L’accesso negato ai dati personali costituisce una violazione delle privacy

Scarica PDF Stampa
 

Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Ordine Provinciale di Roma dei Medici Chirurghi e degli Odontoiatri – 16 settembre 2021 (link al provvedimento)

Fatti

Il Garante per la protezione dei dati personali ha emanato un’ordinanza ingiunzione nei confronti dell’Ordine dei Medici di Roma a fronte di un reclamo pervenuto da parte di un interessato. In particolare, il reclamante aveva denunciato di aver in precedenza inviato una mail all’Ordine dei medici chirurghi di Roma per chiedere chiarimenti in ordine al trattamento di dati personali che riguardavano lui stesso e le sue figlie minorenni. Nella stessa mail aveva esposto che, nel caso in cui fosse in corso una procedura di trattamento, avrebbe voluto ricevere una copia dei dati e l’accesso a questi e alle informazioni ex art. 15, par. 1, lett. da a) a h). Nonostante il sollecito, tuttavia, l’Ordine dei Medici non aveva proceduto ad inviare risposta al reclamante.

A fronte del reclamo a lui pervenuto, il Garante aveva invitato l’Ordine a dare quanto prima attuazione alla richiesta del soggetto: più precisamente, l’Ordine avrebbe dovuto inviare una risposta nel termine di 30 giorni e dopodiché avrebbe dovuto provvedere ad informare il Garante stesso dell’attività svolta.

A fronte di tale invito del Garante, l’Ordine dei Medici aveva inviato risposta al Garante in cui: (i) specificava che i dati oggetto del reclamo erano stati forniti dallo stesso soggetto interessato dal trattamento ed erano stati trattati in modo conforme alla disciplina dettata in materia; inoltre, precisava che, in quel momento presso l’Ordine dei Medici, era in corso un procedimento disciplinare non ancora concluso e perciò non era possibile far pervenire copie degli atti oggetto dello stesso; infine, segnalava che il reclamo non era ancorato ad alcun presupposto oggettivo che avrebbe permesso l’esecuzione delle attività da lui richieste, quali la copia degli atti, ritenendola, piuttosto, una richiesta superflua e generica poiché trattava di dati spontaneamente comunicati dall’interessato.

Nonostante ciò, il Garante aveva comunque provveduto ad attivare un’istruttoria finalizzata ad accertare o meno se fosse stata violata la disciplina in materia di protezione e trattamento dei dati personali.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Le memorie difensive dell’ordine

A fronte dei fatti sopra esposti, il Garante quindi avviava un’attività istruttoria per presunta violazione degli artt. 12, parr. 1, 3, 4 e 5, e 15 GDPR ed invitava l’Ordine ad inviare memorie difensive inerenti ai fatti e alle presunte violazioni.

Negli scritti difensivi, l’Ordine ha precisato che da parte del reclamante erano state formulate, nel medesimo giorno, due richieste all’Ordine medesimo: la prima riguardante l’accesso documentale ex L. 7 agosto 1990, n. 241, al fine di prendere copia di tutti i documenti; la seconda, esercitando il diritto di accesso ex artt. Da 15 a 22 GDPR.

In considerazione di tali richieste, l’Ordine sosteneva di aver collaborato con il soggetto interessato, fissando un appuntamento per consentire l’accesso documentale, al quale, però, la parte istante non si era impegnata ad essere presente.

Inoltre, proseguiva l’Ordine delle sue difese, le due richieste presentate simultaneamente dal Reclamante avevano – per tale simultaneità – determinato errori nell’operato dei funzionari addetti per le relative modalità di adempimento.

Le violazioni

Dall’attività istruttoria del Garante, è emerso che, ai sensi dell’art. 12, par. 3 GDPR, il titolare del trattamento, nel caso di specie corrispondente all’Ordine dei medici chirurghi, nel caso in cui riceve richiesta ex artt. da 15 a 22 del GDPR è tenuto a fornire le corrispondenti informazioni entro un mese da quando ha ricevuto la richiesta stessa: nel caso di specie, invece l’Ordine non ha rispettato questo termine.

Il Garante ha poi precisato che l’Ordine non ha provveduto ad elencare le circostanze, ai sensi degli artt. 15-22 GDPR, in presenza delle quali è possibile, alla luce della stessa previsione normativa, limitare l’esercizio dei diritti dell’interessato.

In particolare, l’art. 15 del GDPR dispone che <<l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni (…)>>. Il regolamento europeo stabilisce, dunque, che l’interessato ha diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto per essere consapevole del trattamento e verificarne la liceità.

Ebbene, nel caso di specie, secondo il Garante l’Ordine, in qualità di titolare del trattamento, non ha provveduto a fornire tali informazioni all’interessato del trattamento, asserendo che tale inadempimento è stata conseguenza, innanzitutto, del fatto che nei confronti del reclamante vi fosse un procedimento disciplinare ancora in corso e, poi, conseguenza della duplicazione simultanea delle richieste, che ha comportato errori nella gestione delle stesse.

Tuttavia, secondo il Garante, ai sensi dell’art. 12 del GDPR, il titolare del trattamento deve predisporre modalità facilitate per agevolare l’esercizio dell’interessato di accesso ai dati personali ai fini di ottenere, gratuitamente, l’accesso, la rettifica e la cancellazione e per esercitare il diritto di opposizione. Inoltre, il par. 4 dello stesso articolo dispone che <<se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale>>.

Secondo il Garante l’Ordine non ha rispettato il termine prescritto dalla suddetta norma e ciò determina quindi una sua violazione.

Inoltre, secondo il Garante non può essere accolta neanche la difesa dell’Ordine, secondo cui avrebbe provveduto a fissare un incontro con il soggetto interessato al quale quest’ultimo non si era presentato, in quanto la citata disposisione normativa (cioè l’art. 12 GDPR) prevede che il titolare debba procedere attraverso un invio telematico delle informazioni richieste.

Le sanzioni del Garante privacy

Alla luce di tutto quanto sopra, il Garante ha ritenuto che non ci fossero elementi sufficienti per archiviare il caso, ritenendo che è stato attuato da parte dell’Ordine un trattamento illecito dei dati personali in violazione degli artt. 12 e 15 GDPR.

In virtù delle violazioni accertate, è stata quindi applicata la sanzione amministrativa pecuniaria (pari ad un importo di euro 5.000) ex art. 83, par. 5 GDPR ai sensi dell’art. 58, par. 2 dello stesso. Inoltre, sempre in virtù del potere correttivo riconosciuto dalla detta ultima norma al Garante di ingiungere al titolare del trattamento (o al responsabile) di soddisfare le richieste che sono state vantate dall’interessato, l’Autorità ha ingiunto all’Ordine di fornire all’interessato, entro 30 giorni dalla ricezione del provvedimento, copia dei dati personali del reclamante e delle figlie minorenni.

Infine, il Garante ha ingiunto all’Ordine di provvedere, nello stesso termine, ad inviare un riscontro al Garante in cui viene confermato di aver adeguatamente adempiuto a tali attività oppure, in mancanza di adempimento, vengono esposte le ragioni per cui non sia stato possibile dare attuazione a quanto gli è stato ordinato nel provvedimento.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €