TRIB
Sentenza 30 gennaio 2025
Sentenza 30 gennaio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Milano, sentenza 30/01/2025, n. 800 |
|---|---|
| Giurisdizione : | Trib. Milano |
| Numero : | 800 |
| Data del deposito : | 30 gennaio 2025 |
Testo completo
N. R.G. 24755/2024
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di MILANO
PRIMA CIVILE
Il Tribunale, nella persona del Giudice dott. Nicola Di Plotti ha pronunciato la seguente
SENTENZA nella causa civile di I Grado iscritta al n. r.g. 24755/2024 promossa da:
(C.F. ), con il patrocinio dell'avv. NARBONA Parte_1 C.F._1
ALBERTO, elettivamente domiciliato in VIA DELLO STADIO, 2/D 51100 PISTOIA presso il difensore
RICORRENTE
contro
C.F. ) in persona del legale rappresentante pro tempore, con il Controparte_1 P.IVA_1 patrocinio dell'avv. D'ANGELO MAURILIO, elettivamente domiciliata in VIA PIETRO DA CORTONA, 8 00196 ROMA presso il difensore
RESISTENTE
CONCLUSIONI
Le parti hanno concluso come da atti introduttivi del giudizio.
pagina 1 di 7 Concisa esposizione delle ragioni di fatto e di diritto della decisione
Con ricorso del 27/06/2024 espone, in sintesi, di aver richiesto, in data 26/06/2023, ad Parte_1
a mezzo PEC inviata all'indirizzo risultante nel registro pubblico INIPEC CP_1
, conferma del fatto che fosse o meno in corso un trattamento dei suoi Email_1
dati personali chiedendo, in caso di conferma, di esercitare il conseguente diritto di accesso mediante estrazione di copia degli stessi, con indicazione sia delle finalità del trattamento e della sua base giuridica, sia dei destinatari a cui i dati personali sono stati comunicati.
La richiesta è stata formulata in quanto la ricorrente, a causa delle frequenti navigazioni online, spesso riceve messaggi pubblicitari riguardanti i prodotti che sono stati precedentemente da lei attenzionati.
Situazione, quest'ultima, che lascia ipotizzare l'avvenuta creazione in rete di un suo profilo ovvero un trattamento dei suoi dati personali senza un espresso consenso.
In particolare, evidenzia che due settimane prima della richiesta di conferma del trattamento, formulata all'odierna convenuta, aveva visitato il sito internet https://www.aubay.it, di titolarità di , CP_1
utilizzando il proprio smartphone, marca “Apple”, modello “Iphone Xr” e sottolinea la possibilità che, durante la predetta navigazione, fossero stati raccolti alcuni suoi dati personali, in quanto dalla privacy policy del sito internet di si evince che i sistemi informatici e le procedure software CP_1
utilizzate per il funzionamento dello stesso acquisiscono alcuni dati personali.
L'istanza di accesso ai dati personali non veniva, tuttavia, riscontrata da CP_1
Nel merito, la ricorrente eccepisce l'intervenuta violazione dell'art. 15 Regolamento UE 2016/679, che riconosce il diritto dell'interessato di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento dei dati personali che lo riguardano e l'accesso agli atti in caso di conferma, in quanto la convenuta non ha fornito riscontro, nel termine massimo di un mese previsto dall'art. 12 del citato Regolamento UE, alla richiesta.
Conclude chiedendo che, una volta accertata e dichiarata la violazione dell'obbligo di cui all'art. 15, comma 1, del Regolamento UE 2016/679, venga ordinato ad di riscontrare l'istanza di CP_1
accesso ai dati personali formulata con la PEC del 26/06/2023, confermando o meno la presenza di un trattamento dei dati personali e, in caso di risposta affermativa, di consegnarle copia dei medesimi con indicazione dell'identità e dei dati di contatto del titolare del trattamento, delle finalità del trattamento cui sono destinati i dati personali e degli eventuali destinatari cui i dati sono stati comunicati.
pagina 2 di 7 Si costituisce in giudizio evidenziando l'infondatezza della domanda avversaria. Controparte_1
che è digital service company, leader europea negli ambiti della consulenza Controparte_1 direzionale e dell'information technology, non ha mai avuto rapporti con la ricorrente. Nel ricorso manca ogni evidenza in merito alle presunte visite del sito da parte della predetta, che non ha allegato alcuna circostanza specifica, come si evince anche dalla genericità della procura conferita al proprio legale in occasione della richiesta di conferma della presenza di un trattamento dei dati. Ciò in violazione sia di quanto affermato dal Garante della Privacy (Garante 22 ottobre 2002 n. 1066476;
Garante, 27 febbraio 2003 n. 1068049) che richiede la necessità del conferimento di un'apposita procura per l'esercizio del diritto di accesso, sia di quanto sostenuto dalla stessa giurisprudenza di merito richiamata e prodotta dalla ricorrente (Trib. di Roma, sent. n. 124643/2020 e Trib. di Roma, sent. n. 28478/2020), che afferma la necessità di una specifica allegazione delle circostanze di fatto che avevano indotto i ricorrenti a richiedere l'accesso.
La ricorrente ha inoltre inviato la richiesta di accesso ad un indirizzo PEC
che, pur riferibile alla società e risultante dalla Camera di Commercio, Email_1
non coincide con quello indicato nella privacy policy ( né, in via Email_2
residuale, con gli ulteriori indirizzi pubblicati sul sito web dpo@aubay.it; Email_3
nline. Email_4
Conclude chiedendo, in via principale, il rigetto del ricorso e, in subordine, la compensazione delle spese in caso di accoglimento del ricorso.
***
L'art. 15 Regolamento UE 2016/679 non prevede alcun obbligo di motivare la richiesta di accesso agli atti da parte dell'interessato. Quest'ultimo ha diritto di ottenere la conferma dell'esistenza o meno di un trattamento dei suoi dati personali e di accedere, in caso di esito affermativo, ad essi ed ottenere informazioni relativamente alle finalità del trattamento, alle categorie di dati personali e ai destinatari o categorie di destinatari a cui questi sono stati o saranno comunicati, a prescindere dall'esistenza di un'effettiva lesione.
La finalità perseguita dal diritto di accesso è, infatti, quella di consentire un controllo sul trattamento dei propri dati personali e sulla legittimità dello stesso.
pagina 3 di 7 È, quindi, onere del soggetto cui è stata presentata l'istanza fornire, in ogni caso, una risposta in ordine al possesso o meno dei dati personali.
Ciò in quanto l'art. 12 del Regolamento UE 2016/679, in attuazione del considerando n. 59, prevede che il titolare del trattamento debba rispondere alle richieste dell'interessato, compresa quella di accesso, “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”, riconoscendo il diritto dell'istante di adire l'autorità giudiziaria in caso di mancata risposta.
Come chiarito anche dalle linee guida EDPB 1/2022 prodotte dalla ricorrente quale doc. 10, il riscontro all'istanza d'accesso è sempre dovuto, pur in assenza di un trattamento dei dati, potendo il destinatario confermare che tale trattamento non è in corso. In tal senso nelle predette linee guida a pag. 5 si evidenzia che “l'articolo 12, paragrafo 5, GDPR consente ai titolari del trattamento di respingere le richieste manifestamente infondate o eccessive, o di addebitare un contributo spese ragionevole per tali richieste. Tali concetti si devono interpretare in senso stretto. Dal momento che esistono pochissimi prerequisiti per le richieste di accesso, l'ambito di applicazione che consente di considerare una richiesta manifestamente infondata è alquanto limitato. Il carattere eccessivo di una richiesta dipende dagli aspetti specifici del settore in cui opera il titolare del trattamento. Quanto più frequenti sono le modifiche alla banca dati del titolare del trattamento, tanto più frequentemente l'interessato potrà chiedere l'accesso senza che ciò sia considerato eccessivo. Anziché rifiutare l'accesso, il titolare del trattamento può decidere di addebitare un contributo spese all'interessato. Tale decisione sarebbe pertinente soltanto in caso di richieste eccessive, allo scopo di coprire i costi amministrativi che potrebbero derivare da tali richieste. Il titolare del trattamento dev'essere in grado di dimostrare il carattere manifestamente infondato o eccessivo della richiesta”. Le stesse linee guida, nei punti 175 e
177 (cfr. pag. 60 doc. 10) precisano che, se è vero che il titolare del trattamento può rifiutare una richiesta di accesso manifestamente infondata ai sensi del par. 5 dell'art. 12 del Regolamento Privacy, è anche vero che l'ambito di applicazione dell'alternativa della richiesta di accesso "manifestamente infondata" di cui a tale articolo è limitatissimo in quanto i requisiti richiesti per l'accesso dall'art. 15
GDPR sono pochissimi.
