Il caso specifico che ha richiesto una pronuncia dei giudici europei riguarda un cittadino che aveva domandato all’Osterreichische Post, il principale operatore di servizi postali e logistici in Austria, di comunicargli l’identità dei destinatari a cui l’azienda aveva comunicato i suoi dati personali.
L’ente si era però limitato ad affermare che utilizzava i dati personali nei limiti consentiti dalla legge nell’ambito della sua attività di editore di elenchi telefonici e che forniva tali dati ai partner commerciali a fini di marketing.
A seguito di ricorsi vari, la Corte suprema ha chiesto alla Corte di giustizia dell’Unione europea (Gue) di sapere se il Regolamento Generale sulla Protezione dei Dati (RGDP) lasci al titolare del trattamento dei dati la libera scelta di comunicare o l’identità concreta dei destinatari o unicamente le categorie dei destinatari, oppure se offra all’interessato il diritto di conoscere la loro identità concreta.
Nella sentenza la Corte di giustizia ha affermato che qualora i dati personali siano stati o saranno comunicati a destinatari, il titolare del trattamento è obbligato a fornire all’interessato, su sua richiesta, l’identità stessa di tali destinatari. Solo qualora non sia ancora possibile identificare tali destinatari, il titolare del trattamento può limitarsi a indicare unicamente le categorie di destinatari di cui trattasi. Ciò vale anche qualora il titolare dimostri che la richiesta è manifestamente infondata o eccessiva.
La Corte, inoltre, ha sottolineato che tale diritto di accesso è necessario per esercitare gli altri diritti riconosciuti dal RGDP, vale a dire il diritto di rettifica, il diritto alla cancellazione («diritto all’oblio»), il diritto di limitazione di trattamento, il diritto di opposizione al trattamento o, ancora, il diritto di agire in giudizio nel caso in cui subisca un danno.