Non rispondere agli interessati costa 750mila di sanzione

Stefano Gazzella : 11 Febbraio 2023 08:29

Nel mese di dicembre l’autorità di controllo finlandese ha emesso un provvedimento sanzionatorio per 750 mila euro nei confronti di una società di recupero crediti in seguito a tre reclami da parte di altrettanti interessati in ragione del mancato riscontro a richieste di accesso e cancellazione dei dati.

Dall’istruttoria emergono alcune considerazioni piuttosto interessanti tanto per quanto riguarda i profili di trasparenza e correttezza quanto per l’effetto di una mancata risposta alle richieste di chiarimento da parte della DPA.

Le violazioni oggetto di contestazione hanno riguardato gli articoli 12 e 15 GDPR, in ragione di aver mancato di rispondere in modo tempestivo e completo agli interessati e, in una singola ipotesi di richiesta di cancellazione, per aver fornito informazioni insufficienti ed incomplete.

La condotta in violazione dell’obbligo di cooperazione con l’autorità di controllo, invece, non ha portato ad un’autonoma violazione dell’art. 31 GDPR ma è stata invece valutata come circostanza aggravante della sanzione.

La considerazione svolta è stata infatti che le azioni dell’organizzazione hanno avuto l’effetto di complicare e rallentare l’istruttoria, al punto da non consentire infine l’esecuzione dell’ordine di dare seguito alle richieste dei ricorrenti in quanto la società non disponeva più dei loro dati personali in seguito al venire meno della licenza di agire per il recupero crediti e il trasferimento dei dati ad una diversa società.

Dagli spunti istruttori, nonché dalla mancanza di rendicontazione di misure efficaci per garantire il rispetto dei diritti degli interessati, le singole violazioni hanno avuto valore come spunto indiziario per contestare una “pratica regolare” di non essere in grado di fornire un’adeguata risposta alle richieste pervenute. Aggravata ancor più dal non aver dimostrato di aver informato gli interessati in anticipo circa il cambio di titolare del trattamento, indirizzandoli per l’esercizio dei diritti nei confronti del nuovo soggetto anziché ritenere di non essere tenuto a fornire riscontro alcuno.

Di particolare interesse è stato il rilievo svolto circa la mancata indicazione del periodo di conservazione dei dati (paragrafi 62 e 63 del provvedimento) e l’impiego di formule generiche quali: “i dati sono conservati per il periodo stabilito da obblighi di legge” o “i dati personali sono conservati fino all’esaurimento delle finalità del trattamento” ad esempio. Secondo il principio di trasparenza, occorre porre l’interessato in una posizione tale da poter comprendere il tempo di conservazione dei suoi dati personali: in caso di obblighi di legge indicando la norma, o comunque un parametro temporale preciso. E dunque l’insufficienza di un’indicazione vaga e per tutte le finalità, soprattutto in riscontro ad una richiesta di accesso.

Un ultimo spunto particolarmente d’interesse è circa l’entità del danno, con la considerazione di un danno immateriale prodotto da inconveniente o disturbo, peso psicologico relativo alle incertezze riguardanti la riscossione. Insomma: un danno da doversi considerare tout-court e non solo limitatamente ad una dimensione patrimoniale.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.