Il mancato riscontro alla richiesta di cancellazione dei dati dell’interessato costituisce illecito anche se la richiesta è inviata a un indirizzo di una dipendente.
Leggi il provvedimento del Garante della Privacy n. 370 del 10-11-2022
1. I fatti
Una persona presentava un reclamo al Garante per la protezione dei dati personali, nel quale faceva presente che una società aveva compiuto un trattamento dei suoi dati personali illecito. In particolare, il reclamante sosteneva di aver esercitato il proprio diritto di cancellazione dei dati nei confronti della società mediante l’invio di due distinte comunicazioni e che quest’ultima aveva dato un riscontro meramente formale. Infatti, dopo la conferma da parte della società dell’avvenuta cancellazione dei dati del reclamante, quest’ultimo aveva continuato a ricevere dalla società dei messaggi SMS che riguardavano proposte lavorative.
Preso atto di quanto esposto nel reclamo, il Garante invitava la società a fornire le proprie osservazioni sui fatti alla stessa addebitati.
La società sosteneva che la stessa non aveva avuto modo di verificare l’effettivo invio delle richieste di cancellazione dei dati da parte del reclamante, in quanto quest’ultimo – secondo quanto dal medesimo sostenuto nel reclamo – le aveva inviate all’indirizzo di posta elettronica di una segretaria (che ormai era una ex dipendente) e che tale dominio di posta elettronica era stato cancellato/annullato con tutta la corrispondenza ivi contenuta.
Secondo la Società, invece, il reclamante avrebbe dovuto inviare le proprie istanze di cancellazione all’indirizzo ufficiale della società.
In secondo luogo, la stessa sosteneva che il reclamante non avrebbe dimostrato e documentato in maniera sufficiente l’invio delle istanze di cancellazione e soprattutto che egli avrebbe ricevuto sulla propria utenza cellulare dei messaggi contenenti proposte lavorative che erano stati inviati dalla società.
In terzo luogo, la società sosteneva che la violazione, qualora fosse stata accertata nel corso del procedimento, sarebbe stata determinata da una svista o un errore umano della ex dipendente e non sarebbe stata dolosamente determinata dalla società, la quale non aveva intenzione di trattare illecitamente i dati del reclamante.
Infine, la società dava conto di aver provveduto a cancellare i dati personali del reclamante dai propri archivi.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Il Garante ha ritenuto che dall’istruttoria svolta è emerso che la società, per il tramite della propria dipendente avesse dato un riscontro meramente formale alle richieste di cancellazione dei dati, che il reclamante aveva inviato mediante le due raccomandate. Ciò in quanto, nonostante la dipendente avesse dichiarato di aver rimosso i dati dalla mailing list, la società aveva comunque continuato a conservare e trattare i dati senza un’idonea base giuridica.
Inoltre, il Garante ha ritenuto provato, in quanto documentato nel procedimento, che le due istanze di cancellazione dei dati personali erano state inviate all’indirizzo email della segretaria e che le stesse erano state ricevute, come risultava dalla email di conferma dell’avvenuta cancellazione.
A tal proposito, secondo il Garante, non rileva il fatto che le due istanze non fossero state indirizzate alla casella di posta elettronica ufficiale della società, ma a quella di una sua dipendente. Infatti, anche l’indirizzo di posta elettronica della dipendente recava il dominio della email ufficiale della società e ciò aveva generato nel reclamante la legittima aspettativa che il riscontro che aveva ricevuto fosse effettivo e provenisse dalla società.
Ciò detto, il Garante ha evidenziato come, ai sensi del Regolamento europeo per la protezione dei dati personali (GDPR), il titolare agevola l’esercizio dei diritti dell’interessato, fra i quali vi è quello di cancellazione: in base al quale, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo (di converso, il titolare ha l’obbligo di cancellarli senza ingiustificato ritardo).
In considerazione di quanto sopra, la società reclamata avrebbe dovuto fornire un riscontro effettivo al reclamante rispetto alle sue istanze di cancellazione e non avrebbe dovuto dare un riscontro meramente formale.
Infine, la società non ha neanche dato prova in ordine al fatto che i dati del reclamante sarebbero stati conservati per mero errore umano. Da ciò deriva altresì l’illeicità del trattamento dati posto in essere successivamente alle due istanze di cancellazione, in quanto, poiché era venuto meno il consenso dell’interessato, la società ha continuato a trattare i suoi dati senza una idonea base giuridica.
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto illecito il trattamento dati compiuto dalla società, sia in considerazione del riscontro meramente formale da parte delle società alle due istanze di cancellazione dei dati personali formulate dal reclamante, sia in considerazione del fatto che dopo le due suddette richieste la società ha comunque continuato a trattare ulteriormente detti dati personali.
In considerazione di ciò, il Garante ha ritenuto opportuno infliggere al titolare del trattamento una sanzione amministrativa pecuniaria per le due violazioni sopra riscontrate.
Per quanto concerne la quantificazione dell’importo, il Garante ha valutato, da un lato, che la natura della violazione è stata rilevante (in quanto ha avuto ad oggetto delle disposizioni relative ai diritti degli interessati) e la circostanza che detta violazione si è protratta per un lungo periodo; dall’altro lato, ha valutato l’assenza di precedenti violazioni commesse e la cooperazione nel corso del procedimento da parte del titolare del trattamento. Conseguentemente, in applicazione dei principi di effettività, proporzionalità e dissuasività che deve avere la sanzione, ha tenuto conto delle condizioni economiche della società (determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021) ed ha comminato al titolare del trattamento una sanzione amministrativa pecuniaria di €.10.000 (diecimila).
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento