La preventiva conoscenza dei dati di cui l’interessato chiede copia al titolare non esonera quest’ultimo dal comunicarli all’interessato medesimo.
Per approfondire si consiglia il volume: I ricorsi al Garante della privacy
1. I fatti
Un ex dipendente di una banca inviava un reclamo al Garante per la protezione dei dati personali, in cui sosteneva di aver formulato una richiesta di avere copia dei propri dati trattati dalla banca e che quest’ultima non aveva fornito alcun riscontro alla sua richiesta.
In considerazione di detta segnalazione, il Garante invitata la banca a fornire chiarimenti in merito nonché a aderire alla richiesta formulata dall’interessato.
A fronte di ciò, la banca inviava all’interessato la copia dei dati dalla medesima ancora trattati e giustificava il ritardo nella risposta in quanto vi erano state delle problematiche tecniche derivanti dal fatto che la banca si trovava in amministrazione straordinaria e diversi dipendenti lavoravano in sistema di smart working.
Il Garante non riteneva sufficienti le giustificazioni addotte e apriva quindi il procedimento sanzionatorio nei confronti della banca, invitandola a inviare i propri scritti difensivi.
La banca inviava le proprie difese, nelle quali – oltre a evidenziare di aver, seppur tardivamente, dato riscontro all’interessato – motivava detto ritardo nella risposta sulla base di due argomentazioni: (i) in primo luogo, il fatto che il commissariamento cui era stata sottoposta la banca aveva comportato l’azzeramento di tutti i vertici aziendali e la sostituzione delle persone fisiche responsabili delle funzioni apicali di controllo dei vari livelli, determinando così la convinzione da parte della banca di aver dato riscontro alla richiesta in oggetto, quando in realtà ciò non era stato fatto; (ii) in secondo luogo, il fatto che l’istante era stato un consulente finanziario monomandatario della banca e pertanto era perfettamente a conoscenza di tutti i suoi dati personali che erano trattati dalla banca (anche perché nel contratto di agenzia sottoscritto tra l’istante e la banca gli era stata resa ampia informativa sui dati trattati e le relative finalità ed era stato acquisito il suo consenso al trattamento).
Potrebbero interessarti anche:
Le valutazioni del Garante
Preliminarmente, il Garante ha evidenziato che – nelle more del procedimento – la banca in questione si è fusa per incorporazione con un’altra banca e che pertanto il provvedimento è stato adottato nei confronti della banca incorporante, la quale è subentrata in tutti i rapporti attivi e passivi della società incorporata.
Ciò premesso, il Garante ha ricordato che la normativa in materia di privacy riconosce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati che lo riguardano e, di conseguenza, ottenere l’accesso a tali dati.
Inoltre, il titolare del trattamento deve fornire all’interessato detti dati senza giustificato ritardo e comunque non oltre 30 giorni dalla richiesta. Il titolare del trattamento, inoltre, può applicare una proroga di due mesi per fornire riscontro all’interessato, qualora le richieste di quest’ultimo siano complesse o numerose, ma deve informare di ciò l’interessato, indicando altresì i motivi della proroga.
Nel caso in cui, infine, il titolare ritenga di non accogliere la richiesta di accesso dell’interessato, deve informarlo sempre entro il termine di 30 giorni dalla ricezione della richiesta, indicando i motivi per cui non ritiene di accogliere la richiesta e della possibilità per lo stesso interessato di proporre reclamo all’autorità di controllo o ricorso giurisdizionale.
Nel caso di specie, la banca non ha fornito alcun riscontro all’interessato, non avendo né accolto la richiesta, né indicato le ragioni del rifiuto.
Le argomentazioni difensive proposta dalla banca non sono state ritenute idonee dal Garante a superare la responsabilità della banca.
Per quanto concerne la prima argomentazione, il Garante ha evidenziato che la banca non può essere ritenta in buona fede in ordine al mancato riscontro e alla sua (erronea) convinzione di aver invece dato riscontro all’interessato, in quanto la buona fede del trasgressore esclude la sua responsabilità soltanto dove egli riesca a dimostrare di aver fatto tutto il possibile ai fini dell’osservanza della disposizione normativa violata. Cosa che, nel caso di specie non è stata dimostrata.
Per quanto concerne, invece, la seconda argomentazione, il Garante ha ritenuto che il fatto che l’istante fosse già a conoscenza dei suoi dati personali trattati dal titolare, nonché delle relative modalità e finalità del trattamento, non è un valido motivo che possa giustificare il mancato accesso a detti dati. Ciò in quanto, l’interessato ha sempre diritto di accedere a detti dati, anche solo per verificarne la correttezza e la completezza.
3. Il Parere del Garante
In considerazione di tutto quanto sopra, quindi, il Garante ha accertato che il mancato riscontro da parte della banca alla richiesta di accesso ai propri dati da parte dell’ex dipendente, configura un trattamento illecito e conseguentemente ha ritenuto di irrogare a carico del titolare del trattamento una sanzione amministrativa pecuniaria.
Per quanto riguarda la quantificazione della suddetta sanzione, il Garante ha valutato, da un lato, la gravità e la durata della violazione posta in essere dal titolare del trattamento (la quale ha riguardato le disposizioni relative all’ esercizio dei diritti degli interessati); dall’altro lato, ha valutato l’assenza di precedenti violazioni pertinenti a carico del titolare del trattamento e l’avvenuto riscontro all’ istanza del reclamante che la banca ha effettuato nel corso del procedimento avviato dal Garante. In conclusione, il Garante, anche tenendo conto dei ricavi conseguiti dalla banca nell’esercizio 201 (al fine di irrogare una sanzione che possa essere effettiva, proporzionale e dissuasiva) ha quindi comminato a carico del titolare del trattamento una sanzione amministrativa pecuniaria di €.10.000,00 (diecimila).
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento