Un interessato chiede informazioni sul trattamento dati e la loro cancellazione…
Il GDPR impone risposte chiare, precise ed esaustive, a pena di sanzioni anche abbastanza severe. È il caso, ad esempio, di una società il cui comportamento è stato portato all’attenzione del Garante da un interessato. Questi non era rimasto soddisfatto dalle risposte ottenute a fronte di richieste assolutamente legittime.

In particolare, un uomo si rivolgeva ad una società per chiedere chiarimenti e informazioni in ordine al trattamento dei suoi dati personali. Quindi ne aveva chiesto la cancellazione, oltre ad opporsi ad ulteriori forme di trattamento.

La mancata risposta porta al reclamo al Garante
Più in dettaglio l’utente, per partecipare ad un corso di formazione professionale, scopriva di dovere riempire alcuni moduli non intestati all’organizzatore, bensì ad una società diversa.

Chieste spiegazioni e cancellazione il risultato non era ritenuto soddisfacente dall’interessato, che decideva così di rivolgere un reclamo al Garante. Questo anche perché la società non assicurava di aver preso atto dell’opposizione ad ulteriori trattamenti. A fronte di due richieste del Garante, tuttavia, la società intimata non forniva risposte all’organismo di vigilanza. Non solo, neppure si costituiva nel procedimento instaurato per difendersi dalle contestazioni..

L’istruttoria del Garante
Il Garante ha tuttavia proceduto nella sua istruttoria. Nel suo provvedimento ha operato alcune precisazioni rilevando come la società incolpata, a fronte di una richiesta di informazioni sui trattamenti, di cancellazione dei dati e di registrazione della opposizione del reclamante a successivi trattamenti, si sia limitata a rappresentare che

“come da sua richiesta abbiamo provveduto ad eliminare dai nostri archivi e database ogni dato riferibile alla Sua persona, conservando soltanto l’indirizzo email, al fine di inviarLe la seguente comunicazione. Provvederemo alla rimozione dello stesso, immediatamente dopo l’invio”,senza fornire alcuna indicazione sui trattamenti svolti e senza confermare all’interessato l’avvenuta registrazione della propria volontà di non essere più contattato.

Inoltre, dalla documentazione allegata, emergeva chiaramente che la modulistica richiesta per partecipare al corso portava l’indicazione della società e non dell’organizzatore dello stesso. Non vi era alcuna specifica sul trattamento che sarebbe stato fatto dei dati e mancava anche una indicazione del rapporto intercorrente tra i due soggetti.

Il provvedimento del Garante
Lo stesso Garante ha quindi posto in evidenza come il soggetto si fosse di fatto intromesso nel rapporto contrattuale tra il reclamante e il proponente senza rappresentare alcun titolo né tantomeno specificare il proprio ruolo. Nel contesto, Il Garante ha ritenuto la mera comunicazione di cancellazione di dati dai propri archivi da parte di un’entità che non aveva alcun titolo a ottenerli e che non aveva specificato neppure le modalità di trattamento, del tutto insufficiente a soddisfare interessi e ragioni del reclamante.

Inoltre il Garante ha valutato come comportamento contrario agli obblighi imposti dal GDPR il mancato riscontro alle proprie richieste e ha tenuto conto, nel quantificare la sanzione, anche delle violazioni accertate di:

artt. 157 e 166 (omesso riscontro alle richieste di esibizione documenti da parte del Garante),
15 e 21 (omesso riscontro alle richieste di accesso e opposizione dell’interessato)
l’art. 13 per aver effettuato trattamenti senza il consenso dell’interessato.
Pertanto, oltre a una sanzione complessiva di € 40.000,00 è stato emesso un avvertimento di non svolgere ancora i trattamenti oggetto di contestazione e le ingiunzioni a dare seguito alle richieste del reclamante compreso il divieto di ulteriore trattamento.

Fonte: Accademia Italiana Privacy
Avv. Gianni Dell’Aiuto