NEWS

Il rispetto dei diritti sulla privacy non può essere a pagamento né avere un listino prezzi

Se la banca vi ha negato un finanziamento e volete sapere quali sono le motivazioni, potete pagare e conoscerle rapidamente on line nel giro di qualche giorno o addirittura entro pochi minuti. Ma se l’idea di pagare per avere le informazioni che vi riguardano non vi va proprio a genio, allora dovete prendere carta e penna e scrivere una lettera di richiesta sperando di ricevere riscontro entro un mese. Questa è in sostanza la prassi che aveva adottato il Bureau Krediet Registratie (BKR) con i cittadini olandesi, dimenticando che il diritto di accesso ai dati personali è essenzialmente gratuito.

La società di informaizoni creditizie chiedeva soldi per dare informazioni agli interessati: sanzionata per violazione del Gdpr


La fondazione BKR, che nei Paesi Bassi si occupa di gestire il sistema di informazioni creditizie sulla solvibilità dei consumatori, aveva infatti stabilito le sue regole e previsto sostanzialmente due opzioni per evadere le richieste di esercizio dei diritti che il Gdpr riconosce agli interessati, ovvero in primis la procedura ordinaria, da espletare tramite lettera da spedire rigorosamente per posta con allegata fotocopia del documento di identità e la richiesta di ottenere gratuitamente una copia dei propri dati personali in formato cartaceo entro 28 giorni, oppure in alternativa per i più sbrigativi vi era una scorciatoia, ma attraverso l’attivazione di un abbonamento annuale a pagamento con costi trai 5 e i 12.50 euro, che in compenso permetteva di ricevere velocemente la documentazione in formato digitale.

Tutto quindi facile e veloce per le persone che pagavano, ma dall’altra parte i cittadini che non erano disposti a sborsare denaro per vedere rispettato un loro diritto finivano per essere penalizzati, tanto più per il fatto che non era consentito loro neppure di ripetere l’istanza di accesso più di una volta l’anno, con il rischio di spendere soldi e tempo per inviare una lettera che poteva essere poi ignorata senza neanche ricevere nessuna risposta.

Di fronte all’ennesimo caso in cui veniva trascurato il fatto che la tutela della privacy è un diritto fondamentale dell’individuo, l’autorità per la protezione dei dati olandese (Autoriteit Persoonsgegevens) non ha affatto assecondato questa disparità di trattamenti, e dopo aver indagato sul caso, ha affermato che, rispondendo alle istanze degli interessati, la BKR non offre loro un servizio ma ottempera ad un obbligo del Gdpr, per cui se il titolare ha le possibilità tecniche di evaderle entro un breve lasso di tempo dovrebbe effettivamente farlo in ogni caso, e non solo perché vi sono utenti disposti a pagare un abbonamento per visualizzarle online mentre gli altri devono attendere un mese prima di riceverle tramite posta.

Finziamento bocciato, sapere i motivi è un diritto ai sensi del Gdpr

L’autorità di controllo olandese ha quindi rilevato che, con le sue procedure la BKR stava violando l'articolo 12, paragrafo 5 del Gdpr, dove il Regolamento europeo sulla protezione dei dati specifica che le informazioni fornite sono gratuite, e che è possibile “addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti” solo quando le richieste dell'interessato “sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo”.

Anche sul limite imposto dalla BKR di non accettare più di una richiesta di accesso all’anno, la Autoriteit Persoonsgegevens ha voluto precisare che non è il numero delle istanze a determinare se esse possano essere considerate manifestamente eccessive o ripetitive ai fini dell'art. 12, paragrafo 5 del Gdpr, ma il titolare del trattamento “non può rifiutare di soddisfare la richiesta dell'interessato”, e indipendentemente dal numero di richieste di accesso presentate occorre valutare caso per caso per stabilire se ricorrano o meno i presupposti per richiedere un contributo spese, che non può quindi essere stabilito da un listino prezzi o attraverso un tariffario prefissato.

Come ormai noto, sull’inosservanza dei requisiti relativi ai diritti dell'interessato, il Regolamento UE 2016/679 (Gdpr) prevede sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato totale annuo globale del trasgressore, e l’autorità di controllo olandese non c’è andata proprio leggera, imponendo alla BKR una multa di 830.000 euro.

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Il 'Lato B' della sentenza ‘Schrems II’ è un pesante 'caveat' sul ricorso alle clausole tipo
Next Chiedere lumi al Dpo fa sempre bene al titolare del trattamento

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy