Estratto SIG – Diritto di cancellazione dei dati
L’autorità di supervisione spagnola ha sanzionato una banca di quel paese per l’importo di € 100.000 per aver mal gestito l’esercizio del diritto di cancellazione operato da un interessato ex-cliente.
Il diritto di cancellazione, spesso confuso con il diritto di de-indicizzazione dai motori di ricerca online (o diritto all’oblio) anche a causa della rubrica dell’articolo 17 GDPR e della apparente equiparazione operata nel Considerando (67), presenta qualche asperità interpretativa riguardo alle modalità attuative del suo esercizio.
Si vedano, al riguardo, le linee guida 5/2019 dell’EDPB.
La legge spagnola
La legge spagnola è intervenuta in merito alla cancellazione stabilendo che «il titolare è obbligato a bloccare i dati quando procede alla loro rettificazione o cancellazione» (art. 32 – Blocco dei dati).
L’articolo 32 della legge spagnola prosegue:
«1. Il blocco dei dati consiste nell’individuazione e nella limitazione degli stessi, adottando misure tecniche e organizzative, per prevenirne il trattamento, compresa la visualizzazione, fatta eccezione per l’accesso dei dati ai giudici e alle procure, al Ministero delle Finanze o alle pubbliche amministrazioni competenti, in particolare alle autorità di supervisione per la protezione dei dati, per l’accertamento di eventuali responsabilità derivanti dal trattamento e solo per il periodo di prescrizione di tale responsabilità.
- I dati bloccati non possono essere trattati per scopi diversi da quelli indicati nel comma precedente.
Dopo questo periodo, i dati devono essere distrutti.».
Fatti
Un soggetto aveva esercitato il proprio diritto di cancellazione nei riguardi di una banca non intrattenendo più alcun rapporto con essa. La banca nel dare esecuzione a tale diritto aveva bloccato i dati personali sui propri sistemi inibendone anche la visualizzazione, con specifica annotazione di blocco.
Successivamente, l’interessato si era rivolto alla medesima banca al fine di aprire un conto corrente,ricevendo come risposta che l’operazione non era allo stato possibile in quanto i sistemi aziendali già contenevano i dati di contatto dell’interessato ma che gli stessi risultavano bloccati, in riscontro all’esercizio del diritto di cancellazione da lui stesso operato. Secondo la banca, per risolvere il problema, l’interessato avrebbe dovuto far pervenire alla banca una lettera di revoca della cancellazione, in modo da consentire all’istituto di rimuovere il blocco e, di conseguenza, di poter (ri)utilizzare l’anagrafica già memorizzata.
La cancellazione non ammette revoca
L’autorità di supervisione spagnola ha preliminarmente evidenziato che il diritto di cancellazione può essere esercitato quando si è esaurita la finalità per cui i dati sono stati raccolti o erano trattati: nel caso di una banca, ad esempio, quando i rapporti contrattuali con la clientela sono terminati (fermo restando che la banca può essere legittimata a conservare gli stessi dati per altre finalità, ad esempio, a fini antiriciclaggio).
Se un rapporto contrattuale cessa, parallelamente termina il pertinente trattamento di dati personali; se successivamente si costituisce un ulteriore e distinto rapporto contrattuale, avrà inizio un corrispondente, nuovo trattamento.
«Il GDPR non prevede che il diritto di cancellazione possa essere revocato. La tesi della banca confonde il diritto di cancellazione con uno degli effetti che la cancellazione dei dati può avere, che nei rapporti contrattuali è solitamente quello della cancellazione con effetti di blocco dei dati, cioè l’uso dei dati per gestire eventuali responsabilità (ad esempio, per affrontare eventuali azioni civili derivanti dal rapporto con l’interessato o obblighi di informazione nelle indagini fiscali, per prevenzione o accertamento di reati o per contrasto al riciclaggio di denaro).».
Decisione dell’AEPD
Il blocco dei dati, pertanto, non può costituire un ostacolo ad un nuovo trattamento per uno scopo nuovo o diverso per il quale «non è nè necessario nè tanto meno obbligatorio salvare i dati relativi ad un altro rapporto precedente o revocare la richiesta di cancellazione degli stessi. Quando viene stabilito un nuovo rapporto contrattuale con l’istituto finanziario, i dati cancellati e, se del caso, bloccati non possono essere recuperati.
Se viene avviato un nuovo rapporto, (…) anche se fossero gli stessi scopi e basi giuridiche, non vi sarebbe alcuna legittimità a utilizzare, attraverso l’inadeguato requisito della revoca del diritto di cancellazione, le informazioni relative ai trattamenti precedenti.».
Questa prassi della banca costituisce violazione del diritto di cancellazione di cui all’articolo 17 del regolamento, da cui la sanzione.