[doc. web n. 10009296]

Provvedimento del 7 marzo 2024

Registro dei provvedimenti
n. 160 del 7 marzo 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato il 31 luglio 2023 ai sensi dell’art. 77 del Regolamento dalla Sig.ra XX nei confronti di BdM Banca S.p.a. (già Banca popolare di Bari S.p.a.);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti dell’istituto di credito e l’attività istruttoria.

Con il reclamo presentato a questa Autorità il 31 luglio 2023, la Sig.ra XX ha lamentato di non aver ottenuto idoneo riscontro, da parte di Banca popolari di Bari S.p.a. (di seguito “BdM Banca” o “l’istituto di credito” o “la banca”), a una richiesta di accesso ai dati personali formulata ai sensi degli artt. 15 del Regolamento e 2-terdecies del Codice in qualità di erede del padre deceduto.

In particolare la reclamante ha rappresentato come, a seguito dell’istanza del 16/3/2023, l’istituto di credito, più volte sollecitato, abbia dapprima comunicato che a nome del de cuius, “nato il (…) non risulta[va] alcun rapporto”, mentre a seguito di ulteriori interlocuzioni, in data 6/6/2023, ha invece affermato che erano “presenti rapporti a nome del de cuius” omettendo, tuttavia, di fornire i dati richiesti.

A seguito dell’invito