del Gdpr (meglio apporre una nota, quale, ad esempio "il documento di identità è stato controllato").
Articolo tratto da Federprivacy e Italia Oggi di Antonio Ciccia Messina