GDPR e assicurazioni: obbligo di rispondere alle richieste di accesso ai dati personali dei clienti

Nei giorni scorsi la Corte di Cassazione (Cass. civ., sez. I, ord., 4 aprile 2023, n. 9313) ha affrontato il tema relativo agli obblighi che incombono sui titolari del trattamento (nel caso di specie, una banca) quando devono riscontrare le istanze di accesso ai dati personali avanzate dai clienti.

Gli Ermellini hanno sottolineato che “il destinatario della richiesta di accesso ai dati deve sempre riscontrare l’istanza dell’interessato, anche in termini negativi, non potendosi trincerare dietro ad un non liquet”.

Nella fattispecie in esame, il giudice di prime cure aveva rigettato la domanda proposta da un privato nei confronti di una banca volta a far accertare l’inadempimento di quest’ultima all’obbligo di riscontrare l’istanza di accesso ai dati personali. L’istante, infatti, non aveva dimostrato che l’istituto di creduto rivestiva la qualità di titolare del trattamento dei dati.

Per i Giudici di Piazza Cavour “contrariamente a quanto ritenuto dal Tribunale, è il destinatario dell’istanza di accesso ai dati a dover essere considerato onerato dell’obbligo di fornire risposta in ordine al possesso o meno dei predetti dati personali e non può invece ritenersi l’istante onerato della prova di tale circostanza fattuale”.  L’art. 12, par. 5 del GDPR è chiaro al riguardo: “Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta”. Per l’effetto, la Suprema Corte ha accolto il ricorso del ricorrente, con conseguente cassazione della sentenza del Tribunale di Milano, disponendo il rinvio al giudice del merito.

Alla luce di quanto fin qui osservato, si rileva come il contenuto dell’ordinanza sia di indubbia significatività per il settore assicurativo e della distribuzione assicurativa poiché le conclusioni rassegnate dalla Corte di Cassazione ribadiscono come sia onere del titolare attivarsi per riscontrare tempestivamente le richieste di accesso ex art. 15 del GDPR, anche quando non possiede dati personali dell’interessato.

Occorre, pertanto, che, nella pratica, i player del settore assicurativo implementino le proprie misure di sicurezza sotto il profilo tecnico e organizzativo per identificare/registrare le richieste di esercizio dei diritti GDPR, valutare la pertinenza delle istanze nonché procedere concretamente (e non solo con la mera presa in carico) con il riscontro nei termini previsti dalla normativa.

.

Leggi il documento