Home
Network ALL-IN
Quotidiano
Specializzazioni
Rubriche
Strumenti
Fonti
22 giugno 2023
Data e ragioni della consultazione dei propri dati personali costituiscono informazioni che chiunque ha diritto di conoscere

Non incide sulla portata di tale diritto la circostanza che il titolare del trattamento sia una banca. Tuttavia, non possono essere comunicate le identità di coloro che hanno svolto le operazioni di consultazione.

La Redazione

Un dipendente, e anche cliente di una banca, chiedeva che gli fossero comunicate le identità delle persone interne all'istituto che avevano consultato i suoi dati personali, comprese le date esatte delle consultazioni e le finalità del trattamento di detti dati.

La banca rifiutava detta richiesta con la motivazione che tali informazioni costituivano dati personali degli impiegati coinvolti nelle operazioni di consultazione. Tuttavia, lo stesso istituto di credito aveva chiarito che il motivo della consultazione dei dati personali del dipendente era stato quello di risolvere un caso di omonimia tra lui e un creditore della banca per rilevare la presenza di un eventuale conflitto di interessi inappropriato. Inoltre, tutti gli impiegati coinvolti avevano rilasciato al servizio di audit interno una dichiarazione in merito ai motivi di detto trattamento dei dati.

Il richiedente adiva l'Ufficio del Garante per la protezione dei dati personali della Finlandia, affinché fosse ingiunto alla banda di comunicargli le informazioni richieste. Respinta tale domanda, il richiedente proponeva ricorso dinanzi al Tribunale amministrativo della Finlandia orientale, il quale chiede alla CGUE di interpretare l'art. 15 del Reg. UE 2016/679 (RGPD).

Con sentenza nella causa C-579 del 22 giugno 2023, la CGUE rileva, anzitutto, che il RGPD, applicabile dal 25 maggio 2018, si applica a una domanda presentata successivamente a tale data allorché essa riguarda operazioni di trattamento di dati personali effettuate prima della data di entrata in vigore del RGPD.

Proseguendo nelle sue argomentazioni, la Corte osserva che il Regolamento generale sulla protezione dei dati personali deve essere interpretato nel senso che «le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento».

Tuttavia, lo stesso Regolamento EU non riconosce il diritto a ottenere le informazioni relative all'identità dei dipendenti che hanno svolto le operazioni di consultazione «a menoche tali informazioni siano indispensabili per consentire all'interessato di esercitare effettivamente i diritti che gli sono conferiti dal regolamento e a condizione che si tenga debito conto dei diritti e delle libertà di tali dipendenti».

Pertanto, si deve effettuare un bilanciamento tra i diritti di tutti i soggetti coinvolti.

Infine, la Corte dichiara che la circostanza che il titolare del trattamento eserciti un'attività bancaria nell'ambito un'attività regolamentata non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona.