Il Garante sanziona una polisportiva per il mancato riscontro alla richiesta di un tesserato di avere accesso ai propri dati personali e all’informativa privacy. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy
Indice
1. I fatti: mancato riscontro a richiesta d’accesso
Il tesserato di una polisportiva inviava un reclamo al Garante per la protezione dei dati personali in cui sosteneva di aver ricevuto una email dalla polisportiva cui era tesserato dove erano indicati in chiaro tutti i destinatari e per tale ragione aveva formulato una richiesta di esercizio dei propri diritti di interessato ai sensi del Regolamento europeo per la protezione dei dati personali (GDPR) per poter accedere ai suoi dati personali trattati dalla polisportiva ed avere copia della relativa informativa privacy. Il reclamante proseguiva sostenendo di non aver mai ricevuto alcun riscontro alla predetta richiesta di esercizio dei propri diritti.
Il Garante provvedeva quindi ad inviare alla polisportiva, tramite PEC, due successive richieste di fornire le proprie osservazioni sul punto, senza però ricevere in entrambi i casi alcuna risposta. Pertanto, veniva delegata la Guardia di Finanza a notificare alla polisportiva la richiesta di informazioni.
La polisportiva sosteneva di non aver dato riscontro alle precedenti richieste di informazioni da parte dell’Autorità, in quanto vi era stato un errore nella digitazione dell’indirizzo PEC e quindi la polisportiva non aveva mai ricevuto le due PEC del Garante.
In secondo luogo, la reclamata sosteneva che l’esercizio dei diritti da parte del reclamante non era mai pervenuto alla direzione della polisportiva, in quanto – probabilmente – l’invio della email era stato effettuato all’indirizzo generico “info” e la email era finita nella casella dello “spam” e quindi non visionata.
Per quanto riguarda, invece, l’invio della email da parte della polisportiva al ricorrente, contenente l’indicazione in chiaro degli altri destinatari, era avvenuto in maniera accidentale a causa di un errore umano da parte di un operatore che prestava servizio presso la polisportiva.
In conclusione, la reclamata sosteneva di aver nominato un DPO e di aver stipulato un contratto con una società terza per introdurre una serie di procedure idonee a garantire il rispetto della normativa in materia di privacy. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
51.20 €
2. La valutazione del Garante
Preliminarmente, il Garante ha preso in esame la possibile violazione posta in essere dalla polisportiva per il mancato riscontro alle due richieste di informazioni rivolte dal Garante tramite PEC.
Sul punto, a seguito delle difese formulate dalla polisportiva, il Garante ha effettuato delle verifiche da cui è emerso che effettivamente le richieste di informazioni inviate dal Garante non erano state correttamente notificate al destinatario a causa di un errore di digitazione dell’indirizzo PEC.
In considerazione di ciò, l’autorità ha disposto la archiviazione del relativo procedimento nei confronti del titolare del trattamento.
Per quanto riguarda, invece, il mancato riscontro alla richiesta di esercizio dei diritti di cui al GDPR esercitata dall’interessato, l’autorità ha accertato che, a fronte dell’istanza inviata dal reclamante, la polisportiva non ha fornito alcun riscontro nei termini di legge, né successivamente (in quanto anche durante tutto il procedimento la polisportiva ha dimostrato di aver consentito all’istante di accedere ai suoi dati personali detenuti dalla reclamata).
Sul punto, il Garante ha ricordato che il GDPR riconosce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati che lo riguardano e, di conseguenza, ottenere l’accesso a tali dati e alle informazioni elencate dallo stesso Regolamento europeo. Inoltre, il titolare del trattamento è tenuto a fornire all’interessato l’accesso ai propri dati e a tutte le informazioni richieste, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa.
Nel caso in cui, invece, il titolare necessiti di ulteriore tempo per fornire il riscontro all’interessato, in ragione della complessità e del numero delle richieste, deve comunque entro trenta giorni comunicargli che egli intende avvalersi della possibilità di prorogare la risposta di due mesi la risposta ed indicare i motivi della proroga.
Nel caso in cui, infine, il titolare del trattamento non ottemperi alla richiesta di esercizio dei diritti da parte dell’interessato, deve informarlo senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Nel caso di specie, è stato accertato dall’Autorità che la polisportiva non ha fornito alcun riscontro alla richiesta di esercizio dei propri diritti che era stata formulata dall’interessato e non lo ha neanche informato dei motivi per cui non ha ottemperato alla predetta richiesta.
Potrebbero interessarti anche:
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che il mancato riscontro da parte della polisportiva alla richiesta formulata dal proprio tesserato di conoscere i suoi dati personali trattati dalla reclamata nonché di ricevere copia della informativa privacy da questa predisposta relativamente al predetto trattamento dei suoi dati, costituisce una violazione della disciplina prevista dal Regolamento europeo per la protezione dei dati personali.
Conseguentemente, il Garante ha ritenuto di poter applicare alla polisportiva una saznione amministrativa pecuniaria.
Per quanto concerne la quantificazione della sanzione da applicare al titolare del trattamento, il Garante ha preso in considerazione, dal punto di vista delle aggravanti correlate alla natura, la gravità e la durata della violazione, il fatto che la violazione ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati e il fatto che la violazione fosse tuttora in corso (in quanto la polisportiva non aveva ancora permesso al proprio tesserato di accedere ai suoi dati personali oggetto di trattamento). Dal punto di vista delle attenuanti, l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento e le misure adottate dalla polisportiva per conformarsi alla disciplina in materia di protezione dei dati personali.
In conclusione, il Garante ha quindi quantificato la sanzione pecuniaria applicata alla polisportiva nell’importo di €. 3.000 (tremila).
Scrivi un commento
Accedi per poter inserire un commento