Sintesi
Il paziente ha il diritto a ottenere gratuitamente una prima copia della sua cartella medica. Lo ha stabilito la Cgue con la sentenza 26 ottobre 2023 nella causa C-307/22.
Nell’ambito di un rapporto medico/paziente, va riconosciuto al paziente il diritto di ottenere gratuitamente una prima copia della sua cartella medica, che contiene la riproduzione fedele e intelligibile dell’insieme dei dati personali e quelli relativi alla salute.
Il titolare del trattamento (nella fattispecie, la dentista) può esigere un pagamento solo se il paziente ha già ottenuto gratuitamente una prima copia dei suoi dati e ne fa nuovamente richiesta mentre il paziente, dal canto suo, non è tenuto a motivare la propria richiesta.
Lo ha affermato la Corte di giustizia europea con la “sentenza FT” del 26 ottobre 2023 (C-307/22), specificando che tale diritto va riconosciuto per consentire all’interessato di verificare l’esattezza e la completezza dei dati personali, nonché per garantirne l’intelligibilità. Per quanto riguarda i dati relativi alla salute, il diritto alla copia gratuita include in ogni caso quello di ottenere una copia dei dati della sua cartella medica contenente informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati al medesimo.
🅰 Permane, seppure ristretto e comunque fuori dal contesto sanitario, uno spazio interpretativo per ritenere soddisfatto il diritto di accesso privacy con la fornitura di sintesi e riassunti dei dati trattati.
🅱 Con questa sentenza il diritto di accesso ex GDPR “cannibalizza” gli altri regimi di accesso a documenti e informazioni (penso ad esempio all’accesso agli atti amministrativi ex l. 241/1990), per lo meno nel settore sanitario.
Il caso esaminato
Un paziente che cercava di scoprire errori nel lavoro del suo dentista ha richiesto l’accesso alla sua cartella clinica. Il dentista ha risposto che, secondo la legge tedesca, l’accesso alla cartella clinica del paziente potrebbe essere subordinato al pagamento da parte dell’interessato dei costi connessi alla fornitura delle cartelle. Il paziente ha affermato che ciò non è conforme al GDPR, che conferisce agli interessati il diritto di accedere a una copia dei propri dati (art. 15).
Ritenendo di avere diritto a una copia gratuita, il paziente si è rivolto ai giudici tedeschi.
Inizialmente, la richiesta di DW di una copia gratuita è stata accolta, poiché il tribunale di primo grado ha basato la propria interpretazione della legislazione nazionale tedesca alla luce dell’articolo 12, paragrafo 5, e dell’articolo 15, paragrafi 1 e 3 del GDPR .
La vicenda è arrivata fino alla Cassazione tedesca (Corte federale di giustizia). La paziente ha sempre sostenuto che la copia doveva essere gratuita, dando origine a una disputa legale che, nei primi due gradi di giudizio, è stata favorevole alla paziente.
Infatti, il giudice tedesco ritiene che la soluzione della controversia dipenda dall’interpretazione delle disposizioni del diritto dell’Unione, vale a dire il regolamento generale sulla protezione dei dati (RGPD).
Le questioni pregiudiziali sollevate alla Corte di Giustizia Europea
La Corte federale di giustizia tedesca ha quindi sottoposto alcune questioni pregiudiziali alla Corte di giustizia, ritenendo che la soluzione della controversia dipenda dall’interpretazione delle disposizioni del diritto dell’Unione, in particolare del regolamento generale sulla protezione dei dati (RGPD).
Pertanto, il Bundesgerichtshof ha sottoposto la causa alla CGUE in via pregiudiziale ponendo le seguenti questioni:
1. Il GDPR ( articolo 15, paragrafo 3, GDPR, letto in combinato disposto con l’articolo 12, paragrafo 5, GDPR ) richiede al professionista di fornire una copia gratuita dei dati personali del paziente quando la richiesta del paziente è per uno scopo diverso da quelli menzionati nel il GDPR al considerando 63? Ad esempio, in questo caso, richiedere una prima copia della propria cartella clinica per ritenere responsabile un medico?
2. Se la risposta alla prima domanda è negativa:
a) Una disposizione nazionale adottata prima dell’entrata in vigore del GDPR può limitare il diritto di ricevere una copia gratuita dei dati personali concesso dal GDPR? [1]
b) Se la risposta ad a) è positiva, i ” diritti e le libertà altrui” di cui all’articolo 23, paragrafo 1, lettera i), GDPR includono l’esenzione dai costi e dagli oneri associati alla fornitura di una copia dei dati?
c) Se la risposta alla lettera b) è positiva, una normativa nazionale che attribuisce al medico il diritto al rimborso delle spese sostenute dal paziente per aver fornito una copia dei dati personali del paziente, costituisce una restrizione dei diritti e degli obblighi previsti dal GDPR ?
3. Se la risposta alla prima questione e alla seconda questione da (a) a (c) è negativa, l’articolo 15, paragrafo 3, prima frase, del GDPR significa che il paziente ha il diritto di ricevere copia di tutte le parti della cartella clinica contenente dati personali, oppure si limita ad una copia dei dati anagrafici del paziente, consentendo al medico curante di decidere come compilare i dati riguardanti il paziente?
Contesto normativo
Ai sensi del considerando 4 del RGPD:
«(…) Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.
Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla [Carta dei diritti fondamentali dell’Unione europea], sanciti dai trattati, in particolare (…) la libertà d’impresa (…)».
considerando 10 e 11 del RGPD così recitano:
Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. (…)
Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, (…)».
In forza del considerando 13 del RGPD:
«(…) [L]e istituzioni e gli organi dell’Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento. (…)».
Il considerando 58 del RGPD precisa quanto segue:
«Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione.
Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web.
Ciò è particolarmente utile in situazioni in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano, quali la pubblicità online.
Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente».
Come prevede il considerando 59 del RGPD:
«È opportuno prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione (…)».
| Articolo 15 EU RGPD “Diritto di accesso dell’interessato” Art. 83 (5) lit b |
|
1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: => Articolo: 12 |
| a) le finalità del trattamento; |
| b) le categorie di dati personali in questione; |
| c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; |
| d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; |
| e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; |
| f) il diritto di proporre reclamo a un’autorità di controllo; |
| g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; |
| h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. |
2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.
=> Articolo: 12
3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
2
4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.
| Articolo 12 EU RGPD “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato” Art. 83 (5) lit b |
|
1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato. => Motivo: 58, 59 |
|
ere! 2. Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli 15 a 22. Nei casi di cui all’articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti ai sensi degli articoli 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato. |
| 3. Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato. |
| 4. Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale. |
|
5. Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può: a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure b) rifiutare di soddisfare la richiesta. Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta. |
| 6. Fatto salvo l’articolo 11, qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato. |
| 7. Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico. |
| 8. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 92 al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate. |
La decisione
Nella sua sentenza, la Corte ricorda che il RGPD sancisce il diritto del paziente di ottenere una prima copia della sua cartella medica senza che, in linea di principio, ciò comporti spese.
Il titolare del trattamento può esigere un pagamento soltanto se il paziente ha già ottenuto gratuitamente una prima copia dei suoi dati e ne fa nuovamente richiesta.
La dentista in questione deve essere considerata titolare del trattamento dei dati personali del suo paziente. In quanto tale, è tenuta a fornirgli gratuitamente una prima copia dei suoi dati. Il paziente non è tenuto a motivare la propria richiesta.
Le norme nazionali non possono porre a carico di un paziente le spese della prima copia della sua cartella medica, e ciò nemmeno per tutelare gli interessi economici dei professionisti sanitari.
Inoltre, il paziente ha il diritto di ottenere una copia integrale dei documenti contenuti nella sua cartella medica, qualora ciò sia necessario per la comprensione dei dati personali contenuti in tali documenti.
Tale diritto comprende i dati della cartella medica contenenti informazioni quali le diagnosi, gli esiti degli esami, i pareri dei medici curanti nonché eventuali terapie o interventi praticati.
Ai sensi degli artt. 12§.5 e 15 §.1 e 3 GDPR
«l’obbligo di fornire gratuitamente all’interessato una prima copia dei suoi dati personali oggetto di trattamento vincola il titolare del trattamento anche qualora tale richiesta sia basata su una finalità estranea a quelle di cui al considerando 63, prima frase, di tale regolamento».
Un’eventuale seconda copia della stessa cartella medica, però, sarà soggetta a pagamento.
Più precisamente ai sensi dell’art.15 §.3 «nell’ambito di un rapporto medico/paziente, il diritto di ottenere una copia dei dati personali oggetto di trattamento implica che all’interessato sia fornita una riproduzione fedele e intelligibile di tutti questi dati.
Tale diritto comprende il diritto di ottenere una copia integrale dei documenti contenuti nella sua cartella clinica che contengono, in particolare, tali dati, qualora la fornitura di una siffatta copia sia necessaria per consentire all’interessato di verificarne l’esattezza e la completezza e di garantirne la comprensibilità.
L’art. 15 §§.1 e 3 poi sancisce un diritto di accesso ai propri dati sanitari gratuito e che il paziente deve ottenerne copia integrale.
Non solo queste disposizioni impongono oneri precisi al titolare del trattamento dei dati, ma anche chiariscono, rinviando anche ai Considerando 59 e 63 del GDPR, che la ratio di questo Regolamento e della protezione dei dati è che chiunque deve avere accesso ai propri dati ed esserne informato sul loro trattamento (trasparenza).
Considerando 59
(59) È opportuno prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione.
Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici.
Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell’interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste.
Perciò gli Stati dovrebbero adottare «disposizioni volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti conferitigli dal presente regolamento, compresi i mezzi per chiedere e, se del caso, ottenere gratuitamente, in particolare, l’accesso ai dati personali, rettifica o cancellazione e l’esercizio di un diritto di opposizione»
Considerando 63
Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità.
Ciò include il diritto di accedere ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati.
Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento.
Ove possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali.
Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software.
Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni.
Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce.
Il contenuto del diritto di accesso ai dati relativi alla salute dell’interessato
Nel caso di dati relativi alla salute dell’interessato, tale diritto comprende in ogni caso il diritto di ottenere una copia dei dati contenuti nella sua cartella clinica contenente informazioni quali diagnosi, risultati di esami, pareri di medici curanti e qualsiasi trattamento o intervento somministrato all’interessato»
Ciò perché è necessario contestualizzare tali dati e per consentire al paziente un controllo sulla trasparenza e la liceità del trattamento dei propri dati: ciò non sarebbe possibile se fosse data copia dei soli dati in quanto tali anziché dei documenti (estratto o copia integrale) in cui essi sono contenuti
L’essenza stessa del GDPR e della stessa protezione dei dati è che l’interessato possa averne accesso in qualsiasi momento, possa consultarli, farli rettificare, chiederne la cancellazione od ottenerne copia dal titolare del trattamento.
non occorre giustificare e/o motivare l’esercizio del diritto
Ergo non c’è alcuna necessità che l’interessato giustifichi i motivi per i quali chiede accesso ai propri dati, fermo restando che andranno rigettate tutte quelle domande che dovessero risultare estranee alle finalità di conoscenza del trattamento e di verificarne la liceità.
In tutti questi casi deve essere data copia gratuita della cartella medica, dei referti etc. come sopra esplicato, restando inteso che ai sensi dell’art. 15 il professionista titolare del trattamento possa chiedere un rimborso spese ragionevole solo per le eventuali copie supplementari.
«Di conseguenza, tenuto conto dell’importanza che il GDPR attribuisce al diritto di accesso ai dati personali oggetto di trattamento, come garantito dall’articolo 15, paragrafo 1, del GDPR al fine di conseguire tali obiettivi, l’esercizio di tale diritto non può essere subordinato a condizioni che non siano state espressamente previste dal legislatore dell’Unione.
Va disapplicata la legge interna che impone di pagare detta copia
| Articolo 23 EU RGPD “Limitazioni” => Motivo: 73 |
|
1. Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare: => Articolo: 6 |
| a) la sicurezza nazionale; |
| b) la difesa; |
| c) la sicurezza pubblica; |
| d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; |
| e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; |
| f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari; |
| g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; |
| h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g); |
| i) la tutela dell’interessato o dei diritti e delle libertà altrui; |
| j) l’esecuzione delle azioni civili. |
|
e! 2. In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso: |
| a) le finalità del trattamento o le categorie di trattamento; |
| b) le categorie di dati personali; |
| c) la portata delle limitazioni introdotte; |
| d) le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti; |
| e) l’indicazione precisa del titolare del trattamento o delle categorie di titolari; |
| f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; |
| g) i rischi per i diritti e le libertà degli interessati; e |
| h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa. |
L’articolo 23 del GDPR prevede che lo Stato abbia la possibilità di limitare, attraverso le proprie leggi, l’applicazione degli obblighi stabiliti negli articoli 12-22 del GDPR.
Tuttavia, tali limitazioni devono essere in linea con i diritti e gli obblighi previsti da tali articoli e rispettare il contenuto essenziale dei diritti e delle libertà fondamentali.
Inoltre, devono costituire una misura necessaria e proporzionata per garantire la tutela dei diritti e delle libertà di terzi.
Orbene, alla luce dei dubbi esegetici sollevati, è importante considerare che l’ordinamento tedesco prevede un tariffario minimo per l’estrazione di copie di dati sanitari al fine di tutelare i professionisti.
Tuttavia, questa disposizione potrebbe avere un effetto dissuasivo sull’interessato, che potrebbe rinunciare a richiedere le copie dei propri dati e quindi compromettere la tutela dei propri diritti.
La decisione della Corte di Giustizia Europea
Le questioni pregiudiziali
1. Il GDPR ( articolo 15, paragrafo 3, GDPR, letto in combinato disposto con l’articolo 12, paragrafo 5, GDPR ) richiede al professionista di fornire una copia gratuita dei dati personali del paziente quando la richiesta del paziente è per uno scopo diverso da quelli menzionati nel il GDPR al considerando 63? Ad esempio, in questo caso, richiedere una prima copia della propria cartella clinica per ritenere responsabile un medico?
Sulla prima questione, la Corte ha chiarito che l’articolo 12, paragrafo 5, e l’articolo 15, paragrafi 1 e 3 del GDPR impongono ai titolari del trattamento l’obbligo di fornire all’interessato, gratuitamente, una copia iniziale dei suoi dati personali elaborati.
L’articolo 12, paragrafo 5, del GDPR prevede due ragioni per cui un titolare del trattamento può addebitare un compenso ragionevole o rifiutarsi di dare seguito a una richiesta. Queste ragioni si applicano nei casi in cui le richieste dell’interessato sono considerate “manifestamente infondate” o “eccessive” a causa del loro carattere ripetitivo, configurando così un abuso di diritto.
Nel caso di specie, il giudice del rinvio aveva già osservato che la richiesta dell’interessato non era ingiusta.
Il diritto di accesso dell’interessato è garantito dall’articolo 15, paragrafo 1 GDPR.
