A seguito dell’entrata in vigore del GDPR, le imprese sono chiamate a rispettare una serie di adempimenti per essere conformi alla normativa in materia di protezione dei dati personali.
Tra questi, vi è quello di fornire tempestivo riscontro alle istanze di accesso presentate dalle persone fisiche con riferimento ai propri dati personali. Sul punto, si è recentemente pronunciata la Corte di Cassazione, la quale – con ordinanza n. 9313, pubblicata il 4 aprile 2023 – ha statuito che la società destinataria dell’istanza di accesso è l’unico soggetto onerato dell’obbligo di fornire risposta in ordine al possesso, o meno, dei dati personali dell’istante.
La Società ha, dunque, l’obbligo di fornire riscontro, come previsto dall’art. 12 del GDPR, eventualmente anche in termini negativi, ossia comunicando all’istante di non trattare alcun dato personale di quest’ultimo.
In forza di tale principio, la Suprema Corte ha, dunque, cassato la pronuncia del Tribunale di Milano, con la quale era stato posto a carico dell’istante l’onere di dimostrare in giudizio la titolarità ed il possesso dei dati personali che lo riguardavano da parte della società destinataria dell’istanza, con conseguente illegittima inversione dell’onere della prova.
La pronuncia in commento attesta l’importanza per le società di possedere un adeguato assetto in materia di privacy e di avere altresì una struttura che consenta loro di gestire al meglio il trattamento dei dati e le istanze di accesso presentate dagli interessati, risultando così conformi alla normativa di settore.
Corte di Cassazione, ordinanza n. 9313/2023, pubblicata il 4 aprile 2023
