(AGENPARL) – Roma –  Giovedì 22 giugno 2023
Sentenza della Corte nella causa C-579/21 | Pankki S
Chiunque ha il diritto di conoscere la data e le ragioni per cui i suoi dati
personali sono stati consultati. La circostanza che il titolare del trattamento eserciti un’attività bancaria non incide sulla portata di tale diritto.
Nel 2014 un dipendente e, nel contempo, cliente della banca Pankki S è venuto a conoscenza del fatto che i suoi dati personali erano stati consultati da altri membri del personale della banca, in più occasioni, tra il 1° novembre e il 31 dicembre 2013. Nutrendo dubbi circa la liceità di tali consultazioni, tale dipendente che, nel frattempo, era stato licenziato dal suo impiego presso la Pankki S, ha chiesto a quest’ultima, il 29 maggio 2018, di comunicargli l’identità
delle persone che avevano consultato i suoi dati, le date esatte delle consultazioni nonché le finalità del trattamento di detti dati. Nella sua risposta del 30 agosto 2018, la Pankki S ha rifiutato di comunicare l’identità degli impiegati che avevano svolto le operazioni di consultazione con la motivazione che tali informazioni costituivano dati personali di detti impiegati. Per contro, la Pankki S ha fornito precisazioni in merito a tali operazioni di consultazione, svolte dal suo
servizio di audit interno, affermando che un cliente della banca di cui il richiedente era il consulente alla clientela era  creditore di una persona che aveva lo stesso cognome del richiedente. Pertanto, la banca aveva voluto chiarire se il richiedente e il debitore in questione fossero la stessa persona e se vi fosse stato un eventuale rapporto di conflitto di interessi inappropriato. La Pankki S ha aggiunto che per chiarire tale questione era stato necessario trattare i dati in questione, precisando che tutti gli impiegati della banca che avevano svolto il trattamento di tali dati avevano rilasciato al servizio di audit interno una dichiarazione in merito ai motivi di detto trattamento dei dati. Inoltre, la banca ha dichiarato che tali consultazioni hanno consentito di fugare qualsiasi sospetto di conflitto di interessi per quanto riguarda il richiedente.
Il richiedente ha adito l’Ufficio del Garante per la protezione dei dati personali della Finlandia, affinché fosse ingiunto alla Pankki S di comunicargli le informazioni richieste. Dato che tale domanda è stata respinta, il richiedente ha proposto ricorso dinanzi al Tribunale amministrativo della Finlandia orientale, che chiede alla Corte di giustizia di interpretare l’articolo 15 del regolamento generale sulla protezione dei dati (RGPD) 1. Nella sua sentenza odierna, la Corte rileva, anzitutto, che il RGPD, applicabile dal 25 maggio 2018, si applica a una domanda presentata successivamente a tale data allorché essa riguarda operazioni di trattamento di dati personali effettuate prima della data di entrata in vigore del RGPD.
La Corte rileva, poi, che il RGPD dev’essere interpretato nel senso che le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni,
costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento. Per contro, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei
dati) (GU 2016, L 119, pag. 1).
Direzione della Comunicazione
Unità Stampa e informazione curia.europa.eu il RGPD non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti che hanno svolto tali operazioni conformemente alle istruzioni del titolare del trattamento, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga debito conto dei diritti e delle libertà di tali dipendenti. Infatti, in caso di conflitto tra, da un lato, l’esercizio di un diritto di accesso che assicura l’effetto utile dei diritti riconosciuti dal RGPD all’interessato e, dall’altro, i diritti o le libertà altrui, si deve effettuare un bilanciamento tra i diritti e le libertà in questione. Ove possibile, occorre scegliere modalità che non ledano tali diritti o tali libertà.
Infine, la Corte dichiara che la circostanza che il titolare del trattamento eserciti un’attività bancaria
nell’ambito un’attività regolamentata e che la persona i cui dati personali sono stati trattati in qualità di cliente del titolare del trattamento sia stata anche dipendente di detto titolare non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona.
IMPORTANTE: Il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga
sottoposto un problema simile. Documento non ufficiale ad uso degli organi d’informazione che non impegna la Corte di giustizia.
Il testo integrale e la sintesi della sentenza sono pubblicati sul sito CURIA il giorno della pronuncia.
Restate in contatto!
Direzione della Comunicazione
Unità Stampa e informazione
curia.europa.eu