Il diritto di accesso previsto dall’art. 15 del GDPR consente all’interessato di ottenere dal titolare del trattamento la conferma che siano o meno in corso trattamenti di dati personali che lo riguardano e, in caso affermativo, di ricevere una copia dei dati e una serie di informazioni obbligatorie: le finalità del trattamento, le categorie di dati, i destinatari, il periodo di conservazione, l’origine dei dati e l’esistenza di processi decisionali automatizzati. Il titolare deve rispondere senza ingiustificato ritardo e comunque entro un mese dalla richiesta (art. 12, par. 3), termine prorogabile di ulteriori due mesi per richieste complesse. La prima copia è gratuita. È il diritto più esercitato dagli interessati ed è tra le prime cause di reclamo al Garante: una risposta tardiva, parziale o generica è essa stessa una violazione sanzionabile.
In sintesi
- L’art. 15, par. 1, obbliga il titolare a fornire copia dei dati trattati e un elenco preciso di informazioni (finalità, categorie, destinatari, conservazione, origine, decisioni automatizzate).
- Il termine di risposta è di un mese dal ricevimento della richiesta (art. 12, par. 3), prorogabile di due mesi per richieste complesse o numerose, previa informazione all’interessato entro il primo mese.
- La prima copia è gratuita; per copie ulteriori il titolare può addebitare un contributo spese ragionevole (art. 15, par. 3).
- Il titolare può rifiutare o chiedere un contributo per le richieste “manifestamente infondate o eccessive”, ma deve dimostrarne il carattere (art. 12, par. 5).
- Il diritto di ottenere copia non deve ledere i diritti e le libertà altrui (art. 15, par. 4).
Che cosa comprende il diritto di accesso (art. 15, par. 1)
L’art. 15, par. 1, del GDPR riconosce all’interessato il diritto di ottenere anzitutto la conferma che sia o meno in corso un trattamento di dati che lo riguardano. In caso affermativo, ha diritto di accedere ai dati e alle seguenti informazioni:
- le finalità del trattamento — perché ogni categoria di dati viene trattata; una risposta generica (“per i nostri servizi”) non soddisfa l’obbligo;
- le categorie di dati personali oggetto di trattamento (dati anagrafici, dati di contatto, dati di navigazione, dati di pagamento, ecc.);
- i destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati, in particolare quelli in Paesi terzi;
- il periodo di conservazione previsto o, se impossibile, i criteri per determinarlo — un rimando naturale al principio di limitazione della conservazione;
- l’esistenza dei diritti di rettifica, cancellazione, limitazione e opposizione, e del diritto di reclamo al Garante;
- l’origine dei dati quando non raccolti presso l’interessato;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione (art. 22), con informazioni utili sulla logica utilizzata e sulle conseguenze previste.
Se i dati sono trasferiti verso un Paese terzo, l’interessato ha inoltre diritto di essere informato delle garanzie adeguate applicate (art. 15, par. 2).
Il termine di risposta: un mese, prorogabile di due
Il quadro procedurale è fissato dall’art. 12, che si applica a tutti i diritti degli interessati. Il titolare deve fornire riscontro senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta. Il termine può essere prorogato di due mesi ulteriori quando la richiesta è particolarmente complessa o numerosa; in tal caso il titolare deve informare l’interessato della proroga e dei relativi motivi entro il primo mese.
Se il titolare non dà seguito alla richiesta, deve comunque informare l’interessato — senza ritardo e al più tardi entro un mese — dei motivi dell’inerzia e della possibilità di proporre reclamo al Garante per la protezione dei dati personali e ricorso giurisdizionale (art. 12, par. 4). Il silenzio non è mai un’opzione lecita.
La verifica dell’identità del richiedente
Prima di rispondere, il titolare deve avere la ragionevole certezza dell’identità di chi presenta la richiesta: fornire dati personali al soggetto sbagliato sarebbe a sua volta una violazione (una data breach di riservatezza). L’art. 12, par. 6, consente al titolare, qualora nutra ragionevoli dubbi sull’identità del richiedente, di chiedere le informazioni necessarie a confermarla. Attenzione a due eccessi opposti: chiedere un documento d’identità quando l’identità è già certa dal contesto è una richiesta sproporzionata; rispondere senza alcuna verifica a un indirizzo email non riconducibile all’interessato è imprudente. La verifica deve essere proporzionata alla natura dei dati richiesti.
Gratuità, richieste infondate o eccessive
L’art. 15, par. 3, stabilisce che la prima copia dei dati è gratuita. Per eventuali copie ulteriori, il titolare può addebitare un contributo spese ragionevole basato sui costi amministrativi. Inoltre, ai sensi dell’art. 12, par. 5, per le richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare può alternativamente addebitare un contributo ragionevole oppure rifiutare di soddisfare la richiesta. In entrambi i casi, l’onere di dimostrare il carattere manifestamente infondato o eccessivo grava sul titolare: non basta ritenerla scomoda o dispendiosa.
I limiti: i diritti dei terzi
Il diritto di ottenere una copia dei dati “non deve ledere i diritti e le libertà altrui” (art. 15, par. 4). Nella pratica ciò significa che, quando un documento contiene dati di altri interessati (ad esempio un’email che menziona colleghi, o un fascicolo con dati di terzi), il titolare deve individuare un punto di equilibrio: fornire i dati dell’interessato oscurando o omettendo quelli dei terzi, non negare l’accesso in blocco. Il diritto di accesso non è un varco per ottenere dati altrui, ma non può nemmeno essere svuotato invocando genericamente la riservatezza di terzi.
Come rispondere in pratica: i passi
Una gestione ordinata della richiesta di accesso segue una sequenza precisa:
| Passo | Azione | Riferimento |
|---|---|---|
| 1 | Registrare la richiesta e la data di ricezione (parte il termine) | art. 12, par. 3 |
| 2 | Verificare l’identità del richiedente in modo proporzionato | art. 12, par. 6 |
| 3 | Individuare tutti i trattamenti e i sistemi che contengono i dati | art. 30 |
| 4 | Estrarre i dati e le informazioni ex art. 15, par. 1 e 2 | art. 15 |
| 5 | Verificare i diritti dei terzi ed eventuali eccezioni | art. 15, par. 4 |
| 6 | Preparare il riscontro in formato elettronico di uso comune | art. 15, par. 3 |
| 7 | Inviare la risposta entro un mese (o comunicare la proroga) | art. 12, par. 3 |
| 8 | Documentare l’evasione della richiesta | accountability |
Il passo 3 è quello che più spesso fa perdere tempo: senza un registro dei trattamenti aggiornato è difficile sapere in quali sistemi risiedano i dati di una persona. Chi ha mappato i trattamenti risponde in ore; chi non lo ha fatto passa giorni a rincorrere reparti e fornitori. Il coordinamento delle richieste è tipicamente un compito del Responsabile della protezione dei dati (RPD/DPO), dove nominato.
Errori tipici da evitare
- Rispondere oltre il mese senza aver comunicato la proroga entro il primo mese: il ritardo diventa una violazione autonoma.
- Fornire solo una parte dei dati o omettere le informazioni accessorie (finalità, destinatari, conservazione): l’accesso non è la mera copia grezza dei dati.
- Confondere l’accesso con altri diritti: l’art. 15 dà una copia dei dati esistenti, non impone di trasferirli in un formato interoperabile — quello è il diritto alla portabilità (art. 20) — né di cancellarli, che è oggetto del diritto all’oblio (art. 17).
- Chiedere una copia del documento d’identità in automatico, anche quando l’identità è già accertata dal contesto.
- Negare l’accesso in blocco invocando genericamente i diritti dei terzi, invece di oscurare i soli dati altrui.
- Non descrivere la logica delle decisioni automatizzate, quando presenti.
Domande frequenti
Entro quanto tempo devo rispondere a una richiesta di accesso?
Entro un mese dal ricevimento della richiesta (art. 12, par. 3). Il termine è prorogabile di ulteriori due mesi per richieste complesse o numerose, ma la proroga e i suoi motivi vanno comunicati all’interessato entro il primo mese. Un riscontro tardivo, o l’assenza di riscontro, costituisce una violazione autonoma sanzionabile dal Garante.
Posso far pagare la risposta a una richiesta di accesso?
No, per la prima copia dei dati, che è gratuita (art. 15, par. 3). Un contributo spese ragionevole è ammesso solo per le copie ulteriori o per le richieste manifestamente infondate o eccessive per il loro carattere ripetitivo (art. 12, par. 5), e in quest’ultimo caso spetta al titolare dimostrare tale carattere.
Il diritto di accesso è la stessa cosa della portabilità?
No. Il diritto di accesso (art. 15) consente di ottenere una copia dei dati e le informazioni sul trattamento; la portabilità (art. 20) consente di ricevere i dati forniti dall’interessato in un formato strutturato e leggibile da dispositivo automatico, per trasferirli a un altro titolare, e si applica solo ai trattamenti basati su consenso o contratto ed effettuati con mezzi automatizzati. Sono diritti distinti, con presupposti e finalità diverse.
Conclusione
Il diritto di accesso è il diritto che, più di ogni altro, misura la maturità di un’organizzazione: chi conosce i propri trattamenti risponde entro il mese in modo completo, chi non li conosce sfora i termini e fornisce riscontri parziali che generano reclami. La differenza non sta nella buona volontà, ma nella preparazione: un registro dei trattamenti aggiornato, una procedura scritta per la gestione delle richieste, modelli di risposta e un responsabile chiaramente individuato. Piattaforme di conformità come Legiscope permettono di partire dalla mappatura dei trattamenti — che è la base di ogni riscontro tempestivo — e di documentare l’evasione di ciascuna richiesta a fini di accountability. Prima di ricevere la prossima richiesta, verificate di sapere esattamente dove si trovano i dati delle persone e chi, in azienda, ha il compito di rispondere: se la risposta non è immediata, l’art. 15 è già un rischio aperto. Per l’informazione preventiva agli interessati, resta centrale una buona informativa privacy.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial