| Garante per la protezione dei dati personali PROVVEDIMENTO DEL 22 NOVEMBRE 2012 Registro dei provvedimenti n. 365 del 22 novembre 2012 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici, componente e del dott. Giuseppe Busia, segretario generale; VISTOil ricorso, regolarizzato il 4 luglio 2012, proposto nei confronti di ZurichInsurance Plc, con cui XY, dipendente della predetta compagnia assicurativa esottoscrittore della polizza vita "Somilia", in relazione alla"visibilità - in una piattaforma informatica denominata "Estratto contocliente - a tutti i dipendenti abilitati" delle somme dallo stessoversate nella predetta polizza di accantonamento, ha ribadito la richiesta,previamente avanzata ai sensi dell'art. 7 del d.lg. 30 giugno 2003, n. 196(Codice in materia di protezione dei dati personali), volta ad ottenere latrasformazione in forma anonima dei dati personali che lo riguardano dal citato "Estratto conto cliente"; VISTIgli ulteriori atti d'ufficio e, in particolare, la nota del 12 luglio 2012 conla quale questa Autorità, ai sensi dell'art. 149 del Codice, ha invitato iltitolare del trattamento a fornire riscontro alle richieste dell'interessato,nonché l'ulteriore nota del 2 ottobre 2012 con cui è stata disposta la prorogadel termine per la decisione sul ricorso; VISTAla nota pervenuta via fax il 23 luglio 2012, con la quale il titolare deltrattamento, nel precisare di avere già fornito riscontro alle richieste delricorrente con e-mail del 29 dicembre 2011 (di cui ha allegato copia), haaffermato che "tutti i dati inseriti nel sistema informatico denominato"Estratto conto cliente", compresi i dati relativi ai premi versati,sono protetti da misure di sicurezza che garantiscono l'accesso unicamente aisoggetti abilitati. Il sistema è infatti di tipo "chiuso", ovveroprotetto da credenziali di autenticazione personale (password) in possessounicamente dei dipendenti abilitati all'accesso per motivi di lavoro e delsingolo dipendente sottoscrittore della polizza (con accesso ristretto alla suaposizione personale)". Il titolare del trattamento ha quindi aggiunto che"i dati del ricorrente possono essere visionati unicamente dall'assicuratoe dai dipendenti che devono trattare i suddetti dati - ivi compresi idati relativi ai premi versati – per lo svolgimento delle propriemansioni lavorative e non sono in nessun modo diffusi o pubblicati" ;nella medesima nota la società resistente ha peraltro precisato che l'eventuale"cancellazione dall'estratto conto clienti dei premi versati comporterebbedi fatto l'impossibilità di svolgere alcune attività strettamente connesse alrapporto contrattuale"; VISTAla nota pervenuta via e-mail il 3 settembre 2012 con la quale il ricorrente,pur prendendo atto delle precisazioni della controparte in ordine all'utilizzodi password, ha ritenuto le predette "protezioni" non sufficienti,sottolineando che "i dati dovrebbero essere gestiti solamente dai colleghidel settore di competenza della polizza"; VISTAla nota anticipata via fax il 22 ottobre 2012 con la quale la societàresistente ha ulteriormente ribadito che "i dati relativi alla polizzasottoscritta dall'interessato sono protetti da misure di sicurezza che negarantiscono l'accesso - attraverso un processo di log-in specifico -unicamente ai soggetti abilitati, ovvero i dipendenti che necessitano ditrattare i dati per lo svolgimento delle proprie mansioni lavorative e ilsingolo dipendente" (allegando la documentazione tecnica descrittiva delsistema informatico di tipo "chiuso"); RILEVATOche, ai sensi dell'art. 7, comma 3, lett. b) del Codice, ogni interessato hadiritto di chiedere la cancellazione, la trasformazione in forma anonima o ilblocco dei dati personali soltanto ove essi siano trattati in violazione dilegge, oppure nel caso in cui la loro conservazione non sia necessaria inrelazione agli scopi per i quali essi sono stati raccolti o successivamentetrattati; RILEVATOche, nel caso in esame, il trattamento dei dati del ricorrente non risultaeffettuato in violazione della disciplina in materia di protezione dei dati personaliavendo la società resistente affermato, (con dichiarazione della cui veridicitàl'autore risponde ai sensi dell'art. 168 del Codice) di avere adottato misuredi sicurezza idonee a garantire l'accesso ai dati dell'interessato (come ditutti i sottoscrittori di polizze) unicamente allo stesso e ai soggettiautorizzati a svolgere le mansioni lavorative necessarie all'esecuzione delcontratto attualmente in essere con l'interessato medesimo; tenuto conto altresìche la resistente (che peraltro aveva fornito riscontro all'interessato giàprima della presentazione del ricorso), è comunque tenuta all'osservanza deldisposto dell'art. 2220 del cod. civ. relativamente all'obbligo diconservazione delle scritture contabili riferite al medesimo rapporto contrattuale; RITENUTO,quindi, di dover dichiarare il ricorso infondato; VISTAla documentazione in atti; VISTIgli artt. 145 e s. del Codice in materia di protezione dei dati personali(d.lg. 30 giugno 2003, n. 196); VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; RELATOREla dott.ssa Augusta Iannini; TUTTO CIO' PREMESSO IL GARANTE: dichiarail ricorso infondato. Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero. Roma, 22 novembre 2012
|