Con un recente provvedimento, il Garante privacy ha comminato una sanzione di 20 mila euro nei confronti di una nota banca per illecito trattamento di dati personali in relazione ad una richiesta di accesso.
Il Garante privacy ha censurato il mancato riscontro, da parte della banca, alla richiesta di accesso ai dati personali avanzata da un interessato nel termine disposto dall’art. 12 del GDPR nonché la mancata indicazione delle ragioni dell’inadempienza e della facoltà, in capo all’interessato, di proporre reclamo al Garante.
La sanzione del Garante privacy contro la banca per violazione del diritto di accesso
La vicenda trae origine dall’inoltro di un reclamo all’Autorità da parte dell’interessato – un cliente della banca – il quale lamentava:
- la segnalazione del suo nominativo a un’azienda specializzata in sistemi di informazioni creditizie, in assenza della comunicazione di preavviso di cui all’art. 4, comma 7, del “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”; e
- il mancato riscontro all’istanza di esercizio dei diritti, formulata nei confronti della banca, con cui chiedeva altresì di prendere visione dell’informativa ex art. 13 del Regolamento.
A seguito delle ricezione del reclamo, il Garante ha invitato la banca a fornire osservazioni in ordine ai fatti oggetto di reclamo e ad aderire all’istanza di esercizio dei diritti, avanzata dal reclamante. Alla luce della documentazione e delle informazioni acquisite in sede di istruttoria, l’Autorità ha quindi accertato la violazione degli:
- 12(3) del Regolamento, a causa del mancato riscontro che la banca avrebbe dovuto dare all’istanza dell’interessato entro i termini prescritti dal GDPR, nonché delle ragioni dell’inadempienza. La motivazione assunta dalla banca, secondo cui l’istanza di esercizio dei diritti fosse stata avanzata nell’ambito di una più ampia e articolata richiesta da parte dell’istante che avrebbe impedito di fornire tempestivo riscontro, non è stata considerata dall’Autorità come un motivo valido di esclusione della responsabilità; e
- 15 del GDPR, in quanto il Garante ha rigettato la tesi della banca in ragione della quale l’informativa di cui all’art. 13 del GDPR e i dati oggetto dell’istanza fossero già note all’interessato, in quanto, l’art. 15 del GDPR riconosce, preliminarmente, all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e di conseguenza, e in caso affermativo, il diritto “di ottenere l’accesso ai dati” stessi e alle ulteriori informazioni.
Alla luce delle circostanze dell’accaduto, il Garante ha dichiarato illecito il trattamento effettuato da parte della banca e ha comminato una sanzione di 20.000 euro, tenendo conto delle seguenti circostanze:
- con riguardo alla natura, gravità e durata della violazione, il fatto che (i) la violazione abbia riguardato le disposizioni relative all’esercizio dei diritti degli interessati e (ii) sia stato fornito riscontro all’interessato solo a seguito dell’intervento dell’Autorità;
- la violazione risulta accertata con riferimento a un solo interessato;
- l’assenza di precedenti violazioni pertinenti commesse dalla banca;
- la predisposizione di misure tecniche e organizzative volte a favorire la gestione delle segnalazioni attinenti alla tutela dei dati personali;
- il grado di cooperazione fornito dalla banca nel corso del procedimento.
Alcune considerazioni per le aziende derivanti dal procedimento
Il provvedimento del Garante privacy è particolarmente interessante poiché conferma la sempre maggiore attenzione e sensibilità degli individui nei confronti delle tematiche inerenti al trattamento dei propri dati personali nonché un maggiore attivismo degli stessi per la tutela dei diritti ad essi riconosciuti dalla normativa. Ciò è reso possibile anche grazie all’esistenza di appositi meccanismi che consentono a chiunque di rivolgersi al Garante, mediante reclamo o segnalazione.
Allo stesso modo, sembra che ci sia una posizione del Garante estremamente rigida che non tiene a volte conto delle circostanze concrete e si lega a formalismi eccessivi. Nel caso particolare infatti la banca aveva fornito le informazioni tramite l’informativa privacy, ma il Garante ha ritenuto tale comunicazione non sufficiente per soddisfare i requisiti di cui al diritto di accesso, senza chiarire come in concreto questo potesse danneggiare gli interessi del reclamante.
Sull’attività sanzionatoria del Garante, potrebbero interessarvi “Il collaboratore esterno ha gli stessi diritti privacy del dipendente sull’uso delle sue email” e ““Il Garante privacy sanziona sul monitoraggio di dipendenti sul posto di lavoro”.