Se la banca vi negasse un finanziamento, sareste disposti a pagare 12 euro per conoscerne le motivazioni entro pochi minuti?
Questo è in sostanza ciò che veniva richiesto ai cittadini olandesi dal Bureau Krediet Registratie (BKR), tralasciando però che il diritto di accesso ai dati personali è essenzialmente gratuito.
La fondazione BKR, che nei Paesi Bassi si occupa di gestire il sistema di informazioni creditizie sulla solvibilità dei consumatori, aveva infatti stabilito le sue regole e previsto sostanzialmente due opzioni per evadere le richieste di esercizio dei diritti che il Gdpr riconosce agli interessati, ovvero in primis la procedura ordinaria, da espletare tramite lettera da spedire rigorosamente per posta con allegata fotocopia del documento di identità e la richiesta di ottenere gratuitamente una copia dei propri dati personali in formato cartaceo entro 28 giorni, oppure in alternativa per i più sbrigativi vi era una scorciatoia, ma attraverso l’attivazione di un abbonamento annuale a pagamento con costi trai 5 e i 12.50 euro, che in compenso permetteva di ricevere velocemente la documentazione in formato digitale, anche nel giro di pochi minuti.
Tutto quindi facile e veloce per le persone che pagavano, ma dall’altra parte i cittadini che non erano disposti a sborsare denaro per vedere rispettato un loro diritto finivano per essere penalizzati, tanto più per il fatto che non era consentito loro neppure di ripetere l’istanza di accesso più di una volta l’anno, con il rischio di spendere soldi e tempo per inviare una lettera che poteva essere poi ignorata senza neanche ricevere nessuna risposta.
Di fronte all’ennesimo caso in cui veniva trascurato il fatto che la tutela della privacy è un diritto fondamentale dell’individuo, l’autorità per la protezione dei dati olandese (Autoriteit Persoonsgegevens) non ha affatto assecondato questa disparità di trattamenti, e dopo aver indagato sul caso, ha affermato che, rispondendo alle istanze degli interessati, la BKR non offre loro un servizio ma ottempera ad un obbligo del Gdpr, per cui se il titolare ha le possibilità tecniche di evaderle entro un breve lasso di tempo dovrebbe effettivamente farlo in ogni caso, e non solo perché vi sono utenti disposti a pagare un abbonamento per visualizzarle online mentre gli altri devono attendere un mese prima di riceverle tramite posta.
L’autorità di controllo olandese ha quindi rilevato che, con le sue procedure la BKR stava violando l’articolo 12, paragrafo 5 del Gdpr, dove il Regolamento europeo sulla protezione dei dati specifica che le informazioni fornite sono gratuite, e che è possibile “addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti” solo quando le richieste dell’interessato “sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo”.
Anche sul limite imposto dalla BKR di non accettare più di una richiesta di accesso all’anno, la Autoriteit Persoonsgegevens ha voluto precisare che non è il numero delle istanze a determinare se esse possano essere considerate manifestamente eccessive o ripetitive ai fini dell’art. 12, paragrafo 5 del Gdpr, ma il titolare del trattamento “non può rifiutare di soddisfare la richiesta dell’interessato”, e indipendentemente dal numero di richieste di accesso presentate occorre valutare caso per caso per stabilire se ricorrano o meno i presupposti per richiedere un contributo spese, che non può quindi essere stabilito da un listino prezzi o attraverso un tariffario prefissato.
Come ormai noto, sull’inosservanza dei requisiti relativi ai diritti dell’interessato, il Regolamento UE 2016/679 (Gdpr) prevede sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato totale annuo globale del trasgressore, e l’autorità di controllo olandese non c’è andata proprio leggera, imponendo alla BKR una multa di 830.000 euro.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi