Riscontro all’istanza di cancellazione dei dati: le indicazioni del Garante privacy per le imprese

Recentemente il Garante privacy con il provvedimento n. 305^[1] del 15 settembre 2022 ha sanzionato un istituto bancario (di seguito “Banca” o “Società”) per aver riscontrato in modo tardivo l’istanza di cancellazione dei dati personali di un ex dipendente. In particolare, la Banca aveva cancellato i dati soltanto quattro mesi (anziché entro un mese) dopo la presentazione della richiesta a causa di un disguido tecnico.

Questa decisione rappresenta un’occasione importante per riepilogare gli accorgimenti pratici che le aziende devono considerare internamente nel contesto della gestione delle richieste di esercizio dei diritti GDPR.

In particolare:

1. il titolare del trattamento deve facilitare l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22 del Regolamento^[2] e fornire al medesimo le informazioni relative all’azione intrapresa senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa (art. 12, par. 2, del GDPR);
2. questo termine può essere prorogato di due mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste; nella suddetta fattispecie, il titolare deve comunque informare l’interessato della proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta (art. 12, par 3, cit.);
3. in caso di diniego, il titolare del trattamento è tenuto a riscontrare l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, comunicando i motivi dell’inottemperanza e la possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale (art. 12, par. 4, cit.);
4. le motivazioni dettate da disguidi nei flussi interni di comunicazione tra le varie funzioni aziendali coinvolte nella gestione delle richieste oppure connesse a problematiche di tipo tecnico non sono idonee a giustificare agli occhi dell’Authority riscontri tardivi alle richieste dell’interessato.

Tutela dei dati personali e altri diritti: ecco perché servono contemperamento ed equilibrio

Cancellazione dei dati personali: i rilievi del Garante

La fattispecie considerata nella decisione in commento dal Garante traeva origine dalla presentazione in data 22 agosto 2019^[3] di un reclamo all’Autorità da parte dell’interessato (nel caso di specie, si trattava di un ex dipendente) il quale lamentava presunte violazioni del Regolamento da parte della Banca, con riferimento al tardivo e inidoneo riscontro alle istanze di cancellazione ex art. 17 del GDPR del suo profilo professionale e dei propri dati dal database relativo alle candidature.

A seguito della ricezione del reclamo, il Garante invitava la Società a fornire chiarimenti in merito ai fatti segnalati e, all’esito della documentazione acquisita nel corso dell’istruttoria, rilevava che l’istituto di credito, in qualità di titolare, aveva fornito un riscontro meramente formale all’istanza di cancellazione in parola presentata il 12 gennaio 2019^[4].

Nel corso degli accertamenti emergeva, infatti, che, la Banca – dopo aver richiesto all’interessato in data 15 gennaio 2019 di inviare la richiesta accompagnata di documenti di identità e aver ricevuto il giorno successivo la documentazione richiesta – non dava effettivo riscontro all’istanza a causa di un disguido tecnico.

Tale condotta -evidenziava l’Autorità- non era conforme a quanto stabilito dall’art. 12 con riferimento all’art. 17 del Regolamento, in quanto la Banca non riscontrava l’istanza “per un non meglio definito “disguido tecnico” causato dalla “mancata presa in carico dell’adempimento”, costringendo l’interessato, attraverso il suo legale, a sollecitare l’esercizio del diritto alla cancellazione con una nuova istanza” (pag. 6, cit.).

Nel caso di specie, il reclamante, non avendo ricevuto alcun riscontro alla propria istanza, attraverso il proprio legale, in data 18 aprile 2019 chiedeva di procedere alla immediata cancellazione dei propri dati personali presenti nei database della Banca e il 21 maggio 2019, stante la mancanza di alcun riscontro da parte della Società, presentava sollecito alle richieste già formulate in precedenza.

Solo quattro mesi dopo lo scadere del termine di legge (in data 17 giugno 2019), la Società dava un riscontro effettivo alle istanze di cancellazione presentate dall’interessato^[5]. In particolare, la Banca precisava che “la migrazione del sistema di posta elettronica della Società […] intervenuta nella seconda metà del mese di maggio 2019 generando alcuni disguidi nei flussi di comunicazione tra le varie Funzioni aziendali” aveva contribuito a generare il ritardo nel riscontro”.

Al riguardo, il Garante segnalava che tale comportamento risultava in contrasto con l’obbligo di fornire un riscontro “senza ingiustificato ritardo” all’interessato e comunque entro un mese dal ricevimento della richiesta.

Occorre, infatti, ricordare che, se da un lato, l’art. 12, par. 4, del Regolamento consente al titolare del trattamento – tenuto conto della complessità e del numero delle richieste – di usufruire della proroga del termine di due mesi, dall’altro lato, per espressa disposizione normativa, egli deve comunque informare l’interessato della proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.

“Se, infatti” – secondo il parere dell’Autorità – “l’effettiva rimozione dei dati forniti per la candidatura nella sezione “Lavora con noi” del sito della Società è stata posta in essere il 6 maggio, in parte, e poi definitivamente il 29 maggio 2019, la comunicazione all’interessato delle azioni intraprese per soddisfare il diritto esercitato è stata effettuata solo il 17 giugno 2019” (pag. 6, cit.), configurando quindi la violazione dell’art. 12 in relazione all’art. 17 del Regolamento.

