Titolare ritiene di non essere legittimato passivo della richiesta d’accesso: sanzionato

Il titolare del trattamento viene sanzionato dal Garante privacy anche se non risponde alla richiesta di accesso ai dati personali formulata dall’interessato perché ritiene di non essere il legittimato passivo della richiesta.

      Indice

  1. I fatti
  2. La valutazione del Garante
  3. La decisione del Garante 

>>>Ordinanza ingiunzione n. 236 del 16 giugno 2022<<<

1. I fatti

Un atleta tesserata presso la Federazione Italiana Nuoto, aveva formulato una richiesta di conoscere i propri dati personali trattati dalla suddetta Associazione nazionale, inviando una apposita email sia all’Associazione medesima che al suo responsabile della protezione dei dati. In particolare, nella comunicazione la tesserata chiedeva di poter “ottenere accesso e copia dei documenti contenenti i dati personali”. Tuttavia, la Federazione italiana nuoto non aveva dato alcun riscontro a tale richiesta.

Pertanto, lamentando la condotta illecita dell’associazione, la tesserata ricorreva al Garante per la protezione dei dati personali.

Esaminato il ricorso, il Garante riteneva di avviare il procedimento sanzionatorio nei confronti dell’associazione e formulava a quest’ ultima invito a far pervenire le proprie osservazioni e difese in merito a quanto rappresentato dalla reclamante.

La Federazione italiana nuoto si difendeva, formulando tre distinti rilievi:

  • in primo luogo, evidenziava come la reclamante avesse formulato una richiesta di accesso agli atti, ai sensi della legge 241/90, e non avesse invece formulato alcuna richiesta connessa al trattamento dei dati personali, né avesse lamentato alcuna violazione della relativa disciplina; inoltre, tale richiesta di accesso agli atti sarebbe stata formulata anche in maniera incompleta dalla ricorrente, in quanto quest’ ultima non aveva indicato quale fosse l’ interesse di cui chiedeva tutela tramite l’ accesso e le finalità specifiche dell’ accesso medesimo.
  • in secondo luogo, evidenziava come la reclamante fosse tesserata nella categoria “amatori” e per tale ragione la Federazione non disponeva di alcun dato personale relativo alla reclamante; infatti, secondo l’Associazione nazionale, in caso di tesseramento alla Federazione italiana nuoto nella categoria amatori, gli atti relativi a detto tesseramento vengono conservati soltanto dalla società affiliata alla federazione che propone il tesseramento, senza che vi sia alcun trasferimento dei relativi documenti alla federazione nazionale. Essendo, quindi, la federazione italiana nuoto carente della legittimazione passiva rispetto alla richiesta della reclamante, non aveva potuto evadere detta richiesta.
  • infine, la federazione evidenziava di aver comunque trasmesso alla reclamante (subito dopo l’apertura del procedimento nei suoi confronti) la documentazione in suo possesso contenente i dati personali della reclamante, dimostrando in tal modo la propria totale disponibilità a collaborare.

Potrebbero interessarti anche:


2. La valutazione del Garante

All’esito dell’istruttoria effettuata nel procedimento dinanzi al Garante per la protezione dei dati personali, l’Autorità ha ritenuto la fondatezza del reclamo presentato dalla tesserata.

Secondo il Garante, infatti, anche dalle dichiarazioni rese dalla stessa Federazione italiana nuoto, è emerso che detta Associazione non ha mai contestato di essere la titolare del trattamento e altresì ha confermato di non aver fornito riscontro, entro il termine previsto dalla normativa in materia di protezione dei dati personali (cioè 30 giorni), alla richiesta di accesso ai dati personali che era stata formulata dalla ricorrente.

A tal proposito, il Garante ha rilevato come risulti provato che l’istanza fosse stata regolarmente notificata alla Federazione e che la stessa fosse chiaramente inquadrabile come una richiesta di prendere visione dei dati personali della istante, anziché come una richiesta di accesso ai documenti amministrativi ai sensi della legge 241/1990. Infatti, all’interno dell’oggetto della email e del suo testo, nonché all’interno del file allegato a detta email, era stato indicato espressamente dalla reclamante che si trattava di una “Richiesta di Accesso ai dati personali ex art. 15-22 del Regolamento 679/2016”.

In considerazione di ciò, ai sensi di legge, il titolare del trattamento avrebbe dovuto dare un riscontro alla suddetta richiesta entro i termini di cui sopra, eventualmente indicando i motivi che rendevano impossibile procedere ad accogliere la richiesta e comunicando alla richiedente di poter proporre ricorso al Garante e alla giurisdizione ordinaria avverso detto rifiuto. Tale riscontro, precisa inoltre il Garante, avrebbe dovuto essere reso anche se la Federazione riteneva che vi fosse una sua carenza di legittimazione passiva: ciò in quanto il titolare del trattamento avrebbe dovuto comunque giustificare l’omessa risposta.

3. La decisione del Garante

In considerazione di quanto sopra, quindi, il Garante ha ritenuto fondato il reclamo ed ha conseguentemente disposto una sanzione pecuniaria a carico della Federazione, mentre ha deciso di non adottare alcuna ingiunzione a adempiere alla richiesta di accesso del reclamante in quanto la Federazione vi aveva già adempiuto spontaneamente durante il procedimento.

Per quanto concerne la quantificazione della sanzione pecuniaria, il Garante ha preso in esame i seguenti aspetti, al fine di poter comminare una sanzione che sia effettiva, proporzionata e dissuasiva rispetto al soggetto sanzionato: il fatto che la violazione della normativa privacy riguardava i diritti dell’interessato; il fatto che la violazione è derivata da una erronea qualificazione, da parte della Federazione, quale istanza di accesso agli atti ex art. 241/90 della richiesta che era stata presentata dall’ interessato (anche in considerazione delle parole utilizzate da quest’ultimo nella richiamata email: “chiedo accesso e copia dei documenti contenenti i dati personali”); il fatto che la Federazione ha collaborato con il Garante tutto il procedimento; il fatto che non vi fossero precedenti violazioni per la stessa fattispecie a carico della Federazione; infine, il fatto che la Federazione sia un ente associativo che non ha finalità di lucro.

In conclusione, il Garante ha quindi quantificato la sanzione pecuniaria amministrativa in €. 2.000,00.

Ebook consigliato:

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  8.42 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento