Mai sottovalutare il riscontro alle istanze degli interessati per l’esercizio dei diritti sulla privacy
L’ordinanza ingiunzione nei confronti di Deutsche Bank S.p.A. del 16 giugno 2022 offre la possibilità di analizzare nuovamente una tema che Titolare e Responsabile del Trattamento non devono sottovalutare: il riscontro alle istanze di esercizio dei diritti.
Nella fase stragiudiziale, un interessato – tramite il proprio avvocato – inviava una corposa missiva nell’ambito della quale, tra le altre cose, avanzava una istanza di esercizio dei diritti. La comunicazione inviata dall’interessato in data 13 luglio 2020 era stata correttamente notificata alla Banca tramite PEC.
La Banca ometteva di riscontrare, facendolo solo dopo il reclamo presentato avanti all’Autorità Garante. L’istituto tentava di giustificare il proprio operato affermando che il ritardo nel fornire riscontro all’istanza del reclamante è stato causato da una serie di circostanze “non riconducibili alla volontà dei dipendenti o della banca” che, ad ogni modo, “riteniamo non abbiano causato al cliente alcun pregiudizio” ed, inoltre, che “l’istanza venne indirizzata non già all’indirizzo di posta elettronica deputato (…), bensì in un primo momento all’indirizzo posta elettronica certificata dell’ufficio reclami e, alla luce dei problemi di ricezione manifestati da tale indirizzo, alla casella di posta elettronica certificata della Banca” ed, ancora, che “l’istanza di accesso e la contestuale richiesta di poter disporre di copia dell’informativa privacy (…) risultano essere state formulate nel contesto di una lunga ma assoluta generica comunicazione del cliente (…) incentrata nel descrivere e contestare i comportamenti tenuti dalla Banca in merito a una asserita irregolarità nella segnalazione fatta dalla Banca medesima alla Centrale rischi di Banca d’Italia e, solo in chiusura, nel formulare anche le istanze di cui agli artt. 13 e 15 del GDPR”.
Nonostante le suddette osservazioni difensive, l’Autorità ha comunque irrogato la sanzione per la violazione dell’art. 12, par. 3, del Regolamento. Invero, non è il primo provvedimento in cui l’Autorità ricorda che il Titolare debba riscontrare entro i 30 giorni previsti dalla norma ovvero debba esercitare – se necessario – la facoltà di proroga, senza però unilateralmente poter prorogare il termine di legge omettendo di adempiere all’obbligo di informativa rimando silente (cfr. Provvedimento del 27 gennaio 2022 [9745860] - Garante Privacy).