Da ultimo, per quanto riguardava, invece, i profili concernenti la mancata cancellazione dei dati riferiti all’interessato (diversi da quelli comunicati ai fini della selezione per un posto di lavoro) relativi a precedenti rapporti di lavoro intercorrenti tra il reclamante e la Società stessa e a rapporti bancari nei termini e per le finalità indicati nel corso dell’istruttoria, il Garante riteneva condivisibile la tesi rappresentata dalla Banca circa la liceità dell’ulteriore conservazione degli stessi.

Sul punto, tuttavia, l’Autorità constatava che in relazione alla necessità di conservazione di determinati dati, la Banca, nel dichiarare la propria (lecita) impossibilità di cancellazione, tuttavia, non indicava al reclamante la possibilità di proporre reclamo all’autorità di controllo o ricorso giurisdizionale in violazione di quanto previsto dall’art. 12 par. 4 del GDPR^[6].

Atteso quanto sopra, tenuto conto che la Società collaborava pienamente con l’Autorità e della circostanza che la violazione accertata aveva riguardato il solo reclamante, costituendo un caso isolato, il Garante, pertanto, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, ordinava alla Banca il pagamento della somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell’art. 12 in relazione all’art. 17 cit..

Best practice per le imprese

Alla luce di quanto fin qui esposto, si rileva, pertanto, l’importanza e l’utilità delle indicazioni fornite dal Garante con il provvedimento n. 305 del 15 settembre 2022 ai titolari del trattamento in relazione alla necessità di agevolare l’esercizio dei diritti da parte degli interessati, adottando internamente ogni misura tecnica e organizzativa a ciò idonea.

Agli occhi dell’Authority, infatti, i riscontri tardivi e non effettivi da parte delle imprese alle richieste dell’interessato non possono essere “giustificati” da disguidi tecnici e problemi interni di coordinamento (nel caso di specie, erano stati causati dalle attività di migrazione dell’applicativo di posta elettronica previste per le strutture aziendali deputate a rispondere).

Interessanti sono anche le valutazioni formulate nel provvedimento sull’obbligo del titolare (qualora abbia la necessità di conservare determinati dati) di indicare all’interessato – nel contesto della dichiarazione della propria impossibilità di cancellazione – la possibilità di proporre reclamo all’autorità di controllo e ricorso giurisdizionale.

Occorre, pertanto, che, nella pratica, le aziende implementino le proprie misure di sicurezza sotto il profilo tecnico e organizzativo per identificare/registrare le richieste di esercizio dei diritti GDPR, valutare la pertinenza delle istanze nonché procedere concretamente (e non solo con la mera presa in carico) con il riscontro nei termini previsti dalla normativa.

NOTE

1. Ordinanza ingiunzione nei confronti di Bper Banca S.p.A. – 15 settembre 2022 (doc. web n. 9815947). ↑

2. “È opportuno prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici. Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell’interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste” (Considerando 59). ↑

3. Il reclamo è stato, poi regolarizzato, a seguito di inviti a regolarizzare, in parte l’8 novembre 2019 e, infine, il 27 maggio 2020. ↑

4. “La Società, nel fornire riscontro alla richiesta dell’Ufficio del 10 luglio 2020, con nota del 17 agosto2020 ha dichiarato che:

   a. “in data 12 gennaio 2019 il [reclamante] chiedeva (…) quale fosse la procedura per cancellare il suo profilo professionale e i suoi dati personali dal database relativo alle candidature […]. A tale mail è stato dato riscontro il giorno 15 gennaio 2019 da parte dell’istituto, chiedendo di inviare la richiesta accompagnata dai documenti di identità, così da riconoscere univocamente il richiedente. Il 16 gennaio 2019 l’istituto, al medesimo indirizzo mail, riceveva il documento d’identità e il codice fiscale del [reclamante]. A tale ultima comunicazione non è tuttavia seguita, a cura della funzione preposta (Servizio HR planning e development), alcuna effettiva azione, a seguito di un disguido interno” (v. nota cit., p. 1); (…)” (pag. 1-2, cit.). ↑

5. “In proposito la Società, durante l’istruttoria, ha precisato di avere riscontrato “formalmente […] in ritardo” l’istanza del 18 aprile 2019 reiterata il 21 maggio 2019, in particolare in data 17 giugno 2019, “a causa di contestuali e preminenti richieste dell’interessato” che “hanno creato infatti la necessità di coinvolgimento di diverse funzioni”, ma di avere adempiuto sostanzialmente nei fatti a quanto richiesto precedentemente al riscontro formale, in particolare cancellando i dati personali relativi alla candidatura del reclamante dal proprio database in data 6 maggio 2019 e cancellando user id e password relativi al predetto account il 29 maggio 2019” (pag. 6, cit.). ↑

6. “Tale aspetto denota la inidoneità del riscontro per quanto riguarda la persistente – seppur, come precisato, lecita -necessità di conservare determinati dati riferiti al reclamante” (pag. 7, cit.). ↑