Sul punto, la giurisprudenza di legittimità ritiene che il soggetto onerato dell'obbligo di fornire risposta in ordine al possesso (o meno) dei dati personali è il titolare del trattamento, destinatario dell'istanza pagina 4 di 7 di accesso, dovendo egli sempre riscontrare l'istanza proposta, anche in termini negativi, dichiarando espressamente di essere o meno in possesso dei dati di cui si richiede l'ostensione (cfr. Cass. Sez. 1,
Ordinanza n. 9313 del 04/04/2023).
Nel caso di specie risulta provato che la ricorrente abbia inviato, in data 26/06/2023, una PEC ad chiedendo conferma, in termini dubitativi, del fatto che i suoi dati personali fossero CP_1
oggetto di trattamento da parte della società, senza tuttavia ricevere alcuna risposta sino alla data di instaurazione del presente giudizio. Tale richiesta ha indicato, nonostante sulla ricorrente non gravasse alcun obbligo motivazionale per le ragioni sopra esposte, le ragioni della violazione e il momento in cui la predetta è entrata in contatto con il sito di (due settimane prima della richiesta), CP_1 precisando, inoltre, che l'accesso al sito era stato effettuato per ricercare una collaborazione nell'apposita sezione e non per l'acquisto di prodotti.
Ciò è sufficiente, in base al dato normativo e agli orientamenti interpretativi sopra riportati, per affermare l'intervenuta violazione dell'art. 15 Regolamento UE da parte di in quanto CP_1 quest'ultima, in ogni caso, avrebbe dovuto fornire riscontro all'istanza presentata dall'odierna ricorrente anche semplicemente rispondendo di non avere raccolto e trattato i dati.
La domanda è, quindi, fondata e non sono decisive le ulteriori circostanze addotte dalla convenuta per contestare il diritto di accesso.
In particolare, il fatto che non avesse indicato, nella procura speciale rilasciata al Parte_1
proprio difensore, il nome della società cui destinare l'istanza non è indicativa né di una difficoltà di identificazione della stessa, né della genericità della richiesta, né della mancanza di un'autorizzazione alla presentazione dell'istanza posto che la società, laddove avesse nutrito simili dubbi, avrebbe potuto richiedere maggiori informazioni o effettuare ulteriori indagini;
tale richiesta non è stata avanzata.
Sul punto, le già richiamate linee guida dell' chiariscono, al punto 62, pag. 27 che nei casi “di CP_2
dimostrata impossibilità di identificare l'interessato (articolo 11 GDPR), il titolare del trattamento, se possibile, deve informare in merito l'interessato, dal momento che il titolare è tenuto a rispondere alle richieste dell'interessato senza ingiustificato ritardo e a motivare la sua eventuale intenzione di non accogliere tali richieste” e, al punto 77, nell'esempio 14, che la pratica di chiedere documenti aggiuntivi, ove non strettamente necessari, non va avallata dal momento che comporta costi supplementari per i richiedenti e impone loro un onere eccessivo, ostacolando l'esercizio del diritto di pagina 5 di 7 accesso. Inoltre, al punto 81, le linee guida indicano che “se nutre ragionevoli dubbi in merito all'identità di una persona che agisce a nome dell'interessato, il titolare del trattamento richiede ulteriori informazioni per confermare l'identità di tale persona” (cfr. pag. 32 doc. 10 parte attrice).
Ne consegue quindi che, anche laddove la procura fosse stata generica, avrebbe potuto CP_1 fornire un riscontro interlocutorio all'istante richiedendo conferma della sua identità e della sua volontà di indirizzare l'istanza di accesso.
Analogamente, il fatto che la ricorrente non abbia inviato la richiesta ad uno degli indirizzi mail e PEC riportati sul sito della società, primo tra tutti quello indicato nell'informativa sulla privacy, non giustifica la mancata risposta, né la violazione del diritto di accesso della predetta.
A tale proposito, il considerando 63 del GDPR afferma che il diritto di accesso, per essere effettivo, deve poter essere esercitato facilmente e l'art. 12, par. 2, del GDPR indica che il titolare deve agevolare l'esercizio dei diritti riconosciuti all'interessato.
In tal senso anche le linee guida dell'EDPB evidenziano che “Il titolare del trattamento dovrebbe fornire canali di comunicazione semplici e appropriati, che l'interessato possa utilizzare senza difficoltà. L'interessato non è però tenuto a valersi di questi specifici canali e può invece inviare la richiesta a un punto di contatto ufficiale del titolare del trattamento. Il titolare del trattamento non ha però l'obbligo di dar seguito a richieste inviate a indirizzi del tutto casuali o apparentemente inesatti”
(cfr. pag. 3 doc. 10 parte attrice) e precisano che il titolare del trattamento dovrebbe compiere ogni ragionevole sforzo per segnalare ai propri servizi la richiesta, che è stata presentata tramite l'indirizzo e- mail generale, per reindirizzarla al punto di contatto per la protezione dei dati e darvi seguito entro i limiti di tempo indicati dal GDPR (cfr. pag. 25, punto 56, esempio 8).
Ne deriva che il mancato invio della richiesta, da parte della ricorrente, agli indirizzi indicati sul sito della società o nell'informativa sulla privacy non può considerarsi un esimente per la società. La ricorrente ha inoltrato la richiesta all'indirizzo PEC risultante da INIPEC;
si tratta dunque di un dato ufficiale, comunque riferibile alla società, che ha pertanto ricevuto la richiesta, suscettibile di evasione indipendentemente dalla propria struttura organizzativa interna. Dalle linee guida emerge infatti una disciplina complessivamente diretta a favorire l'accesso dell'interessato ai propri dati personali o, quanto meno, a una interlocuzione anche eventualmente in termini negativi da parte del titolare del pagina 6 di 7 trattamento. Di conseguenza, l'invio della richiesta all'indirizzo PEC generale di deve CP_1
ritenersi sufficiente per ottenere la sua tempestiva attivazione.
Riconosciuto, quindi, il diritto della ricorrente ad ottenere risposta al quesito formulato con l'istanza di accesso agli atti del 26/06/2023 e del conseguente diritto di ottenere copia dei dati trattati con le informazioni relative alla finalità del trattamento, categorie dei dati trattati e dei soggetti a cui tali dati sono stati comunicati nel caso di risposta affermativa, in punto di liquidazione delle spese è necessario fare ricorso al principio della soccombenza, tenendo conto dell'attività processuale effettivamente svolta.
P.Q.M.
Il Tribunale, definitivamente pronunciando, ogni diversa istanza ed eccezione disattesa o assorbita, così dispone: 1) In accoglimento del ricorso, ordina ad di fornire risposta all'istanza di accesso CP_1
formulata da in data 26/06/2023, confermando se sia o meno in corso un trattamento Parte_1
dei suoi dati personali e, in caso di risposta affermativa, consegnandole copia di tali dati, con indicazione dell'identità e dei dati di contatto del titolare del trattamento, delle finalità del trattamento e dei destinatari a cui tali dati sono stati comunicati.
2) Condanna alla rifusione delle spese processuali in favore di liquidate CP_1 Parte_1 in € 2.906,00 per compensi, oltre al rimborso forfettario delle spese processuali nella misura del 15%;
IVA e CPA come per legge.
