Il Garante per la protezione dei dati personali sanziona una multinazionale per mancato riscontro ad una richiesta di accesso ai dati, relativi alle trascrizioni delle telefonate e alla relativa documentazione e approfondisce il profilo delle misure organizzative e dei limiti del diritto di accesso.
Un cliente inglese presentava il 28 maggio 2018 una richiesta di accesso ai dati ai sensi dell' art. 15 del GDPR nei confronti di una multinazionale con sede in Italia. La richiesta di accesso ai dati riguardava le trascrizioni delle conversazioni telefoniche intercorse tra lo stesso ed il Centro assistenza della clientela e alla documentazione c.d. case notes relativa al malfunzionamento della strumentazione di un proprio veicolo. La società in esame aveva dichiarato per telefono di non potere dare seguito alla richiesta in ragione di alcune non specificate norme in materia di privacy e che comunque non avrebbe potuto fornire riscontro fino a quando non si fosse conclusa la pratica. Il cliente inglese presentava un reclamo all'Autorità di controllo inglese ICO . Il Garante italiano è intervenuto ha dichiarato di essere l'autorità capofila nella procedura in quanto il titolare del trattamento ha lo stabilimento principale in Italia e sulla base del reclamo ha richiesto alla società di fornire le proprie osservazioni in merito al trattamento di dati personali del reclamante. La società ha inviato le informazioni richieste dal Garante e ha dichiarato che nell'ambito della politica di gestione delle chiamate, si prevede la registrazione delle telefonate solo in fase di entrata c.d. inbound e solo per finalità formative e di monitoraggio della qualità c.d. primo livello . La chiamata viene trasferita successivamente ad altro operatore competente per materia c.d. help desk di secondo livello la cui registrazione, così come per le chiamate c.d. outbound, non è prevista. In tali casi, gli operatori provvedono ad eseguire delle annotazioni note riferite al colloquio intercorso con il cliente. In relazione alla richiesta formulata dal cliente inglese di ottenere le registrazioni delle telefonate di secondo livello, la società ha dichiarato che essendo le stesse affidate all'help desk e non oggetto di registrazione, tale richiesta non poteva essere accolta. In riferimento alla richiesta di ottenere il rilascio di copia delle note dei casi derivanti dalle suddette telefonate, la società ha dichiarato che le stesse non sarebbero state fornite all'interessato in quanto le stesse costituiscono documenti interni e confidenziali utili ai fini della ricostruzione dei fatti accaduti e della gestione dei casi. L'autorità Garante ha notificato alla società delle presunte violazioni riscontrate con riferimento nel caso in esame agli artt. 12, par, 3 e 4 e 15 del Regolamento, ai sensi dell' art. 166, commi 6 e 7 del Codice della privacy nonché art. 18, comma 1, l. n. 689/1981 e ha invitato l'azienda a produrre scritti difensivi o documenti ovvero a chiedere di essere sentiti dall'Autorità. Alla luce delle risultanze istruttorie, il Garante ha ritenuto che i dati del reclamante siano stati trattati dalla società in violazione degli art. 12, par. 3 e 4, e 15 del RGPD per le seguenti motivazioni l'interessato il soggetto a cui si riferiscono i dati ha il diritto di ottenere l' accesso a tutte le informazioni ed ai dati personali che lo identifichino o lo rendano identificabile art. 15 e 4 1 del RGPD . Secondo il Garante la società avrebbe dovuto fornire, al reclamante, sia la trascrizione delle telefonate, ove registrate, sia i dati personali allo stesso riferibili contenuti nelle c.d. note ad uso interno . Il Garante richiama l'attenzione degli operatori sull' obbligo del titolare del trattamento di fornire all'interessato le informazioni richieste , senza ingiustificato ritardo o al più tardi entro un mese dalla richiesta, specificando le eventuali ragioni ostative all'ostensione dei documenti richiesti art. 12 3 del RGPD , la società avrebbe dovuto fornire riposta al reclamante, specificando le ragioni del rifiuto al fine di permettere all'interessato di formulare reclamo all'autorità di controllo, ove non si fosse ritenuto soddisfatto, indipendentemente dal fatto che la vicenda relativa al malfunzionamento del prodotto venduto. Secondo il Garante la società ha fornito all'interessato tramite il call center un riscontro incompleto e poco chiaro alla richiesta di accesso ai dati ma solo informazioni incomplete e parziali e ha ritenuto troppo generico il richiamo della società alla privacy law come motivo per il diniego all'accesso. La società ha sostenuto che le conversazioni telefoniche di assistenza non erano registrate e che non era possibile ottenere il rilascio delle copie delle note richieste dei casi in quanto si tratta di documenti interni e confidenziali ai fini della ricostruzione dei fatti accaduti e alla gestione dei casi. L'interessato, a fronte dell'esercizio di un diritto, quale quello riconosciuto dall'art. 