La Corte ha utilizzato l’articolo 15, paragrafo 4, interpretando l’articolo 15, paragrafo 3 nel senso che conferisce un “diritto” ai dati gratuitamente.
Il pagamento potrà quindi essere richiesto dal titolare solo nel caso in cui l’interessato abbia già ricevuto, gratuitamente, una prima copia dei propri dati e ne faccia nuovamente richiesta. Inoltre, come precisa l’articolo 15, paragrafo 3, GDPR , tale copia deve essere una riproduzione fedele dei dati personali, intesi in senso lato, oggetto di operazioni qualificabili come “trattamenti effettuati dal titolare del trattamento”. [2]
Pertanto, una lettura combinata dell’articolo 12, paragrafo 5, e dell’articolo 15, paragrafi 1 e 3, GDPR conferma il diritto dell’interessato di ottenere una prima copia gratuita dei propri dati personali oggetto di trattamento.
Conferma inoltre le deroghe a questa regola generale. A determinate condizioni, il titolare del trattamento può addebitare spese ragionevoli tenendo conto dei costi amministrativi, o rifiutarsi di soddisfare una richiesta se quest’ultima è manifestamente infondata o eccessiva (come delineato nell’articolo 12, paragrafo 5, GDPR ) .
È importante sottolineare che il tribunale conferma che l’obbligo di cui sopra rimane valido anche quando la richiesta è motivata per uno scopo estraneo a quelli di cui al primo periodo del considerando 63 GDPR.
Né la formulazione dell’articolo 12, paragrafo 5, GDPR, né quella dell’articolo 15, paragrafi 1 e 3, GDPR condizionano la fornitura (di accedere gratuitamente alla prima copia dei propri dati personali) ad un motivo che giustifichi le richieste (cfr. paragrafo 38).
Ne consegue che l’interessato non è tenuto a motivare la richiesta di accesso ai dati.
La prima frase del considerando 63 non può essere interpretata nel senso che una richiesta deve essere respinta se è diretta ad uno scopo diverso da quello di prendere conoscenza del trattamento dei dati e di verificarne la liceità. In questo modo il considerando 63 non può limitare la portata dell’articolo 15, paragrafo 3, GDPR (cfr. paragrafo 35).
2. Se la risposta alla prima domanda è negativa:
a) Una disposizione nazionale adottata prima dell’entrata in vigore del GDPR può limitare il diritto di ricevere una copia gratuita dei dati personali concesso dal GDPR? [1]
b) Se la risposta ad a) è positiva, i ” diritti e le libertà altrui” di cui all’articolo 23, paragrafo 1, lettera i), GDPR includono l’esenzione dai costi e dagli oneri associati alla fornitura di una copia dei dati?
c) Se la risposta alla lettera b) è positiva, una normativa nazionale che attribuisce al medico il diritto al rimborso delle spese sostenute dal paziente per aver fornito una copia dei dati personali del paziente, costituisce una restrizione dei diritti e degli obblighi previsti dal GDPR ?
Sulla seconda questione, l’articolo 23, paragrafo 1, lettera i), GDPR deve essere interpretato nel senso che la normativa nazionale adottata prima dell’entrata in vigore del GDPR potrebbe rientrare nell’ambito di applicazione di tale disposizione.
Tuttavia, tale opzione non consente l’adozione di una normativa nazionale che, al fine di tutelare gli interessi economici del titolare del trattamento, imponga all’interessato il costo di una prima copia dei suoi dati personali oggetto di tale trattamento.
L’articolo 23, paragrafo 1, GDPR non esclude dal suo ambito di applicazione le misure legislative nazionali adottate prima dell’entrata in vigore del GDPR, a condizione che soddisfino le condizioni prescritte dal GDPR.
La Corte ha convenuto che l’articolo 23, paragrafo 1, lettera i), GDPR pone una limitazione alla portata dell’articolo 15 GDPR.
Pertanto il diritto riconosciuto all’interessato di ottenere una prima copia gratuita dei propri dati personali oggetto di trattamento non è assoluto. Tuttavia, questa limitazione è legata alla tutela dei diritti e delle libertà altrui.
Pertanto, un obiettivo legato alla tutela degli interessi economici dei professionisti non è sufficiente a giustificare una limitazione del diritto sancito dall’articolo 15 GDPR.
Ciò è ulteriormente corroborato dal fatto che tali interessi hanno addirittura la conseguenza di dissuadere i pazienti dal presentare richieste legittime di copia della propria cartella clinica.
3. Se la risposta alla prima questione e alla seconda questione da (a) a (c) è negativa, l’articolo 15, paragrafo 3, prima frase, del GDPR significa che il paziente ha il diritto di ricevere copia di tutte le parti della cartella clinica contenente dati personali, oppure si limita ad una copia dei dati anagrafici del paziente, consentendo al medico curante di decidere come compilare i dati riguardanti il paziente?
Per quanto riguarda l’ultima questione, già nella causa C-487/21 FF contro DSB la CGUE ha deciso che il diritto alla copia ai sensi dell’articolo 15, paragrafo 3, GDPR implica che all’interessato debba essere fornita una riproduzione fedele e intelligibile di tutti i suoi dati personali.
