Dopo reclamo per mancata cancellazione dei dati, il Garante privacy intima con più comunicazioni la soddisfazione della richiesta. L'azienda ignora il reclamante e il Garante, il quale invia il Nucleo ispettivo della Guardia di Finanza. L'istruttoria conferma la violazione del diritto alla cancellazione dei dati personali e scatta la sanzione.

Il contesto

Nel Novembre del 2019 un cittadino presenta reclamo al Garante per violazione del diritto alla cancellazione dei dati personali garantito dal GDPR. L'istruttoria conferma il mancato riscontro al reclamante e comunica alla società, tramite posta elettronica, la sanzione amministrativa adottata con provvedimento del Maggio 2021. A questa si accompagna l'intimazione a

“soddisfare le richieste del segnalante ai sensi dell’art. 12 del Regolamento e conformare ai principi di liceità i trattamenti effettuati”

Il Garante concedeva all'azienda 60 giorni dal ricevimento del provvedimento per assicurare di aver adottato le misure necessarie a impedire ulteriori segnalazioni da parte dell'interessato, nonchè per fornire un riscontro alle richieste dello stesso.

L'azienda ignora le intimazioni del Garante Privacy

Il termine dei 60 giorni trascorre e il Garante non riceve riscontri dall'azienda. L'Authority invia seconda comunicazione via posta elettronica nel Luglio 2021, ribadendo l'obbligo di informare il Garante sull'adempimento di quanto già intimato. L'email risulta regolarmente ricevuta dal destinatario.

Di nuovo nessun riscontro. Il Garante quindi comunica l'avvio del procedimeno sanzionatorio nell'Agosto 2021, ribadendo la necessità di ricevere le informazioni richieste. Nuovamente nessuna risposta. Il Garante quindi delega il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza all'acquisizione delle informazioni richieste presso la sede della società. Siamo nell'Ottobre del 2021.

Per approfondire > Richieste degli interessati: conseguenze di omesse e mancate risposte

L'esito dell'accertamento della Guardia di Finanza

Nel verbale redatto dalla Guardia di Finanza si legge che l'avvocato rappresentante della società ha dichiarato che l'azienda non ha dato riscontro alle richieste dell'interessato in quanto:

"non era in possesso di alcun suo riferimento salvo l’indirizzo e-mail utilizzato dal segnalante in data 24 ottobre 2019, indirizzo, quest’ultimo non certificato”.

Solo dopo l'intervento della Guardia di Finanza l'azienda procedeva ad inviare riscontro all'interessato, affermando di non aver mai avuto nei propri archivi alcun dato personale del reclamante. La mancata collaborazione invece sarebbe dovuta alle conseguenze di una cessione di ramo di azienda ad una società terza e al poco personale.

L'avvocato spiega anche che il primo riscontro alle richieste istruttorie del Garante fosse stato erroneo e superficiale, avendo riferito che i dati del reclamante erano stati cancellati dal database e

"addebitando l’inoltro della mail ad uno spam che avrebbe colpito il server di posta della Società”.

La società ha anche riferito come l'invio della email dalla quale è scaturito il reclamo dell'interessato sia riconducibile ad un terzo, libero professionista e procacciatore di affari della società, ma non inquadrato strutturalmente in essa.

La risposta del reclamante e l'ulteriore provvedimento del Garante

Il reclamante, che mai è stato cliente della società, ha inviato al Garante alcune comunicazioni che contrastano con la ricostruzione della società, ribandendo la violazione del diritto di cancellazione dei dati personali. Dichiara di aver ricevuto non una email, ma più email provenienti da più persone appartenenti alla società. A sostegno allega una serie di scambi avvenuti con persone del "Management della società".

Il Garante quindi decide di notificare nel Dicembre 2021 un secondo provvedimento per l'adozione di quanto previsto nel procedimento precedente, con ulteriore sanzione per i mancati riscontri entro il termine dei 60 giorni. La condotta della società infatti

"risulta quindi in contrasto con l’obbligo di uniformarsi alle prescrizioni stabilite dall’Autorità di controllo"

e, in generale, al mancato dovere di collaborazione con l'autorità di controllo.

Violazione del diritto di cancellazione dei dati personali: scatta la sanzione

"All’esito dell’accertamento compiuto dal Nucleo speciale della Guardia di finanza e dei fatti emersi a seguito dell’attività istruttoria, emerge un quadro di generale negligenza, da parte della Società, circa il rispetto delle basilari disposizioni in materia di protezione dei dati personali, sia con riferimento ai diritti dell’Interessato, sia per quanto attiene alla leale cooperazione con l’Autorità di controllo al fine di porre rimedio alle violazioni accertate e per attenuare i possibili effetti negativi delle stesse".

si legge nel provvedimento.

Ma il punto interessante è che il Garante non ha ritenuto una scusante il fatto che le email siano state inviate dal soggetto terzo, libero professionista. Infatti nel provvedimento si chiarisce che:

"Premesso che tale circostanza non attiene al merito del presente procedimento, essa non appare di per sé neanche dirimente, diversamente da quanto ritenuto dalla Società, ai fini della definizione della titolarità del trattamento dei dati, potendo anche soggetti, giuridicamente distinti dal titolare, effettuare trattamenti per suo conto".

In conclusione, il Garante ha: 

• sanzionato l'azienda per violazione del diritto di cancellazione dei dati personali. L'ammontare è di 10.000 euro, da pagare entro 30 giorni dalla ricezione del provvedimento. L'omesso riscontro e la scarsissima collaborazione con l'Autorità sono valsi da "aggravanti";
• previsto la pubblicazione del provvedimento con il nome della società in chiaro. 

Il testo completo del provvedimento è disponibile qui