Esercizio dei diritti degli interessati: sanzioni 2022, le indicazioni del Garante Privacy e una checklist per verificare la propria accountability

Dall’inizio dell’anno, si contano decine di ordinanze di ingiunzione che richiamano una non conformità agli articoli 12, 15 e seguenti del GDPR, facenti parte del Capo III del Regolamento, “Diritti dell'interessato”. 

Fra queste se ne citano alcune, in ordine cronologico:

• Il 10 febbraio 2022 Costampress S.p.A. è stata sanzionata per 10.000 euro per aver lasciato attivo l'account di posta elettronica di un dipendente anche dopo la cessazione del suo rapporto di lavoro, e per aver omesso di fornire informazioni sufficienti dinanzi alla richiesta dell’interessato;
• Il 10 marzo 2022 l’Azienda sanitaria provinciale di Caltanissetta è stata sanzionata per 6.000 euro per non aver dato seguito alla richiesta di accesso di un interessato; 
• Il 7 aprile 2022 Palumbo Superyacht Ancona s.r.l. è stata sanzionata per 50.000 euro. Fra le altre cose, la società non aveva dato seguito alla richiesta di un dipendente;
• Il 7 aprile 2022 E-Mac Professional s.r.l. è stata sanzionata per 10.000 euro per non aver fornito riscontro ad una richiesta relativa all’esercizio dei diritti di un interessato;
• Il 28 aprile 2022 il Sole 24 Ore S.p.a. è stato sanzionato per 40.000 euro per non aver consentito l’esercizio del diritto di accesso ad una coppia di interessati.

Più di recente, nel mese di giugno 2022, il Garante Privacy, avviando la fase istruttoria sulla base di reclami di soggetti interessati, ha sanzionato due istituti bancari, Unicredit e Deutsche Bank, rispettivamente per 70.000 e 20.000 euro, per violazione delle norme del GDPR in materia di diritti. Da questi provvedimenti si possono trarre alcune considerazioni importanti sulle corrette modalità di gestione delle istanze privacy.  

Attenzione a condizionare i diritti privacy 

Nel primo caso (Unicredit), il reclamante lamentava di aver presentato un’istanza di accesso ai propri dati personali ricevendo un riscontro “meramente interlocutorio”, ovvero “abbiamo preso in carico la richiesta […"> a cui daremo riscontro nei tempi previsti dall’art. 12 del Regolamento”. Mediante tale riscontro Unicredit invitava il richiedente compilare e sottoscrivere un modulo predefinito “per dare corso alla richiesta di accesso”. La banca, infatti, aveva predisposto delle modalità di riscontro differenziate per tipologia di interessati. I dipendenti in servizio che volevano esercitare il diritto di accesso, ad esempio, dovevano accedere al portale HR allegando un modulo scaricabile da una specifica sezione della intranet aziendale. Secondo la società, tale modulo, predefinito a campi multipli, perseguiva lo scopo di “agevolare il richiedente e rendere più facilmente intellegibile l’oggetto della richiesta, riducendo il rischio di dover chiedere chiarimenti o di fornire risposte non adeguate”.

Secondo il Garante Privacy, invece, seppure la predisposizione di un modulo possa effettivamente costituire una modalità organizzativa volta ad agevolare gli interessati nella presentazione delle istanze, non è conforme condizionare l’esercizio del diritto al previo invio del predetto modulo compilato, senza prendere in considerazione nel merito le istanze presentate in forma libera. Peraltro, l’istanza presentata nel caso in esame, indicava già chiaramente, ed in modo dettagliato, il novero dei dati personali in relazione ai quali si esercitava il diritto. Il modulo messo a disposizione della società, all'opposto, nella sezione relativa al diritto di accesso, non riportava l’elenco completo e dettagliato delle informazioni indicate nell’art. 15 del GDPR (“Diritto di accesso dell'interessato”) rischiando quindi di “indurre in errore gli interessati circa l’effettivo contenuto del diritto azionabile e, in ogni caso, fornendone una rappresentazione parziale”.

Ciò premesso, le modalità adottate da Unicredit per accogliere le istanze privacy hanno aggravato, anziché facilitare, l’esercizio dei diritti degli interessati. Per tale ragione la società ha violato i principi di trasparenza e correttezza e, in particolare, l’obbligo di fornire un riscontro intelligibile e facilmente accessibile.

Diritto di accesso e diritto di informativa

Nel secondo caso (Deutsche Bank), il reclamante segnalava la violazione di diverse norme del Regolamento e, contestualmente, lamentava il mancato riscontro all’istanza di accesso e alla richiesta di poter disporre di copia dell’informativa privacy. La Banca, infatti, forniva al cliente (oltre i termini previsti dal GDPR) la scheda contenente il riepilogo dei dati personali trattati e conservati, insieme a copia dell’informativa di cui all’art. 13 del GDPR specificando che questa “era già stata consegnata al cliente contestualmente alla sottoscrizione del summenzionato contratto di finanziamento”. Nelle memorie difensive, la società giustificava il ritardo (rispetto ai termini previsti dal GDPR) in considerazione del fatto che l’istanza era pervenuta nell’ambito di una più ampia e articolata richiesta, che non avrebbe consentito di fornire un tempestivo riscontro.

Secondo il Garante Privacy, invece, tale argomentazione non può considerarsi un valido motivo di esclusione della responsabilità, anche in considerazione del fatto che la banca avrebbe dovuto quantomeno informare l’istante, entro i termini previsti, dei motivi dell’inottemperanza, nonché della possibilità di proporre un reclamo all’Autorità (come previsto dall’art. 12 par. 4 del Regolamento). 

Al tempo stesso, anche il riscontro della società è da considerarsi inadeguato. Ancora una volta l’Autorità Garante ha dovuto chiarire che il diritto di accesso e il c.d. diritto di informativa, seppur correlati, sono diritti differenti, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili. Per soddisfare una richiesta di accesso non basta, semplicemente, richiamare l’informativa ed integrare informazioni generali sul trattamento: l’EDBP (Comitato Europeo per la protezione dei Dati Personali) nelle sue opinioni chiarisce che “nel contesto della comunicazione delle informazioni di cui all'articolo 15 GDPR [richiesta di accesso, n.d.r.">, tutte le informazioni sul trattamento di cui dispone il titolare del trattamento devono pertanto essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell'interessato che presenta la richiesta”. Ancora, “il rinvio all’informativa privacy generale (privacy policy) non sarebbe un mezzo sufficiente, […"> a meno che le informazioni “su misura” non coincidano con le informazioni “generali”.

Tutti questi elementi, di fronte a istanze privacy, vanno presi in considerazione, vista anche la criticità intrinseca ed il rischio di incorrere in reclami e potenziali conseguenti sanzioni. In caso di mancata, incompleta o inadeguata gestione delle richieste degli interessati, inoltre, l’organizzazione rischia di compromettere la propria immagine sul mercato, considerando che la privacy è vista, oggi più che mai, come un valore aggiunto per le imprese e una sicurezza per i consumatori.

A che punto si trova la tua organizzazione?

L’Autorità, nell’esaminare i reclami, ha rammentato ai Titolari del trattamento l’obbligo di agevolare l’esercizio dei diritti, fornendo un chiaro ed adeguato riscontro agli stessi, nel rispetto dei termini individuati dall’ordinamento. L’art. 12 del GDPR costituisce il riferimento principale per la gestione delle istanze privacy. Tutte le organizzazioni dovrebbero verificare se rispettano i punti presenti nella checklist, per evitare di incorrere in reclami e potenziali conseguenti sanzioni.

Gestire le istanze tutela gli interessati e l’impresa stessa

Il GPDR prevede che i titolari del trattamento adottino misure tecniche e organizzative adeguate a favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati. Queste misure devono essere adottate preventivamente alla ricezione di una istanza, in modo da consentire all’organizzazione di rispettare i termini previsti e di garantire la conformità al Regolamento. La redazione di una procedura 8policy) in materia di diritti è essenziale in quanto definisce l’intero quadro di gestione di un’istanza, dalla ricezione della stessa al bilanciamento del diritto esercitato con gli interessi in gioco, il tutto considerando le principali fonti normative applicabili e le più recenti linee guida pubblicate dalle principali Autorità europee in materia di protezione dei dati personali.

Verifica l’esito della checklist

Seguendo il GDPR e le linee guida dei Garanti Privacy, l’organizzazione può raggiungere la conformità rispetto ad un tema delicato come l’esercizio dei diritti. Conformità che, in questo caso, non significa solo evitare sanzioni e garantire il rispetto del Regolamento europeo privacy, ma anche tutelare i diritti e le libertà degli interessati dando un valore aggiunto a clienti e consumatori. 

Tutte le spunte della checklist sono quindi essenziali per la conformità: se la tua organizzazione rispetta i punti sopra riportati diminuirà il rischio di incorrere in reclami e potenziali conseguenti sanzioni. 

Labor Project è a tua disposizione per creare un piano di adeguamento mirato. Contattaci per avere un preventivo gratuito.