Ciò può includere, nella misura in cui sia necessario per proteggere i loro diritti e interessi, copie di estratti di documenti, interi documenti o estratti di banche dati. In questo caso la CGUE estende questo principio al contesto del rapporto medico/paziente, e così facendo sembra limitarlo. Il paziente ha diritto di ottenere copia integrale dei documenti contenuti nella propria cartella clinica, ove sia indispensabile per comprendere i dati personali contenuti in tali documenti.
Questo diritto comprende informazioni quali diagnosi, risultati di esami, opinioni del medico curante e qualsiasi trattamento o intervento somministratogli.
Un diritto controverso
La portata del diritto di accesso previsto dal GDPR è stata oggetto di pesanti controversie sia a livello europeo che nazionale.
A livello nazionale, in una decisione sorprendente all’inizio di quest’anno, l’autorità belga per la protezione dei dati ha ritenuto che sarebbe eccessivo chiedere a un datore di lavoro di cercare nei suoi server di posta elettronica tutte le e-mail riguardanti un ex dipendente.
Secondo l’Autorità ciò costituirebbe uno “sforzo sproporzionato” per l’ex datore di lavoro in quanto, tra l’altro, il richiedente era dipendente da otto anni e, per un certo periodo, l’indirizzo email utilizzato dal richiedente è stato utilizzato anche da altri dipendenti.
Inoltre, il richiedente non aveva fornito parametri che potessero aiutare l’ex datore di lavoro nella ricerca attraverso i server di posta elettronica.
L’avvocato generale della CGUE esprime pareri sul diritto di accesso ai dati personali previsto dal GDPR
Il 15 dicembre 2022, gli avvocati generali della Corte di giustizia dell’Unione europea hanno emesso due distinti pareri sul diritto di accesso ai dati personali, in conformità all’articolo 15 del Regolamento Generale sulla Protezione dei Dati (GDPR).
Prima causa (C-487 / 21)
Il ricorrente ha richiesto a un’agenzia di consulenza una copia dei suoi dati personali.
Tuttavia, l’agenzia ha fornito solo informazioni aggregate, senza trasmettere alcuna email o estratto del database contenente i dati richiesti.
Di conseguenza, il ricorrente ha presentato un reclamo all’autorità di vigilanza austriaca, sostenendo che l’agenzia avrebbe dovuto fornire una copia completa di tutti i documenti, inclusi gli email o gli estratti di database contenenti i dati personali. Nonostante ciò, l’Autorità di Controllo ha respinto la richiesta, affermando che non c’è stata alcuna violazione del diritto di accesso secondo il GDPR.
Il ricorrente ha presentato ricorso ai tribunali austriaci.
Il tribunale austriaco competente ha chiesto alla CGUE se il diritto di ottenere una copia dei dati personali oggetto di trattamento, ai sensi dell’articolo 15, paragrafo 3, debba essere interpretato restrittivamente ai sensi dell’articolo 15, paragrafo 1, o se conferisca un diritto separato di ricevere una copia delle informazioni, che includerebbe copie di documenti o estratti di database in cui vengono elaborati dati personali.
In merito al diritto di accesso l’AG ha espresso, tra l’altro, quanto segue:
- Una “copia dei dati personali”, ai sensi dell’art. 15, comma 3, GDPR, è una riproduzione fedele, “parola per parola” di tali dati e deve essere presentata in forma intelligibile per consentire all’interessato di esercitare il diritto di accesso ai dati personali. La forma esatta della copia deve essere determinata caso per caso, considerando le circostanze del caso.
- Con il termine “informazione”, all’interno dell’articolo 15, paragrafo 3, GDPR, si intende l’informativa di cui ai punti 15, lettere da a) a (h), GDPR, in relazione ai dati personali oggetto di trattamento.
Secondo l’AG:
- L’articolo 15, paragrafo 1, definisce l’oggetto e la portata del diritto di accesso, in base al quale l’interessato può informarsi se i suoi dati personali siano trattati o meno e, in caso affermativo, ottenere informazioni, di cui alle lettere da a) a ( h) dell’articolo 15 GDPR; E
- L’articolo 15, paragrafo 3, GDPR prescrive la forma in cui il responsabile del trattamento deve rendere disponibili i dati personali, in particolare sotto forma di copia. Pertanto, il diritto di ottenere una copia dei dati personali non è un diritto autonomo, ma deve piuttosto essere letto alla luce della finalità del diritto di accesso, che è quella di consentire all’interessato di esercitare ulteriori diritti sanciti dal GDPR ( diritto di rettifica, diritto di cancellazione, diritto di opposizione).
L’AG afferma che l’articolo 15, paragrafo 3, GDPR non garantisce un “diritto generale di accesso” alle informazioni, come una copia completa del documento che contiene dati personali o un estratto da un database.
Tuttavia, l’AG ritiene che ciò non significhi che il titolare del trattamento non debba fornire documenti o estratti di banche dati contenenti dati personali, laddove ciò sia necessario per garantire che i dati personali siano intelligibili, ai sensi dell’articolo 15, paragrafo 3, GDPR.
Tuttavia, in queste circostanze, il diritto di ottenere una copia dei dati personali è limitato e non dovrebbe pregiudicare i diritti e le libertà altrui, inclusa la protezione dei segreti commerciali e dei diritti di proprietà intellettuale. Pertanto, i titolari del trattamento devono effettuare un atto di bilanciamento, laddove esiste un conflitto tra l’accesso ai dati personali e i diritti di terzi, e selezionare l’approccio che protegge maggiormente i diritti concorrenti in gioco.
Seconda causa (C‑579/21)
Questo caso riguarda un impiegato di una banca, che ha cercato l’identità e la posizione dei dipendenti della banca che hanno preso in considerazione i suoi dati personali durante un’indagine interna.
La banca si è rifiutata di fornire al ricorrente le informazioni richieste, per cui il ricorrente ha adito l’autorità di vigilanza finlandese.
L’Autorità di Vigilanza ha respinto la richiesta e il caso è stato presentato ricorso ai tribunali dell’Unione Europea.
In primo luogo, l’AG distingue tra informazioni che costituiscono dati personali e informazioni che riguardano semplicemente il trattamento dei dati personali (ad esempio scopo del trattamento e oggetto).
L’AG precisa che le informazioni richieste dal ricorrente riguardano solo le operazioni di trattamento e non i dati personali del ricorrente, ai sensi dell’articolo 4, paragrafo 1, GDPR. Di conseguenza, il ricorrente non può ottenere informazioni relative ai dipendenti della banca.
Inoltre, l’AG rileva che, qualora un dipendente agisca sotto “l’autorità diretta” del proprio datore di lavoro, non sarà classificato come “destinatario” di dati personali (ai sensi dell’articolo 15, paragrafo 1, lettera c), GDPR). , e in modo tale che la loro identità non debba essere rivelata al ricorrente per una questione di trasparenza.
Tuttavia, questo non è il caso dei dipendenti che agiscono al di fuori delle istruzioni del responsabile del trattamento e che sarebbero considerati, a pieno titolo, destinatari e responsabili del trattamento dei dati personali.
L’AG ritiene che l’interesse del ricorrente nell’identità dei dipendenti che trattano i dati personali debba essere bilanciato con (i) l’interesse del responsabile del trattamento a salvaguardare l’identità dei dipendenti e (ii) la protezione dei dipendenti dei propri dati personali. L’AG ha ritenuto che solo qualora sussistano sufficienti dubbi sulla liceità delle azioni dei dipendenti del titolare del trattamento, l’Autorità di controllo può decidere di rivelare la loro identità.
Come ultimo punto, l’AG ribadisce che il GDPR non fornisce all’interessato il diritto di conoscere l’identità dei dipendenti che trattano dati personali mentre sono alle dipendenze del titolare del trattamento.
Tuttavia, ciò non impedisce agli Stati membri di adottare norme settoriali che impongano la divulgazione dell’identità dei dipendenti del titolare del trattamento. Ad esempio, come menzionato nell’audizione, la Finlandia prevede tale divulgazione, in particolare, per quanto riguarda i dati sanitari.
Terza causa (C‑579/21)
Il 4 maggio 2023, la Corte di giustizia dell’Unione europea (“CGUE”) ha deciso, nella causa C-487/21 , che il diritto di ottenere una “copia” dei dati personali implica che all’interessato debbano essere fornite informazioni una riproduzione fedele e intelligibile di tutti i dati personali.
Ciò può includere anche documenti o estratti di database contenenti dati personali, laddove sia necessario garantire che i dati personali siano intelligibili, ai sensi dell’articolo 15, paragrafo 3, GDPR.
Sfondo. Il caso è sorto quando un interessato ha richiesto una copia di documenti contenenti i suoi dati personali ad un’agenzia di rating del credito (“l’Agenzia”).
L’Agenzia ha risposto a tale richiesta con un elenco sintetico dei dati dell’interessato oggetto di trattamento. Ritenendo che gli sarebbe dovuto essere consegnata una copia di tutti i documenti contenenti i suoi dati, l’interessato ha presentato reclamo all’autorità di controllo austriaca, che ha respinto il suo reclamo.
L’interessato ha quindi presentato ricorso contro tale decisione al Tribunale amministrativo federale austriaco, che ha deferito la questione alla CGUE.
Adempimento del diritto di accesso. La CGUE ha ritenuto che il diritto di ottenere una “copia” dei dati personali ai sensi dell’articolo 15, paragrafo 3, GDPR non è un diritto distinto dal diritto previsto dall’articolo 15, paragrafo 1, e che il termine “copia” non si riferisce al documento in quanto tale, ma ai dati personali contenuti in tale documento.
Pertanto, la CGUE ha interpretato il diritto di ottenerne una “copia” nel senso che esige che all’interessato sia fornita una riproduzione fedele e intelligibile dei suoi dati personali oggetto del trattamento.
In particolare, la CGUE ha ritenuto che il titolare del trattamento debba fornire copie di estratti di documenti, o anche interi documenti o estratti di banche dati, che contengono dati personali, al fine di garantire l’effettivo esercizio dei diritti dell’interessato previsti dal GDPR.
Parimenti, il titolare del trattamento deve garantire che i dati personali siano chiaramente intelligibili, il che può richiedere la riproduzione di estratti di documenti o anche di interi documenti per chiarire il contesto in cui i dati personali sono stati trattati.
Infine, la CGUE precisa che, in caso di conflitto tra il diritto di accesso dell’interessato e i diritti di terzi, il diritto di ottenerne una copia non dovrebbe ledere i diritti e le libertà altrui, tra cui la tutela dei segreti commerciali e diritti di proprietà intellettuale appartenenti a terzi. La CGUE ha concordato con l’Avvocato generale, ritenendo che i titolari del trattamento debbano effettuare un atto di bilanciamento e selezionare l’approccio meno invasivo per quanto riguarda la tutela dei diritti di proprietà intellettuale.
Conclusioni
Diritto di ottenere gratuitamente una prima copia dei dati oggetto del trattamento
Pertanto, secondo la Corte UE, leggendo l’articolo 15 in combinato disposto con l’articolo 12, paragrafo 5 del GDPR, si evince quanto segue:
Da un lato, l’interessato ha il diritto di ottenere gratuitamente una prima copia dei suoi dati personali oggetto di trattamento.
Dall’altro lato, il titolare del trattamento ha la facoltà di addebitare spese ragionevoli, tenendo conto dei costi amministrativi, o di rifiutare di soddisfare una richiesta se questa risulta manifestamente infondata o eccessiva, sempre che siano rispettate determinate condizioni.
Tuttavia, la Corte di Giustizia UE ha spiegato che nessuna di queste disposizioni subordina la fornitura gratuita di una prima copia dei dati personali all’invocazione, da parte dell’interessato, di un motivo diretto a giustificare la sua richiesta. Pertanto, i motivi di richiesta espressamente indicati nel preambolo del GDPR non possono limitare la portata di tali disposizioni. In altre parole, il diritto di accedere ai dati relativi alla salute non può essere limitato, né negando l’accesso né imponendo il pagamento di una tariffa, basandosi su uno di questi motivi. Questo vale anche per il diritto di ottenere gratuitamente una prima copia dei dati personali.
Sulla richiesta della copia della cartella medica al fine di far valere la responsabilità della dentista
L’articolo 15 del GDPR non richiede che il diritto alla comunicazione sia subordinato a determinati motivi. D’altra parte, la norma non impone all’interessato di fornire una motivazione per la sua richiesta di comunicazione. Pertanto, la prima frase del considerando 63 non può essere interpretata nel senso che tale richiesta debba essere respinta se ha un obiettivo diverso da quello di essere consapevole del trattamento dei dati e di verificarne la liceità. Questo considerando non può limitare la portata dell’articolo 15, paragrafo 3, del GDPR.
Diritto di accesso e trasparenza del trattamento dei dati
La Corte di Giustizia dell’Unione Europea ha chiarito che l’articolo 12, paragrafo 5, e gli articoli 15, paragrafo 1 e 3, del GDPR fanno parte delle disposizioni volte a garantire il diritto di accesso e la trasparenza nel trattamento dei dati personali dell’interessato.
Questi articoli conferiscono ampi diritti di accesso ai dati personali oggetto di trattamento e impongono ai titolari del trattamento di fornire gratuitamente una copia di tali dati agli interessati.
Pertanto, il principio della gratuità della prima copia dei dati e l’assenza di necessità di motivazione specifica per la richiesta di accesso facilitano l’esercizio dei diritti conferiti dal GDPR all’interessato.
L’esercizio di tale diritto non può essere subordinato a condizioni non esplicitamente previste dal legislatore dell’Unione, come l’obbligo di invocare uno dei motivi indicati nel considerando 63, prima frase, del GDPR.
Nel caso specifico, il dentista che tratta i dati dei suoi pazienti deve essere considerato il “titolare del trattamento” dei dati personali del paziente e deve fornire gratuitamente una copia dei dati. Il paziente, d’altra parte, non è tenuto a motivare la propria richiesta.
Quando si può chiedere il pagamento delle spese per la copia dei dati?
La Corte di Giustizia dell’Unione Europea ha chiarito che le norme nazionali non possono far pagare al paziente le spese per la prima copia della sua cartella medica, nemmeno per tutelare gli interessi economici dei professionisti sanitari.
Secondo l’articolo 12, paragrafo 5, e l’articolo 15, paragrafo 3, secondo comma, del GDPR, i interessi economici del titolare del trattamento devono essere presi in considerazione dal legislatore dell’Unione.
Questi articoli definiscono le circostanze in cui il titolare del trattamento può richiedere il pagamento delle spese per fornire una copia dei dati personali oggetto di trattamento.
L’articolo 12, paragrafo 5, prevede due motivi per cui il titolare del trattamento può addebitare un contributo spese ragionevole, considerando i costi amministrativi, oppure rifiutare di soddisfare una richiesta.