3) Motivazione entro 15 giorni.
Milano, 30 gennaio 2025
Il Giudice
dott. Nicola Di Plotti
pagina 7 di 7
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di MILANO
PRIMA CIVILE
Il Tribunale, nella persona del Giudice dott. Nicola Di Plotti ha pronunciato la seguente
SENTENZA nella causa civile di I Grado iscritta al n. r.g. 24755/2024 promossa da:
(C.F. ), con il patrocinio dell'avv. NARBONA Parte_1 C.F._1
ALBERTO, elettivamente domiciliato in VIA DELLO STADIO, 2/D 51100 PISTOIA presso il difensore
RICORRENTE
contro
C.F. ) in persona del legale rappresentante pro tempore, con il Controparte_1 P.IVA_1 patrocinio dell'avv. D'ANGELO MAURILIO, elettivamente domiciliata in VIA PIETRO DA CORTONA, 8 00196 ROMA presso il difensore
RESISTENTE
CONCLUSIONI
Le parti hanno concluso come da atti introduttivi del giudizio.
pagina 1 di 7 Concisa esposizione delle ragioni di fatto e di diritto della decisione
Con ricorso del 27/06/2024 espone, in sintesi, di aver richiesto, in data 26/06/2023, ad Parte_1
a mezzo PEC inviata all'indirizzo risultante nel registro pubblico INIPEC CP_1
, conferma del fatto che fosse o meno in corso un trattamento dei suoi Email_1
dati personali chiedendo, in caso di conferma, di esercitare il conseguente diritto di accesso mediante estrazione di copia degli stessi, con indicazione sia delle finalità del trattamento e della sua base giuridica, sia dei destinatari a cui i dati personali sono stati comunicati.
La richiesta è stata formulata in quanto la ricorrente, a causa delle frequenti navigazioni online, spesso riceve messaggi pubblicitari riguardanti i prodotti che sono stati precedentemente da lei attenzionati.
Situazione, quest'ultima, che lascia ipotizzare l'avvenuta creazione in rete di un suo profilo ovvero un trattamento dei suoi dati personali senza un espresso consenso.
In particolare, evidenzia che due settimane prima della richiesta di conferma del trattamento, formulata all'odierna convenuta, aveva visitato il sito internet https://www.aubay.it, di titolarità di , CP_1
utilizzando il proprio smartphone, marca “Apple”, modello “Iphone Xr” e sottolinea la possibilità che, durante la predetta navigazione, fossero stati raccolti alcuni suoi dati personali, in quanto dalla privacy policy del sito internet di si evince che i sistemi informatici e le procedure software CP_1
utilizzate per il funzionamento dello stesso acquisiscono alcuni dati personali.
L'istanza di accesso ai dati personali non veniva, tuttavia, riscontrata da CP_1
Nel merito, la ricorrente eccepisce l'intervenuta violazione dell'art. 15 Regolamento UE 2016/679, che riconosce il diritto dell'interessato di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento dei dati personali che lo riguardano e l'accesso agli atti in caso di conferma, in quanto la convenuta non ha fornito riscontro, nel termine massimo di un mese previsto dall'art. 12 del citato Regolamento UE, alla richiesta.
Conclude chiedendo che, una volta accertata e dichiarata la violazione dell'obbligo di cui all'art. 15, comma 1, del Regolamento UE 2016/679, venga ordinato ad di riscontrare l'istanza di CP_1
accesso ai dati personali formulata con la PEC del 26/06/2023, confermando o meno la presenza di un trattamento dei dati personali e, in caso di risposta affermativa, di consegnarle copia dei medesimi con indicazione dell'identità e dei dati di contatto del titolare del trattamento, delle finalità del trattamento cui sono destinati i dati personali e degli eventuali destinatari cui i dati sono stati comunicati.
pagina 2 di 7 Si costituisce in giudizio evidenziando l'infondatezza della domanda avversaria. Controparte_1
che è digital service company, leader europea negli ambiti della consulenza Controparte_1 direzionale e dell'information technology, non ha mai avuto rapporti con la ricorrente. Nel ricorso manca ogni evidenza in merito alle presunte visite del sito da parte della predetta, che non ha allegato alcuna circostanza specifica, come si evince anche dalla genericità della procura conferita al proprio legale in occasione della richiesta di conferma della presenza di un trattamento dei dati. Ciò in violazione sia di quanto affermato dal Garante della Privacy (Garante 22 ottobre 2002 n. 1066476;
Garante, 27 febbraio 2003 n. 1068049) che richiede la necessità del conferimento di un'apposita procura per l'esercizio del diritto di accesso, sia di quanto sostenuto dalla stessa giurisprudenza di merito richiamata e prodotta dalla ricorrente (Trib. di Roma, sent. n. 124643/2020 e Trib. di Roma, sent. n. 28478/2020), che afferma la necessità di una specifica allegazione delle circostanze di fatto che avevano indotto i ricorrenti a richiedere l'accesso.
La ricorrente ha inoltre inviato la richiesta di accesso ad un indirizzo PEC
che, pur riferibile alla società e risultante dalla Camera di Commercio, Email_1
non coincide con quello indicato nella privacy policy ( né, in via Email_2
residuale, con gli ulteriori indirizzi pubblicati sul sito web dpo@aubay.it; Email_3
nline. Email_4
Conclude chiedendo, in via principale, il rigetto del ricorso e, in subordine, la compensazione delle spese in caso di accoglimento del ricorso.
***
L'art. 15 Regolamento UE 2016/679 non prevede alcun obbligo di motivare la richiesta di accesso agli atti da parte dell'interessato. Quest'ultimo ha diritto di ottenere la conferma dell'esistenza o meno di un trattamento dei suoi dati personali e di accedere, in caso di esito affermativo, ad essi ed ottenere informazioni relativamente alle finalità del trattamento, alle categorie di dati personali e ai destinatari o categorie di destinatari a cui questi sono stati o saranno comunicati, a prescindere dall'esistenza di un'effettiva lesione.
La finalità perseguita dal diritto di accesso è, infatti, quella di consentire un controllo sul trattamento dei propri dati personali e sulla legittimità dello stesso.
pagina 3 di 7 È, quindi, onere del soggetto cui è stata presentata l'istanza fornire, in ogni caso, una risposta in ordine al possesso o meno dei dati personali.
Ciò in quanto l'art. 12 del Regolamento UE 2016/679, in attuazione del considerando n. 59, prevede che il titolare del trattamento debba rispondere alle richieste dell'interessato, compresa quella di accesso, “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”, riconoscendo il diritto dell'istante di adire l'autorità giudiziaria in caso di mancata risposta.
Come chiarito anche dalle linee guida EDPB 1/2022 prodotte dalla ricorrente quale doc. 10, il riscontro all'istanza d'accesso è sempre dovuto, pur in assenza di un trattamento dei dati, potendo il destinatario confermare che tale trattamento non è in corso. In tal senso nelle predette linee guida a pag. 5 si evidenzia che “l'articolo 12, paragrafo 5, GDPR consente ai titolari del trattamento di respingere le richieste manifestamente infondate o eccessive, o di addebitare un contributo spese ragionevole per tali richieste. Tali concetti si devono interpretare in senso stretto. Dal momento che esistono pochissimi prerequisiti per le richieste di accesso, l'ambito di applicazione che consente di considerare una richiesta manifestamente infondata è alquanto limitato. Il carattere eccessivo di una richiesta dipende dagli aspetti specifici del settore in cui opera il titolare del trattamento. Quanto più frequenti sono le modifiche alla banca dati del titolare del trattamento, tanto più frequentemente l'interessato potrà chiedere l'accesso senza che ciò sia considerato eccessivo. Anziché rifiutare l'accesso, il titolare del trattamento può decidere di addebitare un contributo spese all'interessato. Tale decisione sarebbe pertinente soltanto in caso di richieste eccessive, allo scopo di coprire i costi amministrativi che potrebbero derivare da tali richieste. Il titolare del trattamento dev'essere in grado di dimostrare il carattere manifestamente infondato o eccessivo della richiesta”. Le stesse linee guida, nei punti 175 e
177 (cfr. pag. 60 doc. 10) precisano che, se è vero che il titolare del trattamento può rifiutare una richiesta di accesso manifestamente infondata ai sensi del par. 5 dell'art. 12 del Regolamento Privacy, è anche vero che l'ambito di applicazione dell'alternativa della richiesta di accesso "manifestamente infondata" di cui a tale articolo è limitatissimo in quanto i requisiti richiesti per l'accesso dall'art. 15
GDPR sono pochissimi.
Sul punto, la giurisprudenza di legittimità ritiene che il soggetto onerato dell'obbligo di fornire risposta in ordine al possesso (o meno) dei dati personali è il titolare del trattamento, destinatario dell'istanza pagina 4 di 7 di accesso, dovendo egli sempre riscontrare l'istanza proposta, anche in termini negativi, dichiarando espressamente di essere o meno in possesso dei dati di cui si richiede l'ostensione (cfr. Cass. Sez. 1,
Ordinanza n. 9313 del 04/04/2023).
Nel caso di specie risulta provato che la ricorrente abbia inviato, in data 26/06/2023, una PEC ad chiedendo conferma, in termini dubitativi, del fatto che i suoi dati personali fossero CP_1
oggetto di trattamento da parte della società, senza tuttavia ricevere alcuna risposta sino alla data di instaurazione del presente giudizio. Tale richiesta ha indicato, nonostante sulla ricorrente non gravasse alcun obbligo motivazionale per le ragioni sopra esposte, le ragioni della violazione e il momento in cui la predetta è entrata in contatto con il sito di (due settimane prima della richiesta), CP_1 precisando, inoltre, che l'accesso al sito era stato effettuato per ricercare una collaborazione nell'apposita sezione e non per l'acquisto di prodotti.
Ciò è sufficiente, in base al dato normativo e agli orientamenti interpretativi sopra riportati, per affermare l'intervenuta violazione dell'art. 15 Regolamento UE da parte di in quanto CP_1 quest'ultima, in ogni caso, avrebbe dovuto fornire riscontro all'istanza presentata dall'odierna ricorrente anche semplicemente rispondendo di non avere raccolto e trattato i dati.
La domanda è, quindi, fondata e non sono decisive le ulteriori circostanze addotte dalla convenuta per contestare il diritto di accesso.
In particolare, il fatto che non avesse indicato, nella procura speciale rilasciata al Parte_1
proprio difensore, il nome della società cui destinare l'istanza non è indicativa né di una difficoltà di identificazione della stessa, né della genericità della richiesta, né della mancanza di un'autorizzazione alla presentazione dell'istanza posto che la società, laddove avesse nutrito simili dubbi, avrebbe potuto richiedere maggiori informazioni o effettuare ulteriori indagini;
tale richiesta non è stata avanzata.
Sul punto, le già richiamate linee guida dell' chiariscono, al punto 62, pag. 27 che nei casi “di CP_2
dimostrata impossibilità di identificare l'interessato (articolo 11 GDPR), il titolare del trattamento, se possibile, deve informare in merito l'interessato, dal momento che il titolare è tenuto a rispondere alle richieste dell'interessato senza ingiustificato ritardo e a motivare la sua eventuale intenzione di non accogliere tali richieste” e, al punto 77, nell'esempio 14, che la pratica di chiedere documenti aggiuntivi, ove non strettamente necessari, non va avallata dal momento che comporta costi supplementari per i richiedenti e impone loro un onere eccessivo, ostacolando l'esercizio del diritto di pagina 5 di 7 accesso. Inoltre, al punto 81, le linee guida indicano che “se nutre ragionevoli dubbi in merito all'identità di una persona che agisce a nome dell'interessato, il titolare del trattamento richiede ulteriori informazioni per confermare l'identità di tale persona” (cfr. pag. 32 doc. 10 parte attrice).
