Indice
1. I fatti
Un ex dipendente e correntista di una banca inviava un reclamo al Garante per la protezione dei dati personali, lamentando il tardivo e inidoneo riscontro alle richieste di cancellare i dati che lo riguardavano che erano ancora in possesso della banca.
A seguito della richiesta di chiarimenti da parte del Garante, la banca confermava che nel gennaio 2019 il reclamante aveva inviato una richiesta per avere informazioni su come cancellare il proprio profilo professionale e i suoi dati personali dal database relativo alle candidature della banca e che la banca aveva dato riscontro 3 giorni, richiedendo l’invio della copia del documento di identità del reclamante per poterlo riconoscere in maniera univoca. A tale richiesta, il reclamante rispondeva il giorno successivo inviando il documento di identità e il codice fiscale, senza che però la banca fornisse alcun riscontro per un disguido interno.
Stante il mancato riscontro da parte della banca, il reclamante, il 18 aprile del 2019, inviava per il tramite del proprio avvocato una raccomandata alla banca con cui lamentava danni patrimoniali e non a causa della mancata cancellazione del suo profilo dal database aziendale e insisteva con la richiesta di cancellazione dei suoi dati dalle banche dati della società.
La banca procedeva, quindi a “rendere inaccessibile” il profilo del reclamante dal database delle candidature soltanto in data 6 maggio ed a cancellare definitivamente detto profilo in data 29 maggio. Infine, la banca comunicava al reclamante l’avvenuta cancellazione definitiva di detti dati soltanto in data 17 giugno 2019.
Secondo la banca, il ritardo nel riscontrare la prima richiesta (quella di gennaio) era stata dipesa dal fatto che l’ufficio preposto non aveva preso in carico la domanda del reclamante. Invece, il tardivo riscontro alla seconda richiesta (quella di aprile) era dipeso dal fatto che l’interessato avesse formulato, insieme alla richiesta di cancellazione, anche delle contestazioni e delle rivendicazioni ulteriori nei confronti della banca e ciò aveva comportato il coinvolgimento anche di altri uffici (come quello legale e quello di gestione del personale), per valutare le richieste dal reclamante e fornire un riscontro completo e coordinato, che avevano comportato la necessità di maggiore tempo per rispondere.
Infine, la banca rilevava che la stessa continuava comunque a trattare ancora altri dati dell’interessato (come quelli anagrafici e identificativi, i dati di contatto, le immagini fotografiche presenti sui documenti di identità, le informazioni relative alle sue competenze professionali e al percorso scolastico, le informazioni relative al rapporto di lavoro con la banca), in quanto necessari per finalità di gestione del rapporto di lavoro, e precisava che li avrebbe conservati ancora per 10 anni dalla conclusione del rapporto di lavoro.
Potrebbero interessarti anche
- Didattica a distanza in emergenza Codiv 19: profili critici sulla conservazione e cancellazione dei dati alla luce del GDPR 679/16 e delle indicazioni del Garante privacy
- Cessione di azienda: comunicazione del nuovo titolare del trattamento dati
- Ampliato il periodo di conservazione dei dati personali dei soggetti morosi nei pagamenti alle compagnie telefoniche
2. Le valutazioni del Garante
Preliminarmente il Garante ha ricordato la disciplina in materia di esercizio dei diritti di accesso e cancellazione dei dati da parte dell’interessato.
In particolare, il titolare del trattamento deve agevolare l’esercizio dei diritti dell’interessato e deve fornire a quest’ultimo tutte le informazioni richieste a fronte di un esercizio dei diritti ai sensi degli artt. da 15 a 22 del Regolamento europeo per la protezione dei dati personali (GDPR).
Tale riscontro deve essere dato all’interessato senza ingiustificato ritardo e comunque non oltre un mese da quando il titolare ha ricevuto la richiesta.
Il titolare può anche prorogare detto termine per rispondere fino ad ulteriori due mesi, qualora le richieste dell’interessato siano complesse o numerose.
Per il caso in cui non possa riscontrare positivamente le richieste di esercizio dei diritti dell’interessato, il titolare deve informare l’interessato senza ritardo e comunque non oltre un mese da quando ha ricevuto la richiesta su quali siano i motivi per cui non gli è possibile dare riscontro positivo e della possibilità di ricorrere al Garante o al tribunale ordinario per opporsi al diniego del titolare.
Infine, l’interessato può anche chiedere al titolare del trattamento di cancellare i dati personali che lo riguardano senza ingiustificato ritardo e il titolare deve provvedere in tal senso, senza ingiustificato ritardo, qualora i dati non siano più necessari rispetto alle finalità per i quali sono stati raccolti o trattati.
Nel caso di specie, secondo il Garante, la banca ha effettuato dei trattamenti dati del reclamante in violazione della suddetta normativa, in quanto ha dato un tardivo e non idoneo riscontro alle richieste di esercizio dei diritti da parte dell’interessato.
Infatti, è stato accertato nel corso dell’istruttoria che, nonostante il reclamante avesse inviato alla banca i propri documenti identità in data 16 gennaio 2019 (adempiendo così alla legittima richiesta della banca di verificare l’identità del richiedente), la banca non ha fornito riscontro all’istanza del reclamante entro i termini previsti dalla legge e ha comunicato a quest’ultimo di aver adempiuto alle richieste di cancellazione soltanto in data 17 giugno 2019 (quindi ben quattro mesi dopo la scadenza del termine previsto dalla legge).
Il Garante, inoltre, ha ritenuto non sufficienti a superare le suddette violazioni, le giustificazioni addotte dalla banca a sostegno del proprio ritardo nel dare riscontro al reclamante ed ha inoltre evidenziato che comunque la banca avrebbe dovuto, per legge, informare l’interessato dei motivi per cui la stessa non poteva fornire un riscontro entro i 30 giorni previsti dal Regolamento.
Infine, con riferimento alla mancata cancellazione dei dati del reclamante relativi al rapporto di lavoro che era intercorso tra questi e la banca, il Garante ha ritenuto corretta la scelta della banca e quindi giustificata la conservazione di tali dati. Tuttavia, il Garante ha evidenziato che il fatto che la banca non abbia comunicato al reclamante l’impossibilità di cancellare detti ultimi dati per le finalità di gestione del rapporto di lavoro intercorso e non gli abbia altresì comunicato la possibilità di proporre reclamo al Garante o ricorso giurisdizionale, sostanzia comunque una violazione della normativa sopra esposta e quindi rende inidoneo il riscontro della banca alla richiesta di cancellazione del reclamante.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che le violazioni poste in essere dalla banca non possano ritenersi come “minori” e conseguentemente ha comminato a quest’ultima una sanzione amministrativa pecuniaria quantificata (al fine di renderla “effettiva, proporzionata e dissuasiva”) nell’importo di €. 10.000 (diecimila).
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento