Il Garante sanziona una polisportiva per il mancato riscontro alla richiesta di un tesserato di avere accesso ai propri dati personali e all’informativa privacy.

Il tesserato di una polisportiva inviava un reclamo al Garante per la protezione dei dati personali in cui sosteneva di aver ricevuto una email dalla polisportiva cui era tesserato dove erano indicati in chiaro tutti i destinatari e per tale ragione aveva formulato una richiesta di esercizio dei propri diritti di interessato ai sensi del Regolamento europeo per la protezione dei dati personali (GDPR) per poter accedere ai suoi dati personali trattati dalla polisportiva ed avere copia della relativa informativa privacy. Il reclamante proseguiva sostenendo di non aver mai ricevuto alcun riscontro alla predetta richiesta di esercizio dei propri diritti.

Il Garante provvedeva quindi ad inviare alla polisportiva, tramite PEC, due successive richieste di fornire le proprie osservazioni sul punto, senza però ricevere in entrambi i casi alcuna risposta. Pertanto, veniva delegata la Guardia di Finanza a notificare alla polisportiva la richiesta di informazioni.

La polisportiva sosteneva di non aver dato riscontro alle precedenti richieste di informazioni da parte dell’Autorità, in quanto vi era stato un errore nella digitazione dell’indirizzo PEC e quindi la polisportiva non aveva mai ricevuto le due PEC del Garante.

In secondo luogo, la reclamata sosteneva che l’esercizio dei diritti da parte del reclamante non era mai pervenuto alla direzione della polisportiva, in quanto – probabilmente – l’invio della email era stato effettuato all’indirizzo generico “info” e la email era finita nella casella dello “spam” e quindi non visionata.

Per quanto riguarda, invece, l’invio della email da parte della polisportiva al ricorrente, contenente l’indicazione in chiaro degli altri destinatari, era avvenuto in maniera accidentale a causa di un errore umano da parte di un operatore che prestava servizio presso la polisportiva.

In conclusione, la reclamata sosteneva di aver nominato un DPO e di aver stipulato un contratto con una società terza per introdurre una serie di procedure idonee a garantire il rispetto della normativa in materia di privacy.

La valutazione del Garante

Preliminarmente, il Garante ha preso in esame la possibile violazione posta in essere dalla polisportiva per il mancato riscontro alle due richieste di informazioni rivolte dal Garante tramite PEC.

Sul punto, a seguito delle difese formulate dalla polisportiva, il Garante ha effettuato delle verifiche da cui è emerso che effettivamente le richieste di informazioni inviate dal Garante non erano state correttamente notificate al destinatario a causa di un errore di digitazione dell’indirizzo PEC.

In considerazione di ciò, l’autorità ha disposto la archiviazione del relativo procedimento nei confronti del titolare del trattamento.

Per quanto riguarda, invece, il mancato riscontro alla richiesta di esercizio dei diritti di cui al GDPR esercitata dall’interessato, l’autorità ha accertato che, a fronte dell’istanza inviata dal reclamante, la polisportiva non ha fornito alcun riscontro nei termini di legge, né successivamente (in quanto anche durante tutto il procedimento la polisportiva ha dimostrato di aver consentito all’istante di accedere ai suoi dati personali detenuti dalla reclamata).

Sul punto, il Garante ha ricordato che il GDPR riconosce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati che lo riguardano e, di conseguenza, ottenere l’accesso a tali dati e alle informazioni elencate dallo stesso Regolamento europeo. Inoltre, il titolare del trattamento è tenuto a fornire all’interessato l’accesso ai propri dati e a tutte le informazioni richieste, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa.

Nel caso in cui, invece, il titolare necessiti di ulteriore tempo per fornire il riscontro all’interessato, in ragione della complessità e del numero delle richieste, deve comunque entro trenta giorni comunicargli che egli intende avvalersi della possibilità di prorogare la risposta di due mesi la risposta ed indicare i motivi della proroga.

Nel caso in cui, infine, il titolare del trattamento non ottemperi alla richiesta di esercizio dei diritti da parte dell’interessato, deve informarlo senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.

Nel caso di specie, è stato accertato dall’Autorità che la polisportiva non ha fornito alcun riscontro alla richiesta di esercizio dei propri diritti che era stata formulata dall’interessato e non lo ha neanche informato dei motivi per cui non ha ottemperato alla predetta richiesta.

La decisione del Garante

In considerazione di tutto quanto sopra, il Garante ha ritenuto che il mancato riscontro da parte della polisportiva alla richiesta formulata dal proprio tesserato di conoscere i suoi dati personali trattati dalla reclamata nonché di ricevere copia della informativa privacy da questa predisposta relativamente al predetto trattamento dei suoi dati, costituisce una violazione della disciplina prevista dal Regolamento europeo per la protezione dei dati personali.

Conseguentemente, il Garante ha ritenuto di poter applicare alla polisportiva una sanzione amministrativa pecuniaria.

Per quanto concerne la quantificazione della sanzione da applicare al titolare del trattamento, il Garante ha preso in considerazione, dal punto di vista delle aggravanti correlate alla natura, la gravità e la durata della violazione, il fatto che la violazione ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati e il fatto che la violazione fosse tuttora in corso (in quanto la polisportiva non aveva ancora permesso al proprio tesserato di accedere ai suoi dati personali oggetto di trattamento). Dal punto di vista delle attenuanti, l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento e le misure adottate dalla polisportiva per conformarsi alla disciplina in materia di protezione dei dati personali.

In conclusione, il Garante ha quindi quantificato la sanzione pecuniaria applicata alla polisportiva nell’importo di €. 3.000 (tremila).

Fonte: Diritto.it