15 del Regolamento, deve essere messo in condizioni di conoscere tempestivamente la eventuale sussistenza di limitazioni all'esercizio del proprio diritto. Il Garante ha specificato che solo nella più recente fase di riscontro alla stessa autorità, sono state avanzate delle riserve, peraltro non adeguatamente motivate, invocando il temporaneo diniego all'accesso finalizzato alla tutela dei diritti in fase giudiziaria. Il Garante richiama la possibilità prevista dall' art. 23 del GDPR di limitare per alcuni membri, in talune circoscritte ipotesi, l'esercizio del diritto di accesso dell'interessato e sottolinea come tale possibilità, sia condizionata fra l'altro, alla salvaguardia del corrispettivo diritto dell' interessato di essere informato di tale limitazione. L'art. 2- undecies , d.lgs. n. 196/2003 come modificato dal d.lgs. n. 101/2018 ha, poi, espressamente previsto le ipotesi in cui può essere limitato l'esercizio dei diritti dell'interessato, purché, si dice, quest'ultimo ne venga informato dal titolare con comunicazione motivata e resa senza ritardo . Nell'audizione presso il Garante la società ha rappresentato che l' ostensione delle note case notes richieste dall'interessato sarebbe stata pregiudizievole per l'esercizio del diritto di difesa della società in sede giudiziaria avendo più volte l'istante manifestato l'intenzione di rivolgersi al Motor Ombudsman . Secondo il Garante il richiamo generico alla privacy law indicato dalla società non può considerarsi sufficientemente esaustivo. Allo stesso modo, il pregiudizio all'esercizio del diritto di difesa che il titolare teme di subire, solo a fronte della manifestata intenzione dell'interessato di rivolgersi al Motor Ombudsman, non è idoneo a integrare di per sé il caso di limitazione ai diritti dell'interessato previsto dall'art. 2- undecies , comma 1, lett. e del Codice della Privacy . Secondo il Garante la decisione di non comunicare all'istante i dati richiesti rinviando a un momento successivo non è supportata da idonei elementi e, come tale, determina la violazione delle già richiamate disposizioni. Il provvedimento in esame è di interesse in quanto conferma la centralità dei diritti degli interessati sui dati nella visione e nell'architettura del GDPR e la necessità di adottare specifiche misure organizzative da parte delle imprese al fine di garantire la gestione e l'accoglimento delle istanze di esercizio dei diritti sui dati. Il Garante pertanto è intervenuto sulla vicenda con una specifica misura sanzionatoria e non con una misura correttiva come richiesto dallo stesso interessato nel reclamo a ICO . Il Garante alla luce dei sopra citati elementi, valutati nel loro complesso, ha ritenuto di determinare l'ammontare della sanzione pecuniaria nella misura di euro 20.000 ventimila per la violazione degli artt. 12 e ss. del Regolamento ritenuta, ai sensi dell'art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. Con riguardo alla natura, gravità e durata, la violazione è stata, infatti, considerata rilevante in quanto riguarda le disposizioni sull'esercizio dei diritti degli interessati e la circostanza che quanto avvenuto è, in gran parte, stato causato dalla mancata implementazione, da parte del titolare del trattamento, di misure appropriate volte a garantire all'interessato l'accesso ai dati personali nonché alla circostanza che la violazione si è protratta dalla data entro la quale il titolare doveva dare adempimento alle richieste avanzate dall'interessato ad oggi non essendo mai stato fornito riscontro . Il Garante ha verificato che non risultavano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all'art. 58 del Regolamento e che la Società ha complessivamente e attivamente cooperato con l'Autorità nel corso del procedimento. La società aveva altresì fatto richiesta al Garante di non pubblicare l'eventuale provvedimento conclusivo del procedimento e di tener conto, sotto il profilo sanzionatorio, del periodo di prima applicazione delle disposizioni sanzionatorie del Regolamento, beneficiando del c.d. grace period . Il Garante privacy, tuttavia, in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell'interessato, ha ritenuto che, ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del regolamento del Garante n. 1/2019 , di comminare anche la sanzione accessoria della pubblicazione del provvedimento sul sito internet del Garante con un forte impatto reputazionale nei confronti della società. Il caso in esame è di interesse in quanto richiama l'attenzione degli operatori sulle difficoltà delle imprese , alla luce della complessità dei trattamenti , e dell'innovazione tecnologica, di fornire un tempestivo, adeguato e documentato riscontro alle richieste di accesso ai dati e come il rafforzamento dei diritti degli interessati sui propri dati costituisca per tutte le organizzazioni una sfida complessa e quotidiana e da forte impatto organizzativo.
Ordinanza ingiunzione del Garante Privacy del 16 dicembre 2021, n. 439