TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: chiunque ha il diritto di conoscere la data e le ragioni per cui i suoi dati personali sono stati consultati.
Nel 2014 un dipendente e, nel contempo, cliente della banca Pankki S è venuto a conoscenza del fatto che i suoi dati personali erano stati consultati da altri membri del personale della banca, in più occasioni, tra il 1° novembre e il 31 dicembre 2013. Nutrendo dubbi circa la liceità di tali consultazioni, tale dipendente che, nel frattempo, era stato licenziato dal suo impiego presso la Pankki S, ha chiesto a quest’ultima, il 29 maggio 2018, di comunicargli l’identità delle persone che avevano consultato i suoi dati, le date esatte delle consultazioni nonché le finalità del trattamento di detti dati.
Nella sua risposta del 30 agosto 2018, la Pankki S ha rifiutato di comunicare l’identità degli impiegati che avevano svolto le operazioni di consultazione con la motivazione che tali informazioni costituivano dati personali di detti impiegati. Per contro, la Pankki S ha fornito precisazioni in merito a tali operazioni di consultazione, svolte dal suo servizio di audit interno, affermando che un cliente della banca di cui il richiedente era il consulente alla clientela era creditore di una persona che aveva lo stesso cognome del richiedente. Pertanto, la banca aveva voluto chiarire se il richiedente e il debitore in questione fossero la stessa persona e se vi fosse stato un eventuale rapporto di conflitto di interessi inappropriato.
La Pankki S ha aggiunto che per chiarire tale questione era stato necessario trattare i dati in questione, precisando che tutti gli impiegati della banca che avevano svolto il trattamento di tali dati avevano rilasciato al servizio di audit interno una dichiarazione in merito ai motivi di detto trattamento dei dati. Inoltre, la banca ha dichiarato che tali consultazioni hanno consentito di fugare qualsiasi sospetto di conflitto di interessi per quanto riguarda il richiedente.
Il richiedente ha adito l’Ufficio del Garante per la protezione dei dati personali della Finlandia, affinché fosse ingiunto alla Pankki S di comunicargli le informazioni richieste. Dato che tale domanda è stata respinta, il richiedente ha proposto ricorso dinanzi al Tribunale amministrativo della Finlandia orientale, che chiede alla Corte di giustizia di interpretare l’articolo 15 del regolamento generale sulla protezione dei dati (RGPD).
Nella sua sentenza la Corte rileva, anzitutto, che il RGPD, applicabile dal 25 maggio 2018, si applica a una domanda presentata successivamente a tale data allorché essa riguarda operazioni di trattamento di dati personali effettuate prima della data di entrata in vigore del RGPD.
La Corte rileva, poi, che il RGPD dev’essere interpretato nel senso che le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento.
Per contro,il RGPD non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti che hanno svolto tali operazioni conformemente alle istruzioni del titolare del trattamento, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga debito conto dei diritti e delle libertà di tali dipendenti. Infatti, in caso di conflitto tra, da un lato, l’esercizio di un diritto di accesso che assicura l’effetto utile dei diritti riconosciuti dal RGPD all’interessato e, dall’altro, i diritti o le libertà altrui, si deve effettuare un bilanciamento tra i diritti e le libertà in questione. Ove possibile, occorre scegliere modalità che non ledano tali diritti o tali libertà.
Infine, la Corte dichiara che la circostanza che il titolare del trattamento eserciti un’attività bancaria nell’ambito un’attività regolamentata e che la persona i cui dati personali sono stati trattati in qualità di cliente del titolare del trattamento sia stata anche dipendente di detto titolare non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona.
(Fonte: Comunicato Stampa 107/2023 - Titolarità dei contenuti: Corte di Giustizia UE).
Nella sua risposta del 30 agosto 2018, la Pankki S ha rifiutato di comunicare l’identità degli impiegati che avevano svolto le operazioni di consultazione con la motivazione che tali informazioni costituivano dati personali di detti impiegati. Per contro, la Pankki S ha fornito precisazioni in merito a tali operazioni di consultazione, svolte dal suo servizio di audit interno, affermando che un cliente della banca di cui il richiedente era il consulente alla clientela era creditore di una persona che aveva lo stesso cognome del richiedente. Pertanto, la banca aveva voluto chiarire se il richiedente e il debitore in questione fossero la stessa persona e se vi fosse stato un eventuale rapporto di conflitto di interessi inappropriato.
La Pankki S ha aggiunto che per chiarire tale questione era stato necessario trattare i dati in questione, precisando che tutti gli impiegati della banca che avevano svolto il trattamento di tali dati avevano rilasciato al servizio di audit interno una dichiarazione in merito ai motivi di detto trattamento dei dati. Inoltre, la banca ha dichiarato che tali consultazioni hanno consentito di fugare qualsiasi sospetto di conflitto di interessi per quanto riguarda il richiedente.
Il richiedente ha adito l’Ufficio del Garante per la protezione dei dati personali della Finlandia, affinché fosse ingiunto alla Pankki S di comunicargli le informazioni richieste. Dato che tale domanda è stata respinta, il richiedente ha proposto ricorso dinanzi al Tribunale amministrativo della Finlandia orientale, che chiede alla Corte di giustizia di interpretare l’articolo 15 del regolamento generale sulla protezione dei dati (RGPD).
Nella sua sentenza la Corte rileva, anzitutto, che il RGPD, applicabile dal 25 maggio 2018, si applica a una domanda presentata successivamente a tale data allorché essa riguarda operazioni di trattamento di dati personali effettuate prima della data di entrata in vigore del RGPD.
La Corte rileva, poi, che il RGPD dev’essere interpretato nel senso che le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento.
Per contro,il RGPD non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti che hanno svolto tali operazioni conformemente alle istruzioni del titolare del trattamento, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga debito conto dei diritti e delle libertà di tali dipendenti. Infatti, in caso di conflitto tra, da un lato, l’esercizio di un diritto di accesso che assicura l’effetto utile dei diritti riconosciuti dal RGPD all’interessato e, dall’altro, i diritti o le libertà altrui, si deve effettuare un bilanciamento tra i diritti e le libertà in questione. Ove possibile, occorre scegliere modalità che non ledano tali diritti o tali libertà.
Infine, la Corte dichiara che la circostanza che il titolare del trattamento eserciti un’attività bancaria nell’ambito un’attività regolamentata e che la persona i cui dati personali sono stati trattati in qualità di cliente del titolare del trattamento sia stata anche dipendente di detto titolare non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona.
(Fonte: Comunicato Stampa 107/2023 - Titolarità dei contenuti: Corte di Giustizia UE).
