Il Regolamento (UE) relativo alla protezione dei dati personali delle persone fisiche al capo III disciplina i “diritti dell’interessato” (artt. 12-23).
Questo diritto soggettivo si affianca ai numerosi diritti di “accesso” del nostro ordinamento (accesso 241/1990; accesso civico semplice e generalizzato dell’art. 5 del d.lsg. 33/2013: acceso del consigliere, accesso in materia di appalti, accesso in materia ambientale, etc.) e consiste, come previsto dall’art. 15, paragrafo 1 del GDPR, nel diritto in capo al soggetto interessato “di ottenere dal titolare del trattamento la conferma che sia in corso o meno un trattamento dei dati personali che lo riguardano”.
Il GDPR prevede, in particolare, che l’interessato abbia il diritto di conoscere:
-le finalità del trattamento;
-le categorie dei dati personali di cui il titolare è in possesso;
-i destinatari cui i dati sono stati o saranno comunicati, specificando in particolare se si tratta di soggetti che si trovano in paesi terzi rispetto all’Unione Europea o se si tratta di organizzazioni internazionali;
-quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
-l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
-il diritto di proporre reclamo a un’autorità di controllo;
-qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
-l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
La modalità di esercizio dei diritti
L’art. 12, par. 3, precisa la modalità con cui, in concreto il diritto può essere esercitato: “Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.”
Le ultime sanzioni emanate dal Garante in materia di diritto di accesso
Quando si pensa alle sanzioni irrigate dal Garante in occasione del trattamento la maggior parte delle persone tende a pensare che queste siano esclusivamente conseguenza di una violazione (c.d. “data breach”); diversamente, anche il mancato rispetto dei diritti dell’interessato è stato multato dalle autorità di controllo nel 9% dei casi, ossia quasi in un caso ogni dieci.
Ammontano a oltre 307 milioni di euro le sanzioni che sono state inflitte lo scorso anno in 341 procedimenti condotti dalle autorità di controllo per la protezione dei dati personali europee. A riferirlo, è il rapporto di uno studio dell’Osservatorio di Federprivacy in cui sono state analizzate le fonti istituzionali dello Spazio Economico Europeo (SEE).
Partendo da questo dato generale di contesto, si passa ad esaminare un caso specifico in cui il Garante ha sanzionato un titolare del trattamento per violazioni accadute in occasione di una istanza di accesso agli atti ai sensi del GDPR.
Il Garante Privacy, con un’ordinanza ingiunzione dell’11 novembre 2021, ha inflitto una sanzione pari a 150.000 mila euro a Tim S.p.A per aver negato a un abbonato l’accesso ai propri tabulati telefonici necessario per potersi difendere in sede penale.
Con l’accesso ai tabulati, l’abbonato, intestatario di due utenze di cui una in uso ad un’altra persona, intendeva raccogliere informazioni da produrre in un processo penale a sostegno della propria difesa, volta a dimostrare l’estraneità ai fatti che gli venivano contestati. Non avendo ricevuto riscontro alle sue reiterate richieste da parte della Società, si era rivolto al Garante per poter ricevere i tabulati in tempo utile per l’udienza del processo penale.
Il Garante ha ritenuto che a fronte delle richieste di tabulati presentate dal difensore del segnalante, al pari di quella originariamente presentata da quest’ultimo, Tim avrebbe dovuto garantire l’accesso “senza ingiustificato ritardo” con riguardo ai tabulati in uscita e, solo con riguardo alle chiamate in entrata, limitarsi a verificare il collegamento con un procedimento penale a carico dell’istante, senza alcun pregiudizio per l’interessato nelle more di tale verifica, non potendo sindacare la strategia del difensore.
Per questo motivo, il Garante ha ravvisato la violazione del fondamentale diritto d’accesso di cui agli artt. 15 del Regolamento e 132 del Codice della Privacy (Dlgs. 196/2003).
Nel determinare l’ammontare della sanzione e la pubblicazione del provvedimento l’Autorità ha tenuto in particolare conto la condotta gravemente negligente della Società per aver trascurato il riscontro a ripetute istanze chiare e motivate e per aver ostacolato l’agevole esercizio del diritto di accesso da parte dell’interessato e di conseguenza il pieno esercizio del suo diritto di difesa, oltre che di alcune recenti analoghe violazioni da parte della medesima Società.
Più recentemente, il Garante ha sanzionato con l’ordinanza ingiunzione n. 6 del 13 gennaio 2022, una società privata che si occupa di erogare la sorveglianza sanitaria, per aver dato un riscontro inidoneo all’interessato.
In particolare, il Sig. XX aveva presentato un’istanza volta ad ottenere “copia dei dati personali conservati nei propri archivi” e aveva ottenuto un riscontro inidoneo, “su un argomento che nulla atteneva alla richiesta”.
Pertanto, il reclamante provvedeva a presentare una nuova istanza di esercizio dei diritti, ai sensi dell’art. 15 del Regolamento, in data 17/12/2019, alla quale tuttavia non perveniva alcun riscontro.
Nel caso di specie, il riscontro fornito dalla Società in data 16/12/2019, nel quale sono state indicate genericamente le modalità con cui l’istante avrebbe potuto ottenere la copia della cartella sanitaria previo versamento dei costi di riproduzione, deve essere ritenuto non idoneo, alla luce delle citate disposizioni di cui agli artt. 12, par. 5 e 15 del Regolamento, nonché di chiarimenti resi nel Cons. 63.
Infatti, la richiesta di accesso ai dati e alle informazioni personali contenute nella cartella sanitaria non deve essere interpretata come una richiesta di accesso agli “atti e/o documenti”, acquisibili sulla base di altre discipline ordinamentali, e che sottende al versamento di un contributo spese per i costi amministrativi.
Infine, la Società non forniva alcun riscontro neanche alla seconda istanza presentata dal reclamante, ritenendo che i chiarimenti forniti con la citata e-mail del 16/12/2019 fossero adeguati e pertinenti rispetto alla richiesta avanzata.
Per questo motivo, il Garante ordinava di pagare alla Società la somma di € 4.000,00 a titolo di sanzione amministrativa pecuniaria.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.