L’importanza di garantire il diritto di accesso ai dati: sanzionata Vodafone Romania

Al momento stai visualizzando L’importanza di garantire il diritto di accesso ai dati: sanzionata Vodafone Romania

L’importanza di garantire il diritto di accesso ai dati: il Garante rumeno ha sanzionato Vodafone Romania per non aver dato riscontro alla richiesta di accesso e cancellazione dati di un cliente.

La vicenda

Il Garante per la protezione dei dati personali rumeno ha sanzionato Vodafone Romania per un ammontare di 3000 euro. La sanzione origina dal fatto che l’azienda non ha dato riscontro ad una richiesta di esercizio del diritto di accesso ai dati.

Il cliente in questione ha presentato reclamo presso l’autorità garante, che ha quindi avviato debita istruttoria.

Vodafone Romania non è però riuscita a dimostrare, al contrario di quanto aveva affermato, di aver dato riscontro alla richiesta del cliente entro 30 giorni. Al contrario, si legge nel provvedimento del Garante Rumeno, l’azienda ha fornito riscontro alla richiesta di accesso e cancellazione solo dopo la comunicazione dell’avvio dell’istruttoria da parte dell’autorità.

La sanzione

Il Garante rumeno ha optato quindi per comminare la sanzione per violazione degli art. 12, 15 e 17 del GDPR.

L’art. 12 GDPR, in particolare, obbliga il titolare del trattamento a

  • adottare misure appropriate per fornire all’interessato le informazioni relative al trattamento dei dati;
  • agevolare l’esercizio dei diritti dell’interessato;
  • fornire all’interessato ” le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

Qui il comunicato stampa (tradotto in inglese) dell’Autorità Garante della Romania.

Il diritto di accesso ai dati: cosa prevede il GDPR

Il diritto di accesso dell’interessato ai propri dati è esplicitamente previsto dall’art. 15 GDPR. Il comma 1 recita esplicitamente:

“L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.

Non solo: più Garanti europei hanno ribadito che l’interessato non ha alcun obbligo di motivare la richiesta di accesso ai propri dati.

Il tema è così importante (e la normativa così spesso violata) da aver indotto anche l’European Data Protection Board ad adottare specifiche linee guida sul punto.

Per approfondire > Le Linee Guida sul diritto di accesso ai dati personali

Le sanzioni per mancato riscontro alle richieste di accesso

Le sanzioni per mancato riscontro al diritto di accesso ai dati da parte degli interessati sono piuttosto frequenti. In più ambiti. Ricordiamo infatti almeno un paio di sanzioni (tutte italiane) inflitte nell’ambito del rapporto tra azienda e dipendente.

In un primo caso, il Garante italiano ha sanzionato una cooperativa per non aver risposto in maniera completa ed esaustiva ad una richiesta di accesso dai dati trattati tramite GPS. In un secondo caso, invece il Garante ha sanzionato un’azienda per non aver fornito riscontro alla richiesta di accesso ai dati da parte di un dipendente che ne aveva fatto richiesta per esercitare il diritto alla difesa rispetto ad una contestazione disciplinare subita.

Diritto di accesso ai dati: quando l’azienda si può rifiutare

Ovviamente ci sono dei limiti all’esercizio del diritto di accesso ai dati. L’EDPB l’ha messo nero su bianco nelle proprie linee guida, declinando nel pratico i concetti. Il titolare del trattamento non ha l’obbligo di fornire riscontro, ad esempio, nei casi in cui non può accertare l’identità del richiedente (l’onere della prova spetta al richiedente stesso) o nei casi in cui non possa individuare con certezza i dati relativi al richiedente. In questo ultimo caso il titolare del trattamento ha comunque il dovere di comunicarlo al richiedente.


Non sei sicuro se la tua azienda sia conforme al GDPR? Non improvvisare