Questi motivi riguardano casi di abuso di diritto, in cui le richieste dell’interessato sono “manifestamente infondate” o “eccessive”, specialmente a causa della loro natura ripetitiva.
Secondo l’articolo 15, paragrafo 3, del GDPR, il titolare del trattamento può addebitare un contributo spese ragionevole solo se l’interessato richiede ulteriori copie dei suoi dati personali, dopo averne ricevuta una prima copia gratuitamente.
La Corte di Giustizia dell’Unione Europea afferma che la tutela degli interessi economici dei professionisti sanitari non può giustificare una misura che metta in discussione il diritto di ottenere gratuitamente una prima copia dei propri dati personali oggetto di trattamento. Pertanto, il pagamento di un contributo spese “ragionevole” può essere richiesto solo in caso di richieste manifestamente infondate o eccessive, al fine di tutelare il titolare del trattamento dal possibile abuso del diritto di accesso.
In conclusione, il pagamento di un contributo spese ragionevole può essere richiesto per consentire al titolare del trattamento di difendersi dall’abuso del diritto di accesso, ma solo in caso di richieste manifestamente infondate o eccessive.
Il diritto alla privacy non è una prerogativa assoluta
Si deve comunque rilevare che il diritto alla protezione dei dati personali non è assoluto, ma deve essere bilanciato con altri diritti fondamentali, in conformità al principio di proporzionalità (vedi considerando 4).
Infatti, l’articolo 15, paragrafo 4, del GDPR stabilisce che “il diritto di ottenere una copia (…) non deve ledere i diritti e le libertà altrui”.
Quali copie di dati si possono chiedere?
Il GDPR (Regolamento Generale sulla Protezione dei Dati) stabilisce i diritti degli individui riguardo all’accesso ai propri dati personali. In particolare, per quanto riguarda i dati personali relativi alla salute, il considerando 63 del regolamento specifica che gli interessati hanno il diritto di accedere ai dati presenti nelle loro cartelle mediche, come diagnosi, risultati di esami, pareri medici e informazioni sulle terapie o gli interventi praticati.
Secondo l’avvocato generale Nicholas Emiliou, il legislatore dell’Unione ha sottolineato l’importanza di garantire l’accesso completo e preciso ai dati personali relativi alla salute, tenendo conto della sensibilità di tali informazioni.
Pertanto, fornire solo una sintesi o una compilazione di tali dati potrebbe comportare il rischio di omissioni o inesattezze, rendendo più difficile la verifica della correttezza e della completezza dei dati da parte del paziente.
Il considerando 63 del RGPD afferma che gli interessati hanno il diritto di accedere ai dati personali relativi alla salute, come le cartelle mediche contenenti informazioni diagnostiche, risultati di esami, pareri medici e informazioni sulle terapie o gli interventi praticati.
Secondo l’articolo 4 del RGPD, il termine “dato personale” si riferisce a qualsiasi informazione relativa a una persona fisica identificata o identificabile. Il termine “trattamento” si riferisce a qualsiasi operazione o insieme di operazioni effettuate su dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’uso e la comunicazione dei dati.
L’articolo 12 del RGPD stabilisce che il titolare del trattamento deve fornire all’interessato tutte le informazioni relative al trattamento in modo chiaro, trasparente e facilmente accessibile.
Queste informazioni devono essere fornite per iscritto o in altri formati, anche elettronici, e devono essere comprensibili anche per i minori. Inoltre, il titolare del trattamento deve agevolare l’esercizio dei diritti dell’interessato secondo gli articoli da 15 a 22 del RGPD.
L’articolo 15 del RGPD sancisce il diritto dell’interessato di ottenere conferma sull’esistenza di un trattamento dei suoi dati personali e di accedere a tali dati, insieme ad altre informazioni come le finalità del trattamento, le categorie di dati personali trattati e i destinatari dei dati.
Gli articoli 16 e 17 del RGPD stabiliscono il diritto dell’interessato di richiedere la rettifica dei dati personali inesatti e il diritto alla cancellazione dei dati in determinate circostanze.
L’articolo 18 del RGPD prevede il diritto dell’interessato di ottenere la limitazione del trattamento dei suoi dati personali in determinate situazioni, come quando l’interessato contesta l’esattezza dei dati o si oppone alla cancellazione dei dati.
L’articolo 21 del RGPD garantisce il diritto dell’interessato di opporsi al trattamento dei suoi dati personali in determinate circostanze, come quando il trattamento si basa su interessi legittimi del titolare del trattamento.
Ai sensi dell’articolo 23, il diritto dell’Unione o dello Stato membro può limitare gli obblighi e i diritti stabiliti negli articoli da 12 a 22 del RGPD, purché tale limitazione rispetti i principi fondamentali dei diritti e delle libertà dell’individuo.
In sintesi, il GDPR garantisce agli individui il diritto di accedere ai propri dati personali, compresi quelli relativi alla salute. I titolari del trattamento devono fornire informazioni chiare e accessibili sull’uso e la conservazione dei dati personali, rispettando i diritti e le libertà degli interessati.
