Sanzionata la banca per mancata risposta all’esercizio dei diritti privacy del cliente, anche se questi non ha usato l’apposita email per la richiesta.
Volume consigliato: Formulario commentato della privacy
Indice
1. I fatti
Un signore presentava un reclamo al Garante per la protezione dei dati personali lamentando che la banca presso cui il figlio minorenne aveva un conto corrente, non gli aveva dato riscontro all’istanza di accesso ai dati personali del figlio che egli aveva avanzato in qualità di esercente la potestà genitoriale.
Il Garante invitava quindi la banca a fornire informazioni in merito alla vicenda, la quale spiegava le ragioni del ritardo e forniva al reclamante i dati richiesti. Tuttavia, il Garante non soddisfatto dei chiarimenti, apriva l’istruttoria nei confronti dell’istituto bancario, autorizzandolo a depositare memorie difensive.
La banca riferiva che il mancato tempestivo riscontro era dipeso da un errore operativo nella gestione della richiesta. Infatti, il reclamante aveva inviato la richiesta alla casella PEC istituzionale della banca e chi presidiava la casella aveva provveduto ad inviare la richiesta alla filiale di competenza, la quale ultima non aveva dato alcun riscontro né aveva provveduto a inoltrare la richiesta all’ufficio dedicato alla verifica della compliance privacy della banca. A tal proposito, la banca affermava di aver previsto che la gestione delle richieste di esercizio dei diritti privacy venisse effettuato da un apposito ufficio con personale formato specificatamente, in modo da evitare gestioni parziali delle richieste o una lettura errata delle stesse. Pertanto, al fine di semplificare le modalità di trasmissione delle richieste da parte degli interessati e ridurne i tempi di gestione, la Banca aveva messo a disposizione molteplici canali per la presentazione delle richieste di esercizio dei diritti, fra cui due specifici indirizzi email direttamente presidiati dall’ufficio apposito, che erano riportati nella sezione Privacy del sito internet della banca e nell’informativa alla clientela sul trattamento dei dati personali nella parte relativa all’esercizio di un diritto.
Tuttavia, nel caso si specie, l’interessato aveva inviato la richiesta alla PEC istituzionale della banca, che, riferiva quest’ultima, è destinataria di circa 2.500 / 2.700 comunicazioni ogni giorno, dai contenuti più vari e quindi di potenziale competenza dei più svariati uffici e/o filiali della banca.
La banca concludeva, quindi, affermando che l’errore della filiale, che ha causato il mancato tempestivo riscontro alla richiesta di esercizio dei diritti da parte dell’interessato, sarebbe stato evitato nel caso in cui quest’ultimo avesse inviato detta richiesta agli indirizzi appositamente previsti dalla banca per la gestione delle richieste di esercizio dei diritti privacy da parte degli interessati.
Infine, la banca faceva presente che, per “risarcire” il reclamante per il ritardo nella comunicazione dei dati richiesti, a fronte di una successiva richiesta del medesimo di avere gli estratti conto del conto corrente intestato al figlio minore, la banca aveva fornito detti documenti immediatamente e senza applicare le spese normativamente previste.
Volume consigliato
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
60.80 €
2. Banca e diritti privacy dei clienti: la valutazione del Garante
Preliminarmente il Garante ha ricordato che il Regolamento per la protezione dei dati personali (GDPR) stabilisce che il titolare del trattamento deve adottare delle misure appropriate per fornire all’interessato tutte le comunicazioni previste in caso di esercizio dei diritti previsti dal medesimo GDPR e che il titolare deve agevolare l’interessato nell’esercizio di detti diritti. Per quanto riguarda la tempistica entro cui il titolare deve dare riscontro alla richiesta dell’interessato, in cui esercita uno dei diritti previsti dal GDPR, il Garante ha ricordato che questa deve avvenire senza giustificato ritardo e al più tardi entro un mese da quando il titolare ha ricevuto la richiesta. Inoltre, tale termine può essere prorogato di due mesi dal titolare, se necessario, tenuto conto della complessità e del numero delle richieste (informando l’interessato di tale proroga e dei motivi del ritardo). Nel caso in cui il titolare non ottemperi alla richiesta dell’interessato, entro i termini previsti, deve informare quest’ultimo del ritardo e, entro un mese dalla richiesta, dei motivi per cui non ha ottemperato, nonché del fatto che quest’ultimo può proporre un reclamo all’autorità di controllo o un ricorso giurisdizionale.
Nel caso di specie, la banca non ha fornito un riscontro entro 30 giorni dalla ricezione della richiesta di accesso ai dati personali formulata dal reclamante e non ha neanche provveduto a comunicargli i motivi del mancato riscontro, né della possibilità di proporre reclamo al Garante o ricorso al tribunale. La banca ha fornito il riscontro alla richiesta solo a seguito del reclamo dell’interessato.
Pertanto, il Garante ha ritenuto che vi sia stata una violazione della normativa in materia di esercizio dei diritti dell’interessato e che le giustificazioni fornite dalla banca non siano sufficienti per ritenere superata la violazione. Infatti, sugli interessati non grava l’obbligo di adottare alcun formato specifico per presentare le istanze di esercizio del diritto di accesso e in generale non è previsto alcun requisito circa il formato della richiesta di accesso. Pertanto, l’interessato non può essere tenuto a scegliere uno specifico canale di comunicazione per formulare le proprie richieste, ma è sufficiente entrare in contatto con il titolare del trattamento per formulare la sua richiesta.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che le difese del titolare, anche se sono da ritenere meritevoli di considerazione, non permettono di respingere il reclamo, che pertanto deve ritenersi fondato.
Conseguentemente, il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria a carico del titolare del trattamento.
Per quanto riguarda la quantificazione della predetta sanzione, il Garante, da un lato, ha valutato la rilevante natura della violazione (che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati) e il grado di responsabilità del titolare (che risulta attenuato in quanto lo stesso, non appena avuta conoscenza della violazione, ha provveduto a fornire all’interessato le informazioni richieste), nonché il fatto che il titolare fosse già stato destinatario di precedenti provvedimenti. Dall’altro lato, come circostanze attenuanti, il Garante ha tenuto conto delle misure adottate dal titolare per attenuare le conseguenze negative derivanti dall’illecito (tra cui la consegna a titolo gratuito della documentazione bancaria successivamente richiesta dall’interessato) e la collaborazione con l’Autorità nel corso del procedimento, nonché l’esiguo numero di interessati coinvolti (uno) e le misure organizzative apprestate dal titolare al fine di evitare la mancata presa in carico di una istanza di esercizio dei diritti che pervenga a una struttura diversa da quella avente diretta competenza.
Sulla base di tali presupposti, il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 42.000 (quarantaduemila).
Scrivi un commento
Accedi per poter inserire un commento