Il Garante privacy ha sanzionato un'agenzia investigativa: violati i principi di minimizzazione e di eccedenza e non pertinenza

Investigatore privato e dati personali

[Torna su]

È ormai noto come l'investigatore privato possa trattare dati personali senza il consenso degli interessati allorquando la finalità è la tutela di un diritto in sede giudiziaria. È pacifico che tale circostanza debba risultare da atto scritto; è valida per il tempo strettamente necessario allo svolgimento dell'investigazione; è obbligatorio eliminare tutti i dati eccedenti e non pertinenti la finalità prevista dall'investigazione, riconducibili a persone identificate o identificabili estranee all'indagine.

Sanzione garante privacy

[Torna su]

Proprio di recente, il Garante privacy (con provvedimento n. 9718933) ha sanzionato un'agenzia investigativa per violazione dei principi di minimizzazione e di eccedenza e non pertinenza.

Il caso

Una agenzia investigativa ha ricevuto l'incarico, da un istituto di credito, di pedinare la loro dipendente in quanto la banca riteneva che ella stesse violando il patto di non concorrenza attraverso l'utilizzo improprio di permessi e ferie giustificati dalla necessità di prestare cure alla madre. Quest'ultima, venuta a conoscenza del fatto, ha presentato ricorso al Garante nei confronti dell'agenzia investigativa lamentando l'illecita acquisizione, trattamento e diffusione dei propri dati personali.

Al termine dell'investigazione, l'agenzia investigativa ha infatti consegnato alla banca un rapporto informativo con il dettaglio dell'esito delle indagini, utilizzato poi dall'istituto di credito per le proprie contestazioni. La sig.ra ha però lamentato che nel rapporto si legge "la malattia della madre che potrebbe essere Alzheimer"; "una telefonata in merito alla visita che effettuerà la madre alle ore 19"; "il target giunge presso l'istituto dove è ricoverata la madre".

In via preliminare il Garante ha chiesto all'agenzia investigativa di produrre copia del mandato investigativo; copia delle annotazioni sul giornale degli affari; indicazione del motivo per il quale nella relazione investigativa sono presenti i dati personali relativi alla salute della madre della persona oggetto di indagine.

L'agenzia investigativa, dopo aver consegnato quanto richiesto, ha depositato una memoria precisando di essersi dovuta necessariamente concentrare sulle condizioni di salute della signora, in quanto i permessi venivano espressamente giustificati dalle stesse condizioni. L'investigatore ha aggiunto di non aver mai menzionato il nome della signora, né altri dati personali della stessa e/o elementi caratteristici della sua identità fisica.

Illecito trattamento dei dati

[Torna su]

Le argomentazioni difensive dell'agenzia investigativa sono parzialmente fondate. Vero è che l'incarico investigativo comportava la necessità di accertare se la signora utilizzasse effettivamente i permessi richiesti per assistere la madre, tanto che le informazioni relative ad un possibile stato patologico della madre ed alle conseguenti probabili necessità di assistenza da parte della figlia appaiono conferenti all'oggetto del mandato (art. 9, par. 2, lett. f), del GDPR). Purtuttavia, l'indicazione della specifica malattia di cui era presumibilmente affetta la reclamante, presente nella relazione investigativa, non ha alcuna rilevanza ai fini dell'espletamento degli accertamenti commissionati.

L'argomento difensivo espresso dall'investigatore - secondo cui il rapporto investigativo non menziona mai il nome della signora né altri dati personali della stessa e/o elementi caratteristici della sua identità fisica specifica - è infondato in quanto, ancorché non siano indicate le generalità della reclamante, essa è individuata quale madre della signora, ossia tramite un elemento identificativo specifico e puntuale che la rende identificabile, ai sensi dell'art. 4, paragrafo 1, n.1), del GDPR.

L'ostensione della patologia specifica di cui è presumibilmente affetta la reclamante risulta pertanto illecita, in quanto effettuata in violazione dell'art. 5, comma 1, lettera c), del GDPR, secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Violazione art. 5 Gdpr

[Torna su]

Il Garante ha quindi dichiarato l'illiceità del trattamento dei dati della reclamante per violazione delle disposizioni di cui all'articolo 5 del GDPR. L'investigatore non avrebbe dovuto trattare i dati riguardanti la specifica patologia della donna, sia perché ininfluenti rispetto all'indagine, sia e soprattutto perché la donna è stata resa identificabile in quanto indicata come madre della persona oggetto di indagine. Considerando che la condotta illecita ha esaurito i suoi effetti; che il trattamento di dati personali relativi allo stato di salute era legittimo ma eccedente; che il numero di interessati al trattamento è limitato ad uno; che non risultano eventuali precedenti violazioni commesse dal titolare del trattamento; che non risultano elementi tali da fare ritenere il carattere doloso dell'investigatore; il Garante ha ritenuto che non ricorressero i presupposti per infliggere la sanzione amministrativa pecuniaria di cui all'art. 58, par. 2, lett. i) del Regolamento. Ha quindi inflitto all'agenzia investigativa la sanzione dell'ammonimento.

G. L. Rabita

Presidente della Leonardo Intelligence

Tenente dei Carabinieri in congedo

A. Pedicone

Consigliere per gli Studi Legislativi - Leonardo Intelligence

Analista di intelligence internazionale

Leonardo Intelligence

Comitato per gli Studi legislativi

Via Fasana 28, 00195 Roma

www.leonardointelligence.it - info@leonardointelligence.it


Foto: 123rf.com
In evidenza oggi: