Mancato riscontro alla richiesta di esercizio dei diritti dell’interessato: il Garante sanziona una banca

25 Agosto 2022
, ,

Nell’ambito di un procedimento istauratosi davanti all’Autorità garante per la protezione dei dati personali (il “Garante” o l’”Autorità”) a seguito di un reclamo presentato da un cliente di un noto istituto bancario (la “Banca”), il Garante ha irrogato una sanzione pari a Euro 20.000,00 nei confronti della Banca per la violazione degli articoli 12, paragrafo 3, e 15 del Regolamento UE 2016/679 (il “GDPR”).

Nel reclamo al Garante, il cliente della Banca lamentava, inter alia, anche il mancato riscontro all’istanza di esercizio dei diritti (e in particolare del diritto di accesso di cui all’articolo 15 del GDPR), formulata nei confronti della Banca in data 15 luglio 2020, con cui chiedeva altresì di prendere visione dell’informativa di cui all’articolo 13 del GDPR. Tuttavia, a fronte della suddetta istanza, regolarmente notificata tramite PEC, al cliente non perveniva alcun riscontro nei termini di cui all’articolo 12, paragrafo 3, del GDPR né lo stesso veniva informato, entro il medesimo termine, dei motivi dell’inottemperanza nonché della possibilità di proporre un reclamo all’Autorità.

La Banca aveva, infatti, fornito riscontro al cliente solo a seguito della presentazione del reclamo al Garante e nell’ambito dell’istruttoria, la stessa aveva assunto ad argomentazioni difensive il fatto che (i) “il ritardo nel fornire riscontro all’istanza del reclamante [fosse] stato causato da una serie di circostanze “non riconducibili alla volontà dei dipendenti o della banca” che, ad ogni modo, tali da ritenere che “non [avessero] causato al cliente alcun pregiudizio” e, inoltre, “l’istanza di esercizio dei diritti [fosse] stata presentata nell’ambito di una più ampia e articolata richiesta da parte del cliente che avrebbe impedito di fornire tempestivo riscontro”. Le argomentazioni della Banca non venivano, tuttavia, considerate dal Garante quali validi motivi di esclusione della responsabilità della Banca e in ragione di ciò il Garante riscontrava la violazione delle disposizioni del GDPR sopra richiamate.

Gestione delle richieste di esercizio di diritti degli interessati: informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato

Il GDPR attribuisce ai soggetti interessati alcuni diritti e, in particolare:

  • il diritto di accesso ai dati personali che li riguardano (art. 15 del GDPR);
  • il diritto di rettifica (art. 16 del GDPR);
  • il diritto di cancellazione (o diritto all’oblio, art. 17 del GDPR);
  • il diritto di limitazione di trattamento (art. 18 del GDPR);
  • il diritto alla portabilità dei dati (art. 20 del GDPR);
  • il diritto di opposizione (art. 21 del GDPR);
  • il diritto a non essere assoggettati a decisioni basate su un processo decisionale automatizzato (art. 22 del GDPR).

I diritti di cui sopra (i “Diritti) possono essere esercitati in qualsiasi momento da qualunque interessato: in ragione di ciò ai titolari e ai responsabili è richiesto di dotarsi di una struttura organizzativa in grado di far fronte alle richieste di esercizio dei Diritti dell’interessato nel rispetto dei termini e delle condizioni poste dalla normativa di riferimento.

In particolare, ai sensi dell’articolo 12 del GDPR, il titolare del trattamento deve:

  1. adottare misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 del GDPR e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 del GDPR relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro;
  2. agevolare l'esercizio dei Diritti dell'interessato ai sensi degli articoli da 15 a 22 del GDPR;
  3. fornire all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 del GDPR senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Il termine può essere prorogato di due mesi dalla ricezione della richiesta, se necessario, tenuto conto della complessità e del numero delle richieste, purché il titolare informi l'Interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta;
  4. qualora respinga la richiesta di esercizio dei Diritti avanzata dall’interessato, informare l’Interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta stessa, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e/o di proporre ricorso giurisdizionale,
  5. fornire le informazioni in modo gratuito. Se le richieste sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, è possibile:
  • addebitare all’Interessato un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richieste; oppure
  • rifiutare di soddisfare la richiesta avanzata dall’interessato, documentando adeguatamente il carattere manifestamente infondato o eccessivo della richiesta.

2024 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

cross