Non puoi sapere i fatti tuoi perché la privacy ti “tutela”

Una recente pronuncia della Corte di Giustizia, del 19 marzo 2026 (causa C-526/24), ha posto dei limiti non irrilevanti all’esercizio del diritto di accesso ai dati personali, statuendo che tale diritto può diventare abusivo.

La Corte, più precisamente, si è occupata del caso di un cittadino austriaco che, dopo essersi iscritto alla newsletter di una società tedesca di ottica inserendo i propri dati personali, aveva immediatamente esercitato il diritto di accesso previsto dal GDPR per poi avanzare una richiesta di risarcimento danni. Secondo l’azienda, però, si trattava di una strategia seriale: l’uomo si iscriveva sistematicamente a newsletter di varie società con l’obiettivo di provocare un diniego e chiedere poi compensazioni economiche. I giudici lussemburghesi hanno stabilito che, in determinate circostanze, anche una prima richiesta di accesso ai dati personali può essere considerata abusiva e quindi rifiutata, quando emerga che essa non è finalizzata a verificare il trattamento dei dati ma soltanto a costruire artificialmente i presupposti di una successiva azione risarcitoria.

La logica della decisione è, a prima vista, difficilmente contestabile. Il diritto non può trasformarsi in uno strumento di molestia seriale, né in un meccanismo industriale di produzione di contenzioso.

E tuttavia il problema non è la decisione in sé, ma il contesto in cui il verdetto si inserisce. Proprio di recente è tornata a circolare una pronuncia della Corte di Giustizia dell’Unione europea che molti operatori sanitari continuano a trattare come un’opinione. Non è nuova. Risale al 26 ottobre 2023. E dice una cosa elementare: il paziente ha diritto a ottenere gratuitamente una prima copia dei propri dati sanitari, senza dover fornire alcuna motivazione.

Un principio lineare, scritto nel GDPR prima ancora che ribadito dai giudici europei, eppure sistematicamente aggirato nella prassi quotidiana. Chiunque abbia provato a ottenere la propria cartella clinica conosce bene il copione: moduli, attese, uffici che rimbalzano la richiesta, e infine qualche forma di pagamento mascherata da “diritti di segreteria” o “spese di riproduzione”. Non si nega il diritto, lo si rende faticoso. Spesso, con lo stesso risultato: scoraggiare l’avente diritto.

La sentenza del 2023, resa nella causa C-307/22, era intervenuta proprio su questo punto, chiarendo che il diritto di accesso ai dati personali non può essere subordinato né a una motivazione né al pagamento di un corrispettivo, almeno per la prima copia. E che i dati sanitari riguardano l’interessato, mentre il medico o la struttura ne sono soltanto custodi. Una distinzione teoricamente banale, ma sovente trattata, nella pratica, alla stregua di un dettaglio irrilevante, con surreali, e kafkiane, ricadute nel terreno della più proverbiale (e cattiva) “burocrazia”.

E proprio qui emerge una delle distorsioni più singolari dell’applicazione della normativa sulla privacy: sempre più spesso, persino al soggetto cui i dati si riferiscono viene opposto un diniego — o un ostacolo — in nome della “privacy” che quello stesso soggetto dovrebbe tutelare. Negandogli ciò a cui egli ha massimamente diritto (sapere i “fatti suoi”!) nel nome della protezione di un presunto diritto alla riservatezza contro se stesso. Con il paradossale risultato che – in un mondo dove tutti ficcano il naso nelle faccende di ciascuno – l’unico a non poterlo fare rischia di essere proprio il solo ad averne titolo.

È una bizzarria ermeneutica che, più che dalla legge, nasce da un’ottusa applicazione amministrativa della medesima.

Orbene, tra il diritto pieno affermato nel 2023 e il limite introdotto nel 2026 si apre uno spazio interpretativo ampio, nel quale il confine tra richiesta legittima e richiesta abusiva rischia di farsi pericolosamente elastico. E a stabilire dove passi quel confine è, in prima battuta, proprio il titolare del trattamento: cioè il soggetto che, molto spesso, ha interesse a non fornire quei dati.

Cosicchè il rimedio contro l’abuso finisce per alimentare il pretesto. E la categoria dell’“abuso” viene utilizzata non per frenare le cattive intenzioni del furbacchione seriale, ma per arenare quelle legittime del paziente desideroso solo di accedere alle “sue carte” dov’è registrata la “sua storia” sanitaria. In un sistema in cui già oggi l’accesso ai dati è trattato come una concessione, l’introduzione di un criterio così flessibile rischia di rafforzare le resistenze degli “sportelli” anziché accentuarne la trasparenza.

Il risultato è un equilibrio singolare: da un lato, il diritto europeo afferma con chiarezza che l’accesso ai propri dati va sempre garantito all’interessato; dall’altro, riconosce che lo stesso diritto può essere compresso quando viene esercitato in modo reputato improprio. In mezzo resta il guado della prassi amministrativa, dove l’utente finisce impastoiato tra obblighi formali e renitenze sostanziali.

Il risultato è un equilibrio singolare: da un lato, il diritto europeo afferma con chiarezza che l’accesso ai propri dati va sempre garantito all’interessato; dall’altro, riconosce che lo stesso diritto può essere compresso quando viene esercitato in modo ritenuto improprio. In mezzo c’è il guado della prassi amministrativa, dove l’utente finisce impastoiato tra obblighi formali e renitenze sostanziali.
Il punto, allora, non è stabilire se le norme, nella materia in questione, esistano. Esistono, eccome, ma bisogna evitare che il cittadino sia visto dalla Pubblica Amministrazione come un questuante molesto anziché come il detentore di un diritto sacrosanto di ottenere, e di un altrettanto legittimo potere di esigere, le informazioni che lo riguardano.

Francesco Carraro

Rimani aggiornato seguendoci su Google News!

SEGUICI