Ne consegue quindi che, anche laddove la procura fosse stata generica, avrebbe potuto CP_1 fornire un riscontro interlocutorio all'istante richiedendo conferma della sua identità e della sua volontà di indirizzare l'istanza di accesso.
Analogamente, il fatto che la ricorrente non abbia inviato la richiesta ad uno degli indirizzi mail e PEC riportati sul sito della società, primo tra tutti quello indicato nell'informativa sulla privacy, non giustifica la mancata risposta, né la violazione del diritto di accesso della predetta.
A tale proposito, il considerando 63 del GDPR afferma che il diritto di accesso, per essere effettivo, deve poter essere esercitato facilmente e l'art. 12, par. 2, del GDPR indica che il titolare deve agevolare l'esercizio dei diritti riconosciuti all'interessato.
In tal senso anche le linee guida dell'EDPB evidenziano che “Il titolare del trattamento dovrebbe fornire canali di comunicazione semplici e appropriati, che l'interessato possa utilizzare senza difficoltà. L'interessato non è però tenuto a valersi di questi specifici canali e può invece inviare la richiesta a un punto di contatto ufficiale del titolare del trattamento. Il titolare del trattamento non ha però l'obbligo di dar seguito a richieste inviate a indirizzi del tutto casuali o apparentemente inesatti”
(cfr. pag. 3 doc. 10 parte attrice) e precisano che il titolare del trattamento dovrebbe compiere ogni ragionevole sforzo per segnalare ai propri servizi la richiesta, che è stata presentata tramite l'indirizzo e- mail generale, per reindirizzarla al punto di contatto per la protezione dei dati e darvi seguito entro i limiti di tempo indicati dal GDPR (cfr. pag. 25, punto 56, esempio 8).
Ne deriva che il mancato invio della richiesta, da parte della ricorrente, agli indirizzi indicati sul sito della società o nell'informativa sulla privacy non può considerarsi un esimente per la società. La ricorrente ha inoltrato la richiesta all'indirizzo PEC risultante da INIPEC;
si tratta dunque di un dato ufficiale, comunque riferibile alla società, che ha pertanto ricevuto la richiesta, suscettibile di evasione indipendentemente dalla propria struttura organizzativa interna. Dalle linee guida emerge infatti una disciplina complessivamente diretta a favorire l'accesso dell'interessato ai propri dati personali o, quanto meno, a una interlocuzione anche eventualmente in termini negativi da parte del titolare del pagina 6 di 7 trattamento. Di conseguenza, l'invio della richiesta all'indirizzo PEC generale di deve CP_1
ritenersi sufficiente per ottenere la sua tempestiva attivazione.
Riconosciuto, quindi, il diritto della ricorrente ad ottenere risposta al quesito formulato con l'istanza di accesso agli atti del 26/06/2023 e del conseguente diritto di ottenere copia dei dati trattati con le informazioni relative alla finalità del trattamento, categorie dei dati trattati e dei soggetti a cui tali dati sono stati comunicati nel caso di risposta affermativa, in punto di liquidazione delle spese è necessario fare ricorso al principio della soccombenza, tenendo conto dell'attività processuale effettivamente svolta.
P.Q.M.
Il Tribunale, definitivamente pronunciando, ogni diversa istanza ed eccezione disattesa o assorbita, così dispone: 1) In accoglimento del ricorso, ordina ad di fornire risposta all'istanza di accesso CP_1
formulata da in data 26/06/2023, confermando se sia o meno in corso un trattamento Parte_1
dei suoi dati personali e, in caso di risposta affermativa, consegnandole copia di tali dati, con indicazione dell'identità e dei dati di contatto del titolare del trattamento, delle finalità del trattamento e dei destinatari a cui tali dati sono stati comunicati.
2) Condanna alla rifusione delle spese processuali in favore di liquidate CP_1 Parte_1 in € 2.906,00 per compensi, oltre al rimborso forfettario delle spese processuali nella misura del 15%;
IVA e CPA come per legge.
3) Motivazione entro 15 giorni.
Milano, 30 gennaio 2025
Il Giudice
dott. Nicola Di Plotti
pagina 7 di 7