Indice
>>>Leggi ordinanza ingiunzione n. 225 del 16 giugno 2022<<<
1. I fatti
Un dipendente di Unicredit S.p.a. aveva presentato un reclamo al Garante privacy con cui lamentava che la banca datrice di lavoro non aveva dato riscontro alla sua richiesta di accedere ai dati personali trattati dalla società nell’ambito del rapporto di lavoro. In particolare, il reclamante sosteneva di aver presentato la richiesta di accesso nel marzo del 2019 e che qualche giorno dopo la banca aveva risposto con una nota interlocutoria senza più inviargli la documentazione richiesta. In secondo luogo, il reclamante lamentava che la banca non aveva adeguato la valutazione della sua prestazione lavorativa del 2008, in quanto dopo la pubblicazione di una sentenza dell’autorità giudiziaria che aveva annullato una sanzione disciplinare irrogata nei confronti del reclamante e dichiarato inefficace il giudizio negativo del 2008 formulato dalla banca, quest’ultima, anziché cancellare il suddetto giudizio quale dato personale del reclamante relativo alla sua carriera lavorativa, lo aveva semplicemente rettificato, annotando la esistenza della sentenza di cui sopra e quindi la inefficacia del giudizio medesimo.
Dopo ripetute richieste di chiarimenti formulate dal Garante privacy sia al reclamante che alla banca e le relative risposte di entrambe dette parti, veniva dato avvio al procedimento nei confronti della banca, che il Garante invitava a inviare le proprie difese.
Nei propri scritti difensivi, la banca sosteneva di aver dato seguito alla richiesta di accesso del reclamante entro 4 giorni dalla richiesta, inviando al medesimo una risposta in cui segnalava la necessità che lo stesso compilasse ed inviasse un modulo che era a disposizione sul portale della società. Tale comunicazione era stata effettuata dalla banca in quanto la richiesta di accesso del reclamante era stata ritenuta troppo generica, poiché aveva ad oggetto “qualsiasi tipologia di dato, di trattamento e di informazione che può essere richiesta ai sensi del GDPR”. Secondo la banca, tale richiesta non permetteva alla medesima di poter comprendere in maniera puntuale quali dati personali il reclamante avesse voluto ottenere: invece, la compilazione del modulo avrebbe permesso di indicare con precisione rispetto a quali informazioni era richiesto l’accesso.
La banca quindi sosteneva che, non avendo il reclamante dato seguito alla richiesta di invio del suddetto modulo compilato, tale comportamento era stato interpretato come una rinuncia dell’interessato alla richiesta di accesso in precedenza formulata.
In secondo luogo, la banca si difendeva sostenendo che la richiesta di accesso così come genericamente formulata dal reclamante, la rendeva manifestamente infondata ed eccessiva. Pertanto, la banca legittimamente poteva non dare seguito alla richiesta.
Infine, la banca sosteneva che le informazioni richieste erano già contenute nell’informativa privacy che era stata messa a disposizione del reclamante al momento dell’assunzione ed era in qualsiasi momento consultabile sul sito web della banca.
Il Garante, preso atto delle difese di entrambe le parti e del fatto che la banca ha fornito all’interessato le informazioni richieste soltanto a seguito della presentazione del reclamo e dell’avvio del procedimento nei suoi confronti, ha ritenuto illecita la condotta della banca e l’ha sanzionata.
Potrebbero interessarti anche:
- Informative su fototrappole: intervento del Garante
- La banca nega l’informativa privacy al cliente: interviene il Garante
- Privacy: l’indicazione di nomi e cognomi nella delibera pubblicata
2. La valutazione del Garante
Secondo il Garante, la predisposizione di un apposito modulo da parte del titolare e la sua compilazione ed invio da parte dell’interessato può certamente ritenersi una modalità con cui permettere all’interessato di esercitare il suo diritto di accesso ai dati riconosciuto dal GDPR ed anzi può anche facilitare la presentazione delle richieste di accesso. Tuttavia, costituisce una violazione della normativa privacy che il titolare preveda la compilazione e l’invio di tale modulo come condizione necessaria per poter dare seguito alla richiesta di accesso ai dati da parte dell’interessato.
Il titolare del trattamento, invece, è tenuto a valutare e a dare seguito a tutte le istanze di accesso ai dati, anche se presentate in forma libera. Tale obbligo a carico del titolare sussiste a maggior ragione se la richiesta di accesso indica, per il tramite del riferimento all’art. 15 del GDPR, rispetto a quali dati personali viene richiesto l’accesso (come era avvenuto nel caso oggetto di esame da parte del Garante).
Ciò chiarito, il Garante ha ricordato che, ai sensi dell’art. 12 del GDPR, il titolare è obbligato a soddisfare le richieste di accesso provenienti dall’interessato, fornendo le informazioni senza ingiustificato ritardo e al più tardi entro 30 giorni dal ricevimento della richiesta.
Pertanto, la decisione della banca di condizionare l’esercizio del diritto di accesso alla compilazione del modulo, sostanzia un ostacolo all’esercizio di tale diritto.
In secondo luogo, il Garante ha ritenuto non accoglibile la tesi difensiva della banca secondo cui la richiesta, così come formulata dal reclamante, fosse manifestamente infondata ed eccessiva. Secondo l’autorità, infatti, l’art. 15 del GDPR non prevede alcuna limitazione in ordine alle informazioni che possono essere oggetto di accesso. Pertanto, l’interessato può richiedere di conoscere tutti i dati trattati dal titolare. Inoltre, la richiesta non può essere ritenuta eccessiva, in quanto per il GDPR tale eccessività si può configurare soltanto quando vengono presentate più richieste aventi lo stesso oggetto al titolare del trattamento (cosa non avvenuta nel caso di specie).
In ogni caso, ha concluso il Garante, il titolare, anche quando non acconsente alla richiesta di accesso dell’interessato, è obbligato ad informare quest’ultimo, sempre al massimo entro 30 giorni dalla richiesta, dei motivi per cui non ha dato seguito a detta richiesta e che l’interessato ha il diritto di proporre reclamo al Garante privacy e ricorso giurisdizionale. Nel caso di specie, invece, non è emerso che la banca avesse informato il reclamante dei motivi del rifiuto di dare seguito alla richiesta di accesso, né dei rimedi esperibili avverso tale rifiuto.
In considerazione di ciò, il Garante ha ritenuto che la condotta della banca configurasse una violazione alla normativa in materia di privacy.
Per quanto concerne, invece, la rettifica dei dati del reclamante, relativi alla sua valutazione lavorativa, il Garante ha ritenuto che la condotta della banca, consistita nell’inserire nel fascicolo del reclamante delle note con cui si dava atto della sentenza giudiziaria intervenuta e dell’annullamento della sanzione disciplinare a carico del reclamante e della conseguente dichiarazione di inefficacia del giudizio negativo per l’anno 2008 (senza provvedere alla cancellazione di tale sanzione e di tale giudizio dal fascicolo personale del reclamante), fosse conforme alla disciplina in materia di rettifica e cancellazione dei dati prevista dalla normativa privacy.
3. La decisione del Garante
In base alle suddette valutazioni, il Garante per la protezione dei dati personali ha quindi ritenuto di ingiungere alla banca di soddisfare le richieste dell’interessato di poter accedere ai propri dati di cui all’art. 15 del GDPR, par 1, lett. a) e g), nonché di applicare una sanzione amministrativa pecuniaria di €. 70.000 nei confronti della banca.
Volume consigliato:
Il nuovo codice della privacy
Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni.
Pier Paolo Muià | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento