di Marzia Marconcini – avvocato, consulente privacy
Con il provvedimento n. 226 del 16 giugno 2022 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9795404), il Garante Privacy nell’esaminare il reclamo di un cliente avverso Deutsche Bank s.p.a. (di seguito anche soltanto la “Banca”), ribadisce due principi fondamentali relativi alla tutela dei diritti degli interessati:
- il titolare del trattamento deve fornire all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 [GDPR] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Pur nell’ipotesi in cui intenda usufruire della proroga di ulteriori 2 mesi, il termine di cui al periodo precedente deve comunque essere rispettato;
- anche nel caso in cui l’informativa ex art. 13 GDPR sia già stata regolarmente consegnata all’interessato, qualora questi, nell’esercizio del diritto di accesso di cui all’art. 15 GDPR, ne richieda nuovamente la consegna, ha diritto di ottenerne una copia.
Le possibili modalità che messe a disposizione dal legislatore europeo al titolare del trattamento per fornire all’interessato le informazioni richieste sono, anche cumulativamente: per iscritto, con mezzi elettronici, o, se richiesto dall’interessato, anche oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato qualsiasi altro mezzo idoneo.
In particolare, l’art. 12 GDPR prevede alcuni obblighi in capo al titolare del trattamento, quando questi è chiamato a rispondere alle richieste avanzate dagli interessati nell’esercizio dei diritti di cui agli artt. 15/22 GDPR: il titolare del trattamento deve fornire all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 GDPR senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa.
Tuttavia, prosegue il legislatore europeo, tenuto conto delle complessità e del numero delle richieste, il titolare del trattamento può ottenere la proroga di ulteriori due mesi del termine iniziale di un mese, purché rispetti, in ogni caso, il termine iniziale di un mese, entro il quale deve informare l’interessato della proroga e dei motivi del ritardo. Se non ottempera alla richiesta dell’interessato, il titolare del trattamento deve informare l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre, alternativamente, o reclamo all’autorità di controllo, ovvero ricorso giurisdizionale.
Le informazioni devono essere fornite dal titolare del trattamento in maniera completa, concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, adeguato alla tipologia di destinatario (particolare riguardo è previsto in caso in cui l’interessato sia un minore) e a titolo gratuito. La possibilità di richiedere un contributo spese, o, in alternativa, di rifiutare le richieste presentate dall’interessato è prevista soltanto nei casi in cui queste siano manifestamente infondate, eccessive o insistentemente reiterate, con l’onere della prova della eccessività o della manifesta infondatezza gravante sul titolare del trattamento.
Quanto al diritto di accesso, l’art. 15 e il Considerando 63 GDPR affermano una serie di principi generali.
Anzitutto, l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano. In particolare, il Considerando 63 specifica che l’interessato deve poter esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità.
Nel caso in cui l’interessato ottenga la conferma dell’esistenza di un trattamento in corso avente ad oggetto i suoi dati personali, ha diritto di ottenere l’accesso ai suoi dati e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali (qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, in più, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’art. 46 GDPR relative al trasferimento):
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, par. 1 e 4 GDPR, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
E ci sia consentito di notare che gli elementi specificati nell’elenco ora riportato coincidono con il contenuto minimo necessario dell’informativa di cui all’art. 13 GDPR, che era tra le richieste presenti nell’istanza indirizzata dal cliente alla Banca nel caso da cui ha preso spunto questa breve disamina.
Come già affermato nel più generale art. 12 GDPR, anche in questa sede il legislatore europeo ribadisce che in caso di esercizio del diritto di accesso da parte dell’interessato, il titolare del trattamento è obbligato a fornire gratuitamente una copia dei dati personali oggetto di trattamento; soltanto in caso di successive ulteriori richieste di copie, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. In più, si precisa che, nel caso in l’interessato abbia presentato la richiesta mediante mezzi elettronici, salvo sua diversa indicazione, il titolare del trattamento deve fornire le informazioni in un formato elettronico di uso comune.
Al Considerando 63 e al par. 4 del medesimo art. 15 è individuato l’unico limite consentito all’esercizio del diritto di accesso, laddove si precisa che il diritto dell’interessato di ottenere una copia dei dati personali oggetto del trattamento non deve ledere i diritti e le libertà altrui. Al riguardo, il Considerando 63 specifica che tra i diritti e le libertà altrui che non devono essere lesi nell’esercizio del diritto di accesso sono compresi il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non devono condurre a un diniego a fornire all’interessato tutte le informazioni.
A chiusura della normativa regolante il diritto di accesso e, più in generale, il diritto dell’interessato ad ottenere contezza dell’esistenza di un trattamento in atto relativo a suoi dati personali e tutte le informazioni al riguardo, il Considerando 64 ammonisce che il titolare del trattamento non deve conservare dati personali al solo scopo di poter rispondere a potenziali richieste, perché in tal caso prevale il principio della minimizzazione dei dati di cui all’art. 5 par. 1 lett. b) GDPR.
Alla luce di questa sintetica esposizione della normativa di riferimento, è interessante analizzare l’applicazione che ne è stata data dal Garante.
Il fatto e le argomentazioni delle parti in sintesi.
Il cliente aveva proposto reclamo al Garante lamentando il comportamento illecito della Banca consistente nella segnalazione del suo nominativo in CRIF S.p.A., in assenza della comunicazione di preavviso di cui all’art. 4, comma 7, del “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, nonché il mancato riscontro dell’istanza con cui aveva esercitato il diritto di accesso agli atti di cui all’art. 15 GDPR e aveva richiesto di prendere visione dell’informativa ex art. 13 GDPR.
La Banca, invitata dall’Autorità a presentare osservazioni, sul primo punto rispondeva affermando di aver inviato tempestivamente a mezzo raccomandata a/r il preavviso della segnalazione in CRIF, che sarebbe tornata con causale “Indirizzo inesistente”, nonostante fosse stato riscontrato identico a quello da cui il cliente aveva già inviato altre comunicazioni. Il Garante accoglieva le argomentazioni prodotte e decideva, quindi, di procedere esclusivamente sul secondo punto.
Le motivazioni con le quali la Banca, nelle medesime osservazioni, tentava di giustificare il ritardo maturato prima di dare riscontro all’istanza, sono schematizzate dall’Autorità in quattro punti:
1) anche se con ritardo rispetto al menzionato termine di un mese, tutte le pretese avanzate dal cliente erano già state soddisfatte al momento della presentazione degli scritti difensivi;
2) il ritardo nel fornire riscontro all’istanza del reclamante è stato causato da una serie di circostanze “non riconducibili alla volontà dei dipendenti o della banca” che, ad ogni modo, “riteniamo non abbiano causato al cliente alcun pregiudizio”;
3) il ritardo era da imputarsi, almeno parzialmente, al fatto del cliente, che, per il tramite del suo legale, inizialmente aveva inviato l’istanza all’indirizzo di posta elettronica certificato “sbagliato”;
4) l’istanza di accesso e la richiesta dell’informativa ex art. 13 GDPR erano state formulate in un unico documento contenente anche le contestazioni circa asserite irregolarità nei comportamenti tenuti dalla Banca relativamente alla avvenuta segnalazione in CRIF.
Le conclusioni del Garante Privacy.
Nel dichiarare fondato il reclamo presentato dal cliente, il Garante, in primo luogo, rileva, quindi, che la Banca, con riferimento all’istanza di esercizio dei diritti ex art. 15 GDPR “non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dal reclamante, entro il termine previsto dall’art. 12, par. 3, del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”), né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell’inottemperanza nonché della possibilità di proporre un reclamo all’Autorità (art. 12, par. 4 del Regolamento)”.
Con riguardo, in particolare, alla giustificazione della Banca per la quale l’informativa era già stata correttamente consegnata al cliente, il Garante afferma l’insostenibilità di tale argomentazione, dal momento che “l’art. 15 del Regolamento riconosce, preliminarmente, all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e di conseguenza, e in caso affermativo, il diritto “di ottenere l’accesso ai dati” stessi e alle ulteriori informazioni. Ciò anche al fine di verificare la correttezza e la completezza dei dati oggetto di trattamento”.
Alla luce di tali considerazioni, esercitando il potere attribuitogli dal legislatore italiano agli artt. 58 c. 2 lett. i) a 166 Cod. Privacy, dichiara doversi applicare una sanzione amministrativa pecuniaria ai sensi dell’art. 83 par. 5 GDPR (fino a 20 milioni di euro o al 4% del fatturato totale mondiale dell’esercizio precedente, se superiore), che, tenendo conto delle disposizioni di cui all’art. 83 cc. 1 e 2 GDPR che impongono che la sanzione per ogni singolo caso sia effettiva, proporzionata e dissuasiva, fissa nell’importo di 20.000 Euro, disponendo, altresì, la sanzione accessoria della pubblicazione del provvedimento sul proprio sito web istituzionale.
claudio