g-docweb-display Portlet

Provvedimento del 15 dicembre 2022 [9855586]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9855586]

Provvedimento del 15 dicembre 2022

Registro dei provvedimenti
n. 426 del15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”), come novellato dal d.lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTA l’stanza presentata dalla sig.ra XX nei confronti di Fondazione SOS Il Telefono Azzurro Onlus;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’istruttoria.

Con comunicazione del 12 aprile 2022, inviata all’indirizzo privacy@azzurro.it, la sig.ra XX ha trasmesso, a Fondazione SOS Il telefono Azzurro Onlus (di seguito “Fondazione”), una e-mail del seguente tenore: “la presente per chiedere nuovamente di cancellare dai vostri archivi il nominativo di mia madre, […] già residente in […] in quanto deceduta”.

Con successiva e-mail del 19 agosto 2022, inviata anche al Garante, l’istante invitava ancora una volta la Fondazione, già più volte contattata in passato (sia a mezzo filo che tramite posta elettronica), a cancellare i dati personali della defunta madre dai propri archivi, stante il dolore provocato dalla perdurante ricezione di corrispondenza a lei indirizzata.

A fronte dei persistenti, omessi riscontri dichiarati dall’istante, con nota del 21 settembre 2022, la Fondazione è stata invitata ad aderire alla richiesta dell’interessata, ricordando che le istanze in materia di esercizio dei diritti possono essere formulate anche in relazione ai dati personali concernenti persone decedute (art. 2-terdecies del Codice).

Con nota del 6 ottobre 2022, la Fondazione ha fornito riscontro alla richiedente e all’Ufficio, dichiarando quanto segue: “Dalle verifiche condotte, è emerso che la richiesta da Lei formulata e non è stata tempestivamente accolta e riscontrata da Telefono Azzurro per un disguido occorso agli uffici competenti; a causa di tale disguido, la nostra Associazione ha continuato ad indirizzare alla Sig. […] alcune comunicazioni relative a «Azzurro Child». Nello scusarci per il ritardo con cui abbiamo dato seguito alla Sua richiesta e per il disagio arrecato, Le confermiamo di aver provveduto alla cancellazione dei dati personali riferibili alla Sig.ra XX”.

In relazione a tali risultanze, l’Ufficio ha provveduto a notificare alla Fondazione, ai sensi dell’art. 166, comma 5, del Codice, l’atto di avvio del procedimento correttivo e sanzionatorio in relazione alla presunta violazione degli artt. 12 e 17 del Regolamento e 2-terdecies del Codice (nota del 18 ottobre 2022).

Con nota del 17 novembre 2022, la Fondazione ha fatto pervenire al riguardo i propri scritti difensivi (art. 18 della legge 24 novembre 1981, n. 689; art. 13 del regolamento del Garante n. 1/2019), evidenziando in particolare che:

− “le richieste rivolte dagli interessati a Telefono Azzurro ai sensi degli artt. 15 e segg. del Regolamento (UE) 2016/679 sono gestite secondo processi interni volti a garantire la correttezza delle attività”;

− “al fine di garantire la tempestività e la correttezza del riscontro, si è scelto di affidare la gestione delle richieste all’area di riferimento, tenuto conto del contesto e/o attività nell’ambito dei quali sono stati raccolti e trattati i dati personali interessati dalla richiesta (a titolo esemplificativo, Linea di emergenza 114, Linea di ascolto 196.96)”;

− “l’episodio occorso alla Sig.ra XX è stato frutto di un errore materiale degli uffici”, “con conseguente esclusione del carattere doloso della condotta”;

− “la gestione non tempestiva della richiesta della Sig.ra XX è dipesa da un […] disguido […] a cui la Fondazione ha prontamente rimediato”, provvedendo all’immediata cancellazione dei dati − peraltro limitati e di natura comune (nome e indirizzo) − relativi alla sig.ra XX;

− “ad oggi non risultano pervenuti ulteriori reclami relativi al mancato riscontro o al mancato accoglimento di richieste formulate dagli interessati ai sensi degli artt. 15 e segg. del Regolamento”.

La Fondazione, a riprova della propria collaborazione e attenzione sul fronte della disciplina in materia di protezione dei dati personali, ha altresì dichiarato di aver avviato “una attività di aggiornamento e verifica dei processi interni per la gestione delle richieste degli interessati al fine di individuare eventuali criticità operative che potrebbero determinarne una non tempestiva gestione”.

La medesima Fondazione, inoltre, ha affermato di avere in programma lo svolgimento di attività formative dedicate “al fine di sensibilizzare ulteriormente il proprio personale in merito alla rilevanza di tutte le attività che implicano il trattamento di dati personali, ed in particolare delle attività di gestione delle richieste degli interessati”.

2. La normativa in materia di protezione dei dati personali.

Ai sensi dell’art. 17, par. 1, del Regolamento, “l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”, se sussiste uno dei motivi indicati al par. 1 del medesimo articolo (tra i quali rileva, nel caso di specie, quello di cui alla lett. a): “i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati”).

L’art. 12, parr. 1 e 2, del Regolamento prevede poi che “il titolare del trattamento [debba] adotta[re] misure appropriate per fornire all'interessato tutte […] le comunicazioni di cui agli articoli da 15 a 22” e “agevola[re] l’esercizio dei diritti dell’interessato”.

In base al par. 3 della medesima disposizione, “il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”; se non ottempera a tale richiesta, il titolare del trattamento deve informare quest’ultimo “senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale” (art. 12, par. 4, del Regolamento).

L’art. 2-terdecies, comma 1, del Codice, infine, prevede che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

3. Le valutazioni dell’Ufficio.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Fondazione, a fronte di alcune richieste di cancellazione presentate dall’istante in relazione ai dati personali della defunta madre, non ha fornito riscontro nel termine indicato dall’art. 12, par. 3, del Regolamento, né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell’inottemperanza e della possibilità di proporre un reclamo all’Autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4, del Regolamento).

Il titolare del trattamento, come noto, è chiamato a mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al […] Regolamento” (art. 24 del medesimo Regolamento).

L’argomentazione addotta dalla Fondazione − secondo cui l’istanza di cancellazione inoltrata dalla sig.ra XX non sarebbe stata tempestivamente accolta a causa di un (peraltro generico) “disguido occorso agli uffici competenti” − non può essere qui presa in considerazione quale valida causa di esclusione dalla responsabilità, se non a costo di eludere gli stessi presupposti applicativi della norma (e, più in generale, del complessivo quadro regolatorio sopra richiamato, con particolare riferimento alle disposizioni in tema di riscontro alle istanze in materia di esercizio dei diritti) in ragione di un comportamento omissivo del titolare di natura verosimilmente colposa.

È risaputo, infatti, che, in base alla disciplina in materia di protezione dei dati personali, il carattere colposo della violazione non rileva sul piano della lesività della condotta e/o dell’accertamento dell’infrazione, ma incide, semmai, su quello dell’irrogazione dell’eventuale sanzione amministrativa, di cui costituisce − non a caso − uno degli elementi di valutazione e quantificazione (art. 83, par. 2, lett. b), del Regolamento; v. pure le Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679, WP 253).

Del resto, non può trascurarsi il fatto che le misure che il titolare del trattamento è tenuto ad adottare per fornire agli interessati tutte le comunicazioni di cui agli artt. da 15 a 22 del Regolamento devono essere, a termini di legge, necessariamente “appropriate”, anche (e proprio) al fine di “agevolare” costoro nell’esercizio dei loro diritti in materia di protezione dei dati personali (art. 12, parr. 1 e 2, del Regolamento).

La Fondazione, pertanto, avrebbe dovuto fornire alla richiedente puntuale riscontro nei termini di cui all’art. 12 del Regolamento, a nulla rilevando eventuali disguidi operativi o carenze nella gestione delle risposte alle istanze in materia di esercizio dei diritti formulate dagli interessati o dai soggetti di cui all’art. 2-terdecies del Codice.

Nel prendere comunque atto che la Fondazione ha confermato di aver cancellato i dati personali relativi alla sig.ra XX, in adempimento a quanto stabilito dal combinato disposto di cui ai citati artt. 17 del RGPD e 2-terdecies del Codice, deve dunque ritenersi che, sulla base delle risultanze acquisite, non sia stato rispettato, nel caso di specie, l’art. 12, parr. 3 e 4, del Regolamento; ciò, considerato che la comunicazione inviata dall’istante (quantomeno quella del 12 aprile 2022) risulta correttamente trasmessa all’indirizzo indicato dalla Fondazione sulla propria modulistica privacy (v. il modello di informativa presente sul sito https://azzurro.it/privacy, acquisito al fascicolo), che la medesima Fondazione, in ragione del tenore del riscontro fornito, risulta averla effettivamente ricevuta e che non risultano ricorrere, allo stato degli atti, motivi ostativi o limitazioni all’esercizio del diritto alla cancellazione dei dati da parte della richiedente (art. 17, par. 3, del Regolamento; art. 2-undecies, comma 1, del Codice).

4. Conclusioni

La violazione della disposizione sopra richiamata, oltre all’adozione dei provvedimenti correttivi di cui all’art. 58, par. 2, del Regolamento, può portare alla comminazione di eventuali sanzioni amministrative pecuniarie (art. 83, parr. 1 e 5, del Regolamento).

Rispetto al primo profilo, la Fondazione ha dichiarato, nel corso del procedimento e assumendosi ogni responsabilità al riguardo (art. 168 del Codice), di aver già provveduto a cancellare i dati personali relativi alla sig.ra XX.
La medesima Fondazione, inoltre, ha affermato di aver avviato un’opportuna attività di verifica e

aggiornamento in merito ai processi per la gestione delle richieste degli interessati in tema di esercizio dei diritti e di avere in programma lo svolgimento di attività formative dedicate per sensibilizzare il proprio personale in ordine alle attività che implicano trattamenti di dati personali.

Si ritiene dunque, alla luce di tali risultanze, di poter soprassedere in merito all’adozione di provvedimenti ingiuntivi nei confronti di quest’ultima (art. 58, par. 2, lett. c) e d), del Regolamento), avendo la Fondazione già adempiuto, sia pure successivamente all’intervento del Garante, ai propri obblighi in materia di esercizio dei diritti, nonché spontaneamente avviato, a rafforzamento della propria compliance, specifiche iniziative volte a consolidare il processo di costante adeguamento alla disciplina in materia di protezione dei dati personali.

Per quanto attiene all’irrogazione e quantificazione di eventuali sanzioni, che devono essere in ogni singolo caso “effettive, proporzionate e dissuasive”, occorre effettuare una valutazione che tenga in debito conto, nel suo complesso, di tutti gli elementi di cui all’art. 83, par. 2, lett. a)-k), del Regolamento, rapportati alle singole circostanze del caso concreto.

In relazione alla fattispecie in esame, deve osservarsi che l’assenza, allo stato, di precedenti specifici a carico della Fondazione, il carattere episodico della violazione, la sua natura verosimilmente colposa, l’esiguo numero di interessati coinvolti, l’adesione – ancorché successiva alla proposizione dell’istanza al Garante – alla richiesta di cancellazione dei dati formulata dall’istante e il complessivo comportamento collaborativo tenuto nel corso del procedimento, costituiscono tutti elementi che, in uno con la natura no-profit della Fondazione stessa, inducono a qualificare l’infrazione come “violazione minore” (art. 83, par. 2, e Considerando 148 del Regolamento).

Alla luce di quanto sopra, si ritiene dunque sufficiente ammonire la Fondazione SOS Il telefono Azzurro Onlus ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, per aver omesso di fornire un tempestivo riscontro alla richiesta di cancellazione dei dati formulata dall’istante in relazione ai dati personali della defunta madre, così come previsto dal richiamato art. 12 del Regolamento.

Si rileva, inoltre, che ricorrono i presupposti per l’annotazione della violazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento (art. 17 del Regolamento del Garante n. 1/2019).

Si informa, infine, che come da disposizioni normative e regolamentari dell’Ufficio (art. 154-bis, comma 3, del Codice; art. 37 del Regolamento del Garante n. 1/2019), copia del presente provvedimento verrà pubblicata sul sito web del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi degli artt. 58, par. 2, lett. b) del Regolamento, ammonisce la Fondazione SOS Il telefono Azzurro Onlus per aver violato, nei termini di cui in motivazione, l’art. 12 del Regolamento, a seguito dell’omesso tempestivo riscontro alle richieste di cancellazione avanzate dalla sig.ra XX in relazione ai dati personali della defunta madre;

b) in conformità all’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione della violazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9855586
Data
15/12/22

Argomenti


Tipologie

Ammonimento