Nella recente sentenza C-154/21 del 12 gennaio 2023 (RW vs. Österreichische Post), la Corte di Giustizia dell’Unione Europea ha affermato il principio per cui l’interessato – nel contesto dell’esercizio del diritto di accesso cui all’art. 15 del GDPR – ha diritto di conoscere dal titolare del trattamento l’identità dei destinatari dei propri dati, fatte salve alcune specifiche eccezioni.
I chiarimenti forniti dalla CGUE rappresentano un’occasione importante per riepilogare gli accorgimenti pratici che i player assicurativi e della distribuzione assicurativa devono considerare nell’implementazione degli adempimenti di data governance e di compliance al GDPR.
Segnatamente:
- nel riscontro alla richiesta di accesso ex art. 15 del GDPR è necessario indicare all’interessato (entro un mese dal ricevimento dell’istanza, estendibile fino a 3 mesi in casi di particolare complessità) l’identità dei singoli destinatari dei dati;
- il titolare/contitolare del trattamento può limitarsi a evidenziare all’interessato le categorie di destinatari solo qualora sia impossibile identificare questi ultimi o la richiesta sia manifestamente infondata o eccessiva;
.
occorre, pertanto, che ciascun titolare/contitolare – per mettere in pratica il principio di “accountability” – esegui una puntuale mappatura non solo delle categorie ma anche dell’identità dei singoli “destinatari” dei dati (implementando, ad esempio, le informazioni contenute nei registri delle attività di trattamento) per riscontrare correttamente l’interessato.
.
| P. IVA 02917600302 |