Con il provvedimento n. 305 del 15 settembre 2022 del Garante della Privacy, che sanzionava un istituto bancario per aver riscontrato in modo tardivo l’istanza di cancellazione dei dati personali di un ex dipendente, vogliamo cogliere l’occasione per riassumere gli accorgimenti pratici che bisogna considerare nel contesto della gestione delle richieste dei diritti GDPR.

In particolare:

Il titolare del trattamento deve facilitare l’esercizio dell’interessato e fornire al medesimo le informazioni relative all’azione intrapresa senza ingiustificato ritardo o comunque al più tardi entro un mese dal ricevimento della richiesta.

1. Questo termine può essere prorogato di due mesi, qualora si reputi necessario, tenuto conto della complessità e del numero di richieste. In questo caso, il titolare deve comunque informare l’interessato della proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.
2. In caso di diniego, il titolare del trattamento deve è tenuto a riscontrare all’interessato senza ritardo, e al più entro un mese dal ricevimento della richiesta, comunicando i motivi dell’inottemperanza e la possibilità di proporre reclamo a un’autorità di controllo e proporre ricorso giurisdizionale
3. Le motivazioni dettate da disguidi nei flussi interni di comunicazione tra le varie funzioni coinvolte nella gestione delle richieste oppure connesse a problematiche di tipo tecnico, non sono idonee a giustificare riscontri tardivi alla richiesta dell’interessato.

Cancellazione dei dati personali

Nella fattispecie considerata, un ex dipendente reclamava all’autorità presunte violazioni del Regolamento da parte della Banca, con riferimento al tardivo e inidoneo riscontro alle istanze di cancellazione del suo profilo professionale e dei propri dati dal database relativo alle candidature.

Nel corso degli accertamenti emergeva infatti che la Banca nonostante avesse ricevuto, come da sua richiesta, la documentazione dell’interessato in maniera corretta, non dava riscontro all’istanza a causa di un disguido tecnico.

Nonostante vari solleciti da parte del reclamante, solo quattro mesi dopo lo scadere del termine di legge, la Banca dava riscontro alle istanze di cancellazione presentate dall’interessato.

Best practice

Nonostante il regolamento da un lato permetta al titolare del trattamento - tenuto conto della complessità e del numero delle richieste - di usufruire della proroga del termine di due mesi, dall’altro lato, per espressa disposizione normativa, egli deve comunque informare l’interessato della proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.

Da ultimo, per quanto riguarda, invece, i profili concernenti la mancata cancellazione dei dati riferiti all’interessato (diversi da quelli comunicati ai fini della selezione per un posto di lavoro) relativi a precedenti rapporti di lavoro intercorrenti tra il reclamante e la Società stessa e a rapporti bancari nei termini e per le finalità indicati nel corso dell’istruttoria, il Garante riteneva condivisibile la tesi rappresentata dalla Banca circa la liceità dell’ulteriore conservazione degli stessi.

Tuttavia, l’Autorità constatava che in relazione alla necessità di conservazione di determinati dati, la Banca, nel dichiarare la propria (lecita) impossibilità di cancellazione, non indicava al reclamante la possibilità di proporre reclamo all’autorità di controllo o ricorso giurisdizionale.

Tenuto conto che la Società collaborava pienamente con l’Autorità e che la violazione costituiva un caso isolato, il Garante ordinava alla Banca il pagamento della somma di euro 10.000 a titolo di sanzione amministrativa pecuniaria.

Come già detto, agli occhi dell’Autorità, i riscontri tardivi da parte delle imprese o degli enti, non possono essere giustificati da disguidi tecnici e problemi interni di coordinamento. Pertanto, è necessario implementare le proprie misure di sicurezza sotto il profilo tecnico e organizzativo per identificare e registrare le richieste di esercizio dei diritti GDPR, valutare la pertinenza dell’istanza, nonché procedere concretamente nei termini previsti dall normativa.