La banca deve comunicare all’erede del titolare del conto corrente i dati personali del de cuius di cui è in possesso.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti: l’eredità del conto corrente in banca
L’erede di una persona che aveva un conto corrente in essere con una banca inviava al Garante per la protezione dei dati personali un reclamo lamentando di aver inviato alla banca una richiesta di accesso ai dati del de cuius ai sensi della normativa privacy senza tuttavia ricevere alcuna risposta.
In particolare, il reclamante sosteneva che dopo aver mandato l’istanza di accesso ai dati personali, la banca non aveva fornito riscontro e solo dopo una serie di solleciti aveva risposto che non erano presenti rapporti a nome de cuius. In ragione del fatto che vi era stato un errore nella data di nascita del de cuius e dopo alcune successive interlocuzioni la banca confermava che vi erano rapporti a nome del de cuius, ma non inviava al reclamante i dati richiesti.
Il Garante privacy, quindi, invitava la banca a fornire le proprie osservazioni in ordine ai fatti oggetto del reclamo e la banca inviava alcuni dati parziali, sostenendo di non poter inviare la copia integrale degli estratti conto e delle movimentazioni relative agli ultimi 10 anni del rapporto di conto corrente in quanto detta documentazione poteva essere acquisita solo a seguito di un accesso agli atti e documenti formulato ai sensi del testo unico bancario.
Poiché il reclamante si dichiarava insoddisfatto del riscontro ottenuto e richiedeva l’invio di tutti i dati riferiti al de cuius nessuno escluso, la banca provvedeva a trasmettere copia degli estratti conto relativi agli ultimi dieci anni riferiti al conto corrente intestato al de cuius, previo oscuramento dei dati di terzi.
Il Garante provvedeva quindi a notificare alla banca l’avvio della procedura sanzionatoria e la invitava a depositare scritti difensivi.
La banca giustificava il mancato tempestivo riscontro alla richiesta di conoscere i dati personali del de cuius che era stata inviata dal reclamante, per tre diverse ragioni: in primo luogo, in quanto il reclamante aveva indirizzato la richiesta di accesso ai dati personali ad una casella elettronica diversa da quelle destinate dalla banca per alla gestione delle richieste formulate ai sensi della normativa privacy (come pubblicate nella sezione privacy del sito e sulla informativa rilasciata a tutti i clienti); in secondo luogo, in quanto inizialmente la banca aveva erroneamente creduto che il de cuius non aveva rapporti di conto corrente in essere con la banca, a causa dell’erronea indicazione della data di nascita di quest’ultimo; infine, in quanto la richiesta era stata erroneamente inquadrata come una pratica successoria dall’unità organizzativa che aveva ricevuto la richiesta. Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
2. La valutazione del Garante
Il Garante ha in primo luogo rilevato il titolare del trattamento deve adotta delle misure appropriate per fornire all’interessato tutte le comunicazioni relative al trattamento che sono previste a suo favore dalla normativa privacy ed in particolare dai diritti di cui agli artt. da 15 a 22 del regolamento europeo. Inoltre, il titolare del trattamento deve fornire all’interessato dette informazioni senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Nel caso in cui il titolare del trattamento non ottemperi all’istanza dell’interessato, deve informare quest’ultimo senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Infine, il Garante ha rilevato che l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali e alle relative informazioni. Inoltre, i diritti previsti dai citati articoli da 15 a 22 del Regolamento europeo riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
Nel caso di specie, la banca non ha invece fornito tempestivamente riscontro alla richiesta di accesso ai dati personali del de cuius che era stata formulata dal reclamante, né ha provveduto ad informare quest’ultimo dei motivi per cui non ha dato riscontro e della possibilità di proporre reclamo a un’autorità di controllo o un ricorso giurisdizionale.
I motivi addotti dalla banca a giustificazione del mancato / tardivo riscontro non possono essere valutati positivamente secondo il Garante, in quanto sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso: infatti, il Regolamento europeo non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali, quindi quest’ultimo non deve rispettare alcun requisito al momento di scegliere un canale di comunicazione con il titolare del trattamento.
3. La decisione del Garante
In considerazione di tutto quanto sopra, secondo il garante l’omesso riscontro all’istanza di accesso ai dati personali del proprio de cuius presentata dall’erede deve ritenersi illecita e conseguentemente deve ritenersi fondato il reclamo.
Per quanto riguarda le misure adottate dal Garante, posto che la banca durante il procedimento aveva comunque fornito al reclamante le informazioni richieste, il Garante ha ritenuto di non dover adottare alcun provvedimento ingiuntivo nei confronti dell’istituto di credito.
Invece, il Garante ha ritenuto di dover comminare una sanzione pecuniaria alla banca per la propria condotta illecita. Per quanto concerne la quantificazione della predetta sanzione, il Garante ha valutato che la violazione è stata rilevante (in quanto ha riguardato le disposizioni relative all’esercizio dei diritti dell’interessato), ma che il grado di responsabilità della banca è attenuato in quanto appena quest’ultima si è resa conto della violazione commessa ha fornito all’interessato i dati richiesti. Inoltre, il Garante ha considerato che la banca ha collaborato nel corso del procedimento e che non vi erano precedenti violazioni a suo carico. In ragione di ciò, il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 10.000 (diecimila).
Scrivi un commento
Accedi per poter inserire un commento