Il mancato riscontro entro i termini di legge alla richiesta di accesso ai dati viola la privacy anche se il titolare ha adottato delle procedure specifiche per il rispetto di detto termine.
>>>Leggi l’Ordinanza ingiunzione n. 378 del 6 ottobre 2022<<<
Indice
1. I fatti
Una signora presentava al Garante per la protezione dei dati personali un reclamo nel quale sosteneva di non aver ricevuto alcun riscontro alla richiesta di accesso ai dati personali di due clienti, defunte, di Poste Italiane, delle quali la reclamante era erede.
IL Garante, quindi, invitava Poste italiane a fornire le proprie osservazioni al riguardo e di aderire spontaneamente alla richiesta di accesso de quo. La società rappresentava che aveva già fornito all’interessata i dati richiesti, anche se dopo la scadenza del termine di 30 giorni dall’istanza, per un mero errore materiale. Infatti, la società sosteneva di aver preso in carico la domanda di accesso 50 giorni dopo l’invio da parte della reclamante, chiedendo alla stessa copia della documentazione idonea a dimostrare l’esistenza dei requisiti soggettivi per ottenere i dati richiesti (cioè il certificato di morte delle due clienti di Poste Italiane, la copia dell’atto notorio attestante lo status di erede della reclamante, un documento di identità), e dopo ulteriori 10 giorni di aver fornito alla interessata i dati richiesti.
Nonostante i chiarimenti forniti dalla società, il Garante riteneva comunque di notificare a Poste Italiane l’avvio del procedimento sanzionatorio nei suoi confronti, invitandola a depositare scritti difensivi.
La società si difendeva sostenendo, in primo luogo, di aver adottato delle specifiche procedure per la gestione dei diritti degli interessati. In particolare, Poste Italiane sosteneva di aver adottato delle apposite linee guida per gestire le istanze di accesso ai dati personali avanzate dagli interessati nonché di aver istituito una apposita struttura (con delle risorse appositamente dedicate e formate) cui spetta il compito di gestire e attuare i diritti degli interessati e quindi di fornire riscontro alle richieste pervenute, entro i termini di legge. Inoltre, tale struttura svolge il suddetto compito anche attraverso una piattaforma informatizzata che consente la corretta tracciabilità e il monitoraggio delle istanze pervenute.
In secondo luogo, la società sosteneva che anche le suddette procedure adottate non consentono comunque di eliminare completamente il rischio che si verifichino degli errori materiali riconducibili ad una mera disattenzione umana di un dipendente addetto alla gestione delle istanze, anche se questo è stato appositamente istruito ed addestrato. In particolare, secondo Poste Italiane, nel caso di specie, l’operatore che aveva preso in carico l’istanza della reclamante aveva inserito, all’interno della piattaforma informatizzata di cui sopra, un tempo di lavorazione dell’istanza errato rispetto al termine di legge e conseguentemente aveva trascurato di inviare alla interessata la richiesta di integrazione documentale in tempo utile per rispettare detto termine di legge.
Secondo la società, tale errore del dipendente era dipeso anche da un elevato numero di istanza che erano pervenute a Poste Italiane nel corso del 2021 (circa 5.000 istanze, rispetto alle 2.500 dell’anno precedente e le 800 del 2020).
Infine, la società evidenziava la propria buona fede, in quanto, dopo aver preso in carico la domanda e accertato che la reclamante era legittimata a richiedere e ottenere i dati delle due clienti, aveva dato immediato e completo riscontro alla richiesta di accesso, prima che lo stesso Garante privacy invitasse Poste Italiane ad aderire alla richiesta della reclamante (e prima di conoscere l’esistenza del reclamo stesso).
Potrebbero interessarti anche
- Titolare ritiene di non essere legittimato passivo della richiesta d’accesso: sanzionato
- La Regione, titolare del trattamento dei dati sanitari, risponde anche nel caso di trattamento illegittimo su richiesta del Ministero
- Il titolare del trattamento dati ha l’obbligo di vigilare costantemente l’operato del Responsabile
2. Le valutazioni del Garante per la protezione dei dati personali
Il Garante ha evidenziato come dall’istruttoria effettuata sia emerso che Poste Italiane non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dalla reclamante entro il termine previsto dalla normativa in materia di privacy (cioè entro 30 giorni dalla richiesta) e non ha altresì provveduto a informare l’istante, entro il medesimo termine, dei motivi per cui non poteva accogliere la richiesta o della possibilità di proporre reclamo al Garante medesimo o ricorso giurisdizionale.
Ciò detto, il Garante ha ritenuto che le difese esposte dalla società, con la descrizione dell’errore materiale del dipendente che aveva causato il ritardo nella risposta all’istanza di accesso della reclamante e la precisazione che i dati erano stati forniti subito dopo che l’istanza era stata effettivamente valutata dalla società, seppure meritevoli di considerazione, non hanno consentito di superare i rilievi notificati dall’Ufficio e non hanno permesso l’archiviazione della procedura sanzionatoria nei confronti della società.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante per la protezione dei dati personali ha ritenuto che l’omesso tempestivo riscontro ad un’istanza di accesso ai dati personali da parte dell’interessato entro i termini di legge è illecito.
Tuttavia, in considerazione del fatto che il titolare del trattamento ha successivamente alla scadenza di detti termini ottemperato all’istanza dell’interessata, non sussistono i presupposti per adottare un provvedimento correttivo nei suoi confronti per costringerlo ad adempiere alla richiesta.
L’Autorità ha, invece, ritenuto che la condotta posta in essere da Poste Italiane fosse da sanzionare mediante l’applicazione di una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione di detta sanzione, il Garante ha valutato, da un lato, la natura rilevante della violazione in quanto inerente disposizioni relative all’ esercizio dei diritti degli interessati; dall’ altro lato, ha considerato però che la violazione ha avuto carattere colposo (in quanto determinata da un errore di un dipendente) e il grado di responsabilità del titolare è stato minino (in quanto non appena egli ha avuto notizia dell’evento ha provveduto a fornire alla stessa le informazioni richieste), nonché la collaborazione da parte del titolare con il Garante e l’assenza di precedenti violazioni dello stesso tipo. In considerazione di tutto quanto sopra ed al fine di applicare una sanzione che sia effettiva, proporzionale e dissuasiva, il Garante per la protezione dei dati personali, tenendo altresì conto dei ricavi conseguiti da Poste Italiane e riferiti al bilancio di esercizio per l’anno 2021, ha ritenuto di poter quantificare la sanzione di carattere pecuniario nei confronti del titolare del trattamento nella misura di €. 10.000,00 (diecimila).
Ebook consigliato
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2021
Scrivi un commento
Accedi per poter inserire un commento