Indice
>>> Ordinanza ingiunzione n. 226 del 16 giugno 2022<<<
1. I fatti
Un cliente di una banca presentava un reclamo al Garante per la protezione dei dati personali con cui lamentava che l’istituto di credito avesse segnalato il suo nominativo al CRIF senza aver preventivamente inviato la comunicazione di preavviso prevista dall’apposito codice di deontologia e per non aver riscontrato l’istanza di esercizio dei suoi diritti in materia di privacy, inviata alla banca nel luglio del 2020, con cui il cliente aveva chiesto di prendere visione dell’informativa privacy prevista dall’art. 13 del Regolamento europeo sulla protezione dei dati personali (c.d. GDPR).
In considerazione del reclamo, l’Autorità chiedeva alla banca di fornire informazioni sui fatti oggetto del reclamo nonché di aderire alla istanza di esercizio dei diritti che era stata formulata dal cliente.
A fronte della richiesta del Garante, la banca, in primo luogo, dava conto di aver a suo tempo inviato al cliente una raccomandata con cui lo preavvertiva della prossima segnalazione al CRIF e che detta comunicazione non era stata però consegnata al cliente in quanto il servizio postale l’aveva restituita alla banca in quanto l’indirizzo risultava inesistente. A tal proposito, la banca faceva presente che l’indirizzo che era stato usato per l’invio della suddetta raccomandata era quello indicato dallo stesso cliente nel modulo con cui era stato stipulato il contratto con la banca e che negli anni successivi non era pervenuta alla banca alcuna richiesta di modifica dell’indirizzo da parte del cliente.
In secondo luogo, la banca, con riferimento al mancato riscontro all’istanza con cui il cliente aveva chiesto di ricevere copia dell’informativa privacy, confermava di non aver provveduto a riscontrare detta istanza e quindi vi provvedeva solo in quel momento.
Preso atto delle risposte della banca, il Garante riteneva di poter avviare il procedimento sanzionatorio nei suoi confronti soltanto con riferimento al mancato riscontro dell’istanza di esercizio dei diritti da parte del cliente (valutando, invece, di non poter procedere con riferimento all’invio del preavviso di iscrizione al CRIF) e conseguentemente invitava la banca a inviare le proprie difese.
La banca si difendeva sulla base, per quanto qui di interesse, sulla base di 3 argomentazioni:
- in primo luogo, in quanto una copia dell’informativa privacy ai sensi dell’art. 13 del GDPR era già stata trasmessa al cliente nel 2017, al momento della sottoscrizione del contratto di finanziamento;
- in secondo luogo, in quanto l’istanza del cliente di avere copia di detta informativa era stata inviata (nel 2020) non all’indirizzo email appositamente dedicato all’esercizio dei diritti in materia di privacy da parte dei clienti, bensì alla PEC dell’ufficio reclami e poi alla PEC generale della banca;
- infine, in quanto l’istanza di cui sopra era contenuta all’interno di una più lunga e articolata comunicazione con cui il cliente aveva contestato alla banca il mancato rispetto dell’obbligo di preavviso della segnalazione al CRIF, nella quale soltanto in chiusura era formulata l’istanza di avere copia dell’informativa privacy.
Il Garante, ritenendo che le difese della banca non fossero sufficienti per archiviare il procedimento, ha quindi ritenuto di procedere con l’irrogazione di una sanzione pecuniaria amministrativa a carico dell’istituto di credito.
Potrebbero interessarti anche:
- Il Garante privacy sanziona Uber per il non corretto rilascio dell’informativa privacy e la mancata acquisizione del consenso degli interessati
- Informativa Privacy Web: non chiamatela “formalità”
- L’installazione di un sistema di videosorveglianza per la verifica delle modalità di smaltimento dei rifiuti viola la normativa privacy se non è stata resa l’informativa ai cittadini
2. La valutazione del Garante
Dall’istruttoria svolta è emerso che la banca non ha dato riscontro alla richiesta di esercizio dei diritti formulata dal cliente nel luglio 2020 entro il termine indicato dal GDPR (precisamente non oltre un mese dalla ricezione della richiesta) e che non ha neanche informato l’istante, sempre nel medesimo termine, dei motivi per cui la banca non ha ottemperato alla richiesta del cliente.
Il Garante ha quindi ritenuto non meritevoli di accoglimento i motivi addotti dalla banca.
In particolare, il Garante ha ritenuto che il fatto che la richiesta di esercizio dei diritti da parte del cliente fosse contenuta all’interno di una più articolata e complessa comunicazione nella quale il cliente contestava alla banca degli altri inadempimenti non può essere ritenuto un valido motivo per escludere l’inadempimento della banca all’obbligo di dare riscontro al cliente nei termini previsti dal GDPR. Ciò a maggior ragione se si considera che è risultato provato che la banca avesse ricevuto la PEC con la suddetta comunicazione.
In secondo luogo, il Garante ha ritenuto che non costituisce un valido motivo per escludere l’inadempimento della banca all’obbligo di dare riscontro alla richiesta di invio dell’informativa privacy da parte del cliente neanche il fatto che detta informativa fosse già nota al cliente (per averne ricevuto copia al momento della sottoscrizione del contratto di finanziamento), in quanto il GDPR riconosce all’interessato il diritto di avere accesso ai dati che vengono trattati dal titolare del trattamento e a tutte le ulteriori informazioni relative a detto trattamento (quindi anche all’informativa privacy), per permettere all’interessato medesimo di verificare la correttezza e la completezza dei dati oggetto di trattamento.
3. La decisione del Garante
In base alle valutazioni di cui sopra, il Garante per la protezione dei dati personali ha quindi ritenuto che il mancato riscontro, entro il termine di 30 giorni dalla ricezione dell’istanza, da parte della banca alla richiesta di avere copia dell’informativa privacy da parte di un cliente, costituisce una violazione della normativa in materia di protezione dei dati personali e conseguentemente ha disposto l’applicazione di una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione della sanzione, il Garante, prendendo in considerazione la gravità della violazione che ha riguardato diritti fondamentali dell’interessato e il fatto che la stessa ha riguardato un solo interessato nonché l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento, ha determinato l’ammontare in euro 20.000 (ciò anche valutando le condizioni economiche della banca, al fine di garantire il rispetto dei principi di effettività, proporzionalità e dissuasività della sanzione).
Volume consigliato:
Scrivi un commento
Accedi per poter inserire un commento