Le agenzie investigative possono trattare dati personali senza il consenso dei diretti interessati quando l’obiettivo è far valere o difendere un diritto in sede giudiziaria. Tuttavia, questa facoltà non è illimitata e deve rispettare rigorosamente i principi stabiliti dal Regolamento Generale sulla Protezione dei Dati (GDPR). Un recente provvedimento del Garante per la protezione dei dati personali ha ribadito questi limiti, sanzionando un’agenzia che aveva raccolto informazioni eccedenti e non pertinenti.
Il caso: l’indagine su un dipendente e i dati di un familiare
La vicenda ha origine da un incarico conferito da un istituto di credito a un’agenzia investigativa. La banca sospettava che una sua dipendente violasse il patto di non concorrenza, utilizzando in modo improprio i permessi richiesti per assistere la madre malata. L’agenzia ha quindi avviato un’attività di pedinamento e controllo.
Al termine delle indagini, l’investigatore ha consegnato alla banca una relazione dettagliata. All’interno del documento, però, erano presenti informazioni specifiche sullo stato di salute della madre della dipendente, persona estranea all’indagine. In particolare, si faceva riferimento a una possibile patologia (Alzheimer) e a visite mediche programmate. Venuta a conoscenza di ciò, la madre ha presentato un ricorso al Garante Privacy, lamentando il trattamento illecito dei suoi dati personali.
I principi GDPR violati: pertinenza e minimizzazione
L’agenzia investigativa si è difesa sostenendo che le informazioni sulla salute della madre fossero necessarie per verificare la legittimità dei permessi della figlia. Ha inoltre affermato di non aver mai menzionato il nome della signora, rendendola a suo dire non identificabile.
Il Garante ha respinto queste argomentazioni. Sebbene fosse legittimo accertare le necessità di assistenza, l’indicazione della specifica malattia era considerata un dato eccedente e non pertinente rispetto alla finalità dell’indagine. Questo viola l’articolo 5 del GDPR, che impone il rispetto dei seguenti principi:
- Minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto strettamente necessario per le finalità del trattamento.
- Pertinenza: le informazioni raccolte devono avere un legame diretto e logico con l’obiettivo dell’indagine.
Inoltre, il Garante ha chiarito che la madre era chiaramente identificabile, anche senza l’indicazione del nome, attraverso il suo legame di parentela con la dipendente. La diffusione di dati sensibili, come quelli sulla salute, in modo non necessario costituisce quindi un trattamento illecito.
La decisione del Garante e le conseguenze
Sulla base di queste violazioni, il Garante ha dichiarato illecito il trattamento dei dati relativi alla salute della reclamante. Tuttavia, ha deciso di non infliggere una sanzione pecuniaria, optando per un ammonimento. Questa scelta è stata motivata da alcune circostanze attenuanti:
- La condotta illecita aveva ormai esaurito i suoi effetti.
- Il numero di persone interessate dalla violazione era limitato a una sola.
- Non risultavano precedenti violazioni a carico dell’agenzia.
- Non è stato riscontrato un carattere doloso nella condotta dell’investigatore.
La decisione sottolinea comunque che anche in assenza di una multa, la violazione delle norme sulla privacy viene accertata e sanzionata, servendo da monito per tutti gli operatori del settore.
Cosa significa per i consumatori e come tutelarsi
Questo caso è un importante promemoria per tutti i cittadini. Anche se non si è direttamente coinvolti in un’indagine, i propri dati personali, specialmente quelli sensibili come le informazioni sulla salute, sono protetti dalla legge. Nessuno può raccogliere o utilizzare queste informazioni se non è strettamente necessario e pertinente allo scopo dichiarato.
Se si sospetta che i propri dati siano stati raccolti o utilizzati in modo improprio, è possibile esercitare i propri diritti. Ogni cittadino può presentare un reclamo formale al Garante per la protezione dei dati personali per segnalare una presunta violazione e chiedere un intervento a propria tutela. È fondamentale essere consapevoli che la protezione della privacy si estende a chiunque, anche a soggetti terzi coinvolti indirettamente in vicende altrui.
Per assistenza o per segnalare il tuo caso, contatta Sportello Consumatori.
Per assistenza contatta Sportello Consumatori
Via Fratelli Cervi 64, 00053 Civitavecchia
Segreteria telefonica e WhatsApp: 0766036164
Email: contattaci@sportelloconsumatori.org
