Il sig. A. si rivolge alla Casa di Cura B. con un’istanza ai sensi dell’articolo 15 del GDPR (il regolamento europeo per la privacy) per sapere se la clinica abbia stia trattando i suoi dati personali e, in caso affermativo, avere l’accesso ai suoi dati e a tutte le informazioni previste dall’articolo 15.
La Clinica non riscontra in alcun modo la richiesta del signor A., che si rivolge all’Autorità Garante per la Privacy con un reclamo. Nel corso del processo davanti all’Autorità Garante, la Casa di Cura B., su invito del Garante, ha finalmente riscontrato l’istanza del signor A.
Per difendersi, la Casa di Cura ha sostenuto di non aver riscontrato immediatamente l’istanza ex art. 15 GDPR perché la pec non era stata visualizzata in tempo reale dal sistema informatico a causa di una incolpevole impossibilità non dovuta a responsabilità della Clinica: il disco fisso del pc dell’operatrice C, dipendente della Casa di Cura e addetta alla ricezione delle pec, era andato in avaria, tant’è che si era reso necessario l’intervento del tecnico dalle ore 15:24 alle ore 16:41 del giorno in cui il signor A. aveva chiesto l’accesso ex art. 15.
La Casa di Cura, inoltre, sostiene di aver ammonito formalmente la dipendente per non avere scaricato, subito dopo il ripristino della sua postazione informatica, tutte le pec direttamente da webmail in locale, e di aver colto l’occasione per sensibilizzare tutto il personale sull'importanza di osservare la normativa in materia di privacy.
L’articolo 15 del GDPR impone tempi e modalità precise
L’articolo 15 del GDPR stabilisce che l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
- a) le finalità del trattamento;
- b) le categorie di dati personali in questione;
- c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- f) il diritto di proporre reclamo a un'autorità di controllo;
- g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
- h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
Quando si riceve un’istanza ex art. 15 GDPR, la stessa deve essere riscontrata senza ingiustificato ritardo e comunque, al più tardi, entro un mese dal ricevimento della stessa, con possibilità di prorogare tale termine a due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. In quest’ultimo caso l’interessato che ha formulato istanza ex art. 15 deve essere informato della proroga e dei motivi del ritardo, comunque entro un mese dal ricevimento della richiesta.
Secondo la giurisprudenza prevalente l’errore può dirsi scusabile quando il soggetto compie o omette un determinato comportamento in buona fede e nella convinzione che il suo comportamento sia lecito, purché l’evento lesivo (in questo caso l’omesso riscontro al signor A) non sia ovviabile con l’uso dell’ordinaria diligenza.
Leggi anche
Il Garante non accetta la scusa del guasto tecnico e sanziona la clinica
Il Garante ha ritenuto non sufficiente le prove del guasto tecnico fornite dalla Casa di Cura, poiché con l’ordinaria diligenza la struttura sanitaria, attraverso la sua dipendente addetta alla ricezione delle pec, avrebbe potuto e dovuto scaricare le pec da webmail subito dopo il ripristino della postazione informatica: in questo modo, l’istanza del signor A. sarebbe stata riscontrata nei termini di legge.
La Casa di Cura è stata condannata al pagamento di una sanzione pecuniaria di € 2.000,00 e alla pubblicazione integrale del provvedimento di condanna (la cosiddetta ordinanza ingiunzione) sul sito internet del Garante Privacy.