Il Garante per la privacy (provv. del 17 maggio 2023 n. 200, doc. web n. 9902499) ha sanzionato (10 mila euro) recentemente un istituto bancario per aver riscontrato in modo tardivo l’istanza di accesso ai dati personali avanzata da un utente. In particolare, la Banca aveva sostenuto che il mancato riscontro era da ascriversi alla società preposta ai servizi di contact center, di gestione documentale e di back office (nominata responsabile del trattamento ai sensi dell’art. 28 del Regolamento).
Di diverso avviso il nostro Garante, il quale ha ribadito quanto segue:
👉 le motivazioni dettate da negligenze e/o mancanza della società nominata come responsabile del trattamento non possono essere assunte a valido motivo per giustificare l’inottemperanza da parte del titolare;
👉 grava sul titolare del trattamento l’obbligo di dare seguito alle istanze degli interessati relative all’esercizio dei diritti (art. 12, parr. 1 e 2 del Regolamento);
👉 è invece compito del responsabile, a cui sia stata esternalizzata la gestione pratica delle singole richieste, prestare assistenza al titolare “tenendo conto della natura del trattamento, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di soddisfare” tali richieste (art. 28, par. 3, lett. e) del Regolamento);
👉 la natura di tale assistenza deve, quindi, essere valutata alla luce “della natura del trattamento” e le sue specifiche devono essere previste puntualmente nel contratto che, ai sensi del citato art. 28, par. 3, “vincola il responsabile del trattamento al titolare [….]”.
| P. IVA 02917600302 |