L’accesso negato ai dati personali costituisce una violazione delle privacy

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Ordine Provinciale di Roma dei Medici Chirurghi e degli Odontoiatri – 16 settembre 2021 (link al provvedimento)

Fatti

Il Garante per la protezione dei dati personali ha emanato un’ordinanza ingiunzione nei confronti dell’Ordine dei Medici di Roma a fronte di un reclamo pervenuto da parte di un interessato. In particolare, il reclamante aveva denunciato di aver in precedenza inviato una mail all’Ordine dei medici chirurghi di Roma per chiedere chiarimenti in ordine al trattamento di dati personali che riguardavano lui stesso e le sue figlie minorenni. Nella stessa mail aveva esposto che, nel caso in cui fosse in corso una procedura di trattamento, avrebbe voluto ricevere una copia dei dati e l’accesso a questi e alle informazioni ex art. 15, par. 1, lett. da a) a h). Nonostante il sollecito, tuttavia, l’Ordine dei Medici non aveva proceduto ad inviare risposta al reclamante.

A fronte del reclamo a lui pervenuto, il Garante aveva invitato l’Ordine a dare quanto prima attuazione alla richiesta del soggetto: più precisamente, l’Ordine avrebbe dovuto inviare una risposta nel termine di 30 giorni e dopodiché avrebbe dovuto provvedere ad informare il Garante stesso dell’attività svolta.

A fronte di tale invito del Garante, l’Ordine dei Medici aveva inviato risposta al Garante in cui: (i) specificava che i dati oggetto del reclamo erano stati forniti dallo stesso soggetto interessato dal trattamento ed erano stati trattati in modo conforme alla disciplina dettata in materia; inoltre, precisava che, in quel momento presso l’Ordine dei Medici, era in corso un procedimento disciplinare non ancora concluso e perciò non era possibile far pervenire copie degli atti oggetto dello stesso; infine, segnalava che il reclamo non era ancorato ad alcun presupposto oggettivo che avrebbe permesso l’esecuzione delle attività da lui richieste, quali la copia degli atti, ritenendola, piuttosto, una richiesta superflua e generica poiché trattava di dati spontaneamente comunicati dall’interessato.

Nonostante ciò, il Garante aveva comunque provveduto ad attivare un’istruttoria finalizzata ad accertare o meno se fosse stata violata la disciplina in materia di protezione e trattamento dei dati personali.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Le memorie difensive dell’ordine

A fronte dei fatti sopra esposti, il Garante quindi avviava un’attività istruttoria per presunta violazione degli artt. 12, parr. 1, 3, 4 e 5, e 15 GDPR ed invitava l’Ordine ad inviare memorie difensive inerenti ai fatti e alle presunte violazioni.

Negli scritti difensivi, l’Ordine ha precisato che da parte del reclamante erano state formulate, nel medesimo giorno, due richieste all’Ordine medesimo: la prima riguardante l’accesso documentale ex L. 7 agosto 1990, n. 241, al fine di prendere copia di tutti i documenti; la seconda, esercitando il diritto di accesso ex artt. Da 15 a 22 GDPR.

In considerazione di tali richieste, l’Ordine sosteneva di aver collaborato con il soggetto interessato, fissando un appuntamento per consentire l’accesso documentale, al quale, però, la parte istante non si era impegnata ad essere presente.

Inoltre, proseguiva l’Ordine delle sue difese, le due richieste presentate simultaneamente dal Reclamante avevano – per tale simultaneità – determinato errori nell’operato dei funzionari addetti per le relative modalità di adempimento.

Le violazioni

Dall’attività istruttoria del Garante, è emerso che, ai sensi dell’art. 12, par. 3 GDPR, il titolare del trattamento, nel caso di specie corrispondente all’Ordine dei medici chirurghi, nel caso in cui riceve richiesta ex artt. da 15 a 22 del GDPR è tenuto a fornire le corrispondenti informazioni entro un mese da quando ha ricevuto la richiesta stessa: nel caso di specie, invece l’Ordine non ha rispettato questo termine.

Il Garante ha poi precisato che l’Ordine non ha provveduto ad elencare le circostanze, ai sensi degli artt. 15-22 GDPR, in presenza delle quali è possibile, alla luce della stessa previsione normativa, limitare l’esercizio dei diritti dell’interessato.

In particolare, l’art. 15 del GDPR dispone che <<l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni (…)>>. Il regolamento europeo stabilisce, dunque, che l’interessato ha diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto per essere consapevole del trattamento e verificarne la liceità.

Ebbene, nel caso di specie, secondo il Garante l’Ordine, in qualità di titolare del trattamento, non ha provveduto a fornire tali informazioni all’interessato del trattamento, asserendo che tale inadempimento è stata conseguenza, innanzitutto, del fatto che nei confronti del reclamante vi fosse un procedimento disciplinare ancora in corso e, poi, conseguenza della duplicazione simultanea delle richieste, che ha comportato errori nella gestione delle stesse.

Tuttavia, secondo il Garante, ai sensi dell’art. 12 del GDPR, il titolare del trattamento deve predisporre modalità facilitate per agevolare l’esercizio dell’interessato di accesso ai dati personali ai fini di ottenere, gratuitamente, l’accesso, la rettifica e la cancellazione e per esercitare il diritto di opposizione. Inoltre, il par. 4 dello stesso articolo dispone che <<se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale>>.

Secondo il Garante l’Ordine non ha rispettato il termine prescritto dalla suddetta norma e ciò determina quindi una sua violazione.

Inoltre, secondo il Garante non può essere accolta neanche la difesa dell’Ordine, secondo cui avrebbe provveduto a fissare un incontro con il soggetto interessato al quale quest’ultimo non si era presentato, in quanto la citata disposisione normativa (cioè l’art. 12 GDPR) prevede che il titolare debba procedere attraverso un invio telematico delle informazioni richieste.

Le sanzioni del Garante privacy

Alla luce di tutto quanto sopra, il Garante ha ritenuto che non ci fossero elementi sufficienti per archiviare il caso, ritenendo che è stato attuato da parte dell’Ordine un trattamento illecito dei dati personali in violazione degli artt. 12 e 15 GDPR.

In virtù delle violazioni accertate, è stata quindi applicata la sanzione amministrativa pecuniaria (pari ad un importo di euro 5.000) ex art. 83, par. 5 GDPR ai sensi dell’art. 58, par. 2 dello stesso. Inoltre, sempre in virtù del potere correttivo riconosciuto dalla detta ultima norma al Garante di ingiungere al titolare del trattamento (o al responsabile) di soddisfare le richieste che sono state vantate dall’interessato, l’Autorità ha ingiunto all’Ordine di fornire all’interessato, entro 30 giorni dalla ricezione del provvedimento, copia dei dati personali del reclamante e delle figlie minorenni.

Infine, il Garante ha ingiunto all’Ordine di provvedere, nello stesso termine, ad inviare un riscontro al Garante in cui viene confermato di aver adeguatamente adempiuto a tali attività oppure, in mancanza di adempimento, vengono esposte le ragioni per cui non sia stato possibile dare attuazione a quanto gli è stato ordinato nel provvedimento.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it