Sanzione da 100.000 euro a carico di un grande istituto di credito operante in Italia (premere qui per leggere) per il tardivo riscontro a una richiesta di accesso ai dati personali ex artt. 12 e 15 GDPR. Il caso nasce da un reclamo del novembre 2024: l’interessato, vittima di frode, chiedeva copia delle registrazioni delle telefonate effettuate al servizio clienti nella sera del 29 gennaio 2024. Il riscontro completo è pervenuto solo dopo l’avvio del procedimento dinanzi all’Autorità. Violati gli artt. 12, parr. 3-4, e 15 GDPR.
I fatti in breve
La banca aveva inizialmente comunicato di aver rintracciato un’unica chiamata (ore 20:58) priva di interazioni. Successivamente, a seguito delle richieste dell’Autorità, ha trasmesso anche le ulteriori registrazioni della stessa serata, scusandosi per un errore umano interno.
L’istituto ha ricondotto il disguido alla struttura in outsourcing del call center: ogni outsourcer vedeva solo le proprie conversazioni, salvo attivare un canale interno per recuperare le restanti. Meccanismo che non è stato attivato al primo giro di risposte.
Il quadro giuridico applicato
Art. 12, par. 3 GDPR: il titolare deve rispondere senza ingiustificato ritardo e entro un mese dalla richiesta. Art. 12, par. 4: se non intende dare seguito, deve motivare entro lo stesso termine e informare della possibilità di reclamo o ricorso. Art. 15 GDPR: diritto di accesso, che qui include le registrazioni telefoniche in quanto dati personali, secondo le Linee guida EDPB 01/2022 richiamate dal Garante.
Il Garante ha accertato che il riscontro è stato fornito solo dopo il reclamo e l’avvio del procedimento, ritenendo la condotta illecita. La violazione non è stata considerata “minore” per natura, gravità e modalità di emersione.
La decisione e la quantificazione
L’Autorità ha applicato una ordinanza-ingiunzione con sanzione di € 100.000 e pubblicazione del provvedimento sul sito istituzionale. In valutazione: collaborazione successiva, revisione dei processi (nuovo protocollo di verifica incrociata tra outsourcer, flussi aggiornati, formazione), numero esiguo di interessati (uno) e assenza di precedenti. Ma resta decisivo l’obbligo di rispondere nei termini e con completezza.
Perché il caso conta (anche oltre il settore bancario)
1 – Tempestività e tracciabilità. Il termine di un mese non è negoziabile. Serve un cruscotto DSR (data subject requests) con scadenze, escalation e prove di consegna.
2 – Osmosi tra sistemi e fornitori. Le architetture a silos (outsourcer/canali differenti) generano risposte monche. Occorre una vista unificata delle fonti: CRM, ticketing, IVR/registrazioni, log.
3 – Registrazioni telefoniche = dati personali. Devono essere ricercabili, estraibili e consegnabili in formato intellegibile e sicuro; attenzione al bilanciamento con i diritti dei terzi eventualmente coinvolti.
Punto chiave n. integralmente i dati oggetto di istanza. Clausole e SLA devono prevedere ricerche trasversali, verifiche incrociate, tempi di handover e canali d’emergenza.
In sintesi. Il provvedimento ribadisce che l’organizzazione del titolare non può ricadere sull’interessato. La complessità dei flussi o dell’outsourcing non giustifica ritardi o risposte parziali: i diritti vanno serviti, sempre e per intero.
The post LA SANZIONE DEL MERCOLEDI: accesso ai dati tardivo, banca multata 100mila euro first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.
