L’accesso negato ai dati personali costituisce una violazione delle privacy

 
Garant de la protection des données personnelles: Ordinanza ingiunzione nei confronti di Ordine Provinciale di Roma dei Medici Chirurghi e degli Odontoiatri – 16 Septembre 2021 (link al provvedimento)
Fatti
Il Garante per la protezione dei dati personali ha emanato un’ordinanza ingiunzione nei confronti dell’Ordine dei Medici di Roma a fronte di un reclamo pervenuto da parte di un interessato. En particulier, il reclamante aveva denunciato di aver in precedenza inviato una mail all’Ordine dei medici chirurghi di Roma per chiedere chiarimenti in ordine al trattamento di dati personali che riguardavano lui stesso e le sue figlie minorenni. Nella stessa mail aveva esposto che, nel caso in cui fosse in corso una procedura di trattamento, avrebbe voluto ricevere una copia dei dati e l’accesso a questi e alle informazioni ex art. 15, par. 1, letton. da a) a h). Nonostante il sollecito, Toutefois, l’Ordine dei Medici non aveva proceduto ad inviare risposta al reclamante.
A fronte del reclamo a lui pervenuto, il Garante aveva invitato l’Ordine a dare quanto prima attuazione alla richiesta del soggetto: plus précisément, l’Ordine avrebbe dovuto inviare una risposta nel termine di 30 giorni e dopodiché avrebbe dovuto provvedere ad informare il Garante stesso dell’attività svolta.
A fronte di tale invito del Garante, l’Ordine dei Medici aveva inviato risposta al Garante in cui: (je) specificava che i dati oggetto del reclamo erano stati forniti dallo stesso soggetto interessato dal trattamento ed erano stati trattati in modo conforme alla disciplina dettata in materia; aussi, precisava che, in quel momento presso l’Ordine dei Medici, era in corso un procedimento disciplinare non ancora concluso e perciò non era possibile far pervenire copie degli atti oggetto dello stesso; enfin, segnalava che il reclamo non era ancorato ad alcun presupposto oggettivo che avrebbe permesso l’esecuzione delle attività da lui richieste, quali la copia degli atti, ritenendola, Plutôt, una richiesta superflua e generica poiché trattava di dati spontaneamente comunicati dall’interessato.
Nonostante ciò, il Garante aveva comunque provveduto ad attivare un’istruttoria finalizzata ad accertare o meno se fosse stata violata la disciplina in materia di protezione e trattamento dei dati personali.
Volume recommandé

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Editeur Maggs
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad

32,00 € 30,40 €
acheter

son www.maggiolieditore.it –>

Le memorie difensive dell’ordine
A fronte dei fatti sopra esposti, il Garante quindi avviava un’attività istruttoria per presunta violazione degli artt. 12, parr. 1, 3, 4 e 5, e 15 GDPR ed invitava l’Ordine ad inviare memorie difensive inerenti ai fatti e alle presunte violazioni.
Negli scritti difensivi, l’Ordine ha precisato che da parte del reclamante erano state formulate, nel medesimo giorno, due richieste all’Ordine medesimo: la prima riguardante l’accesso documentale ex L. 7 Août 1990, n. 241, al fine di prendere copia di tutti i documenti; la seconda, esercitando il diritto di accesso ex artt. Da 15 une 22 GDPR.
In considerazione di tali richieste, l’Ordine sosteneva di aver collaborato con il soggetto interessato, fissando un appuntamento per consentire l’accesso documentale, al quale, però, la parte istante non si era impegnata ad essere presente.
Inoltre, proseguiva l’Ordine delle sue difese, le due richieste presentate simultaneamente dal Reclamante avevano – per tale simultaneità – determinato errori nell’operato dei funzionari addetti per le relative modalità di adempimento.
Le violazioni
Dall’attività istruttoria del Garante, è emerso che, conformément à l'article. 12, par. 3 GDPR, il titolare del trattamento, nel caso di specie corrispondente all’Ordine dei medici chirurghi, nel caso in cui riceve richiesta ex artt. la 15 une 22 del GDPR è tenuto a fornire le corrispondenti informazioni entro un mese da quando ha ricevuto la richiesta stessa: nel caso di specie, invece l’Ordine non ha rispettato questo termine.
Il Garante ha poi precisato che l’Ordine non ha provveduto ad elencare le circostanze, conformément aux articles. 15-22 GDPR, in presenza delle quali è possibile, alla luce della stessa previsione normativa, limitare l’esercizio dei diritti dell’interessato.
En particulier, l’art. 15 del GDPR dispone che <<l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni (…)>>. Il regolamento europeo stabilisce, donc, che l’interessato ha diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto per essere consapevole del trattamento e verificarne la liceità.
Ebbene, nel caso di specie, secondo il Garante l’Ordine, in qualità di titolare del trattamento, non ha provveduto a fornire tali informazioni all’interessato del trattamento, asserendo che tale inadempimento è stata conseguenza, innanzitutto, del fatto che nei confronti del reclamante vi fosse un procedimento disciplinare ancora in corso e, puis, conseguenza della duplicazione simultanea delle richieste, che ha comportato errori nella gestione delle stesse.
Cependant, secondo il Garante, conformément à l'article. 12 del GDPR, il titolare del trattamento deve predisporre modalità facilitate per agevolare l’esercizio dell’interessato di accesso ai dati personali ai fini di ottenere, gratuitamente, l’accesso, la rettifica e la cancellazione e per esercitare il diritto di opposizione. Inoltre, il par. 4 dello stesso articolo dispone che <<se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale>>.
Secondo il Garante l’Ordine non ha rispettato il termine prescritto dalla suddetta norma e ciò determina quindi una sua violazione.
Inoltre, secondo il Garante non può essere accolta neanche la difesa dell’Ordine, secondo cui avrebbe provveduto a fissare un incontro con il soggetto interessato al quale quest’ultimo non si era presentato, in quanto la citata disposisione normativa (cioè l’art. 12 GDPR) prevede che il titolare debba procedere attraverso un invio telematico delle informazioni richieste.
Le sanzioni del Garante privacy
Alla luce di tutto quanto sopra, il Garante ha ritenuto che non ci fossero elementi sufficienti per archiviare il caso, ritenendo che è stato attuato da parte dell’Ordine un trattamento illecito dei dati personali in violazione degli artt. 12 e 15 GDPR.
In virtù delle violazioni accertate, è stata quindi applicata la sanzione amministrativa pecuniaria (pari ad un importo di euro 5.000) ex art. 83, par. 5 GDPR ai sensi dell’art. 58, par. 2 dello stesso. Inoltre, sempre in virtù del potere correttivo riconosciuto dalla detta ultima norma al Garante di ingiungere al titolare del trattamento (o al responsabile) di soddisfare le richieste che sono state vantate dall’interessato, l’Autorità ha ingiunto all’Ordine di fornire all’interessato, entro 30 giorni dalla ricezione del provvedimento, copia dei dati personali del reclamante e delle figlie minorenni.
Enfin, il Garante ha ingiunto all’Ordine di provvedere, nello stesso termine, ad inviare un riscontro al Garante in cui viene confermato di aver adeguatamente adempiuto a tali attività oppure, in mancanza di adempimento, vengono esposte le ragioni per cui non sia stato possibile dare attuazione a quanto gli è stato ordinato nel provvedimento.
Volume recommandé

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Editeur Maggs
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad

32,00 € 30,40 €
acheter

son www.maggiolieditore.it –>

Devenez auteur de Diritto.it
En savoir plus!

Vous pourriez aussi être intéressé

Tutela della Sicurezza Pubblica vs Tutela della Privacy: un bilanciamento necessario

di Assunta Balzamo
30 Octobre 2020

Il Garante privacy interviene sui controlli del green pass per l’accesso alle palestre e nelle scuole

di MuiaPier Paolo
7 Octobre 2021

Minori “bulli” e “cyberbulli”: natura degli illeciti e responsabilità dei genitori

di Concas Alessandra
16 février 2021

Data Breach alla regione Lazio: la gravità dipende dalla reazione

di Luisa Di Giacomo
6 Août 2021

The post L’accesso negato ai dati personali costituisce una violazione delle privacy appeared first on Diritto.it.
La source: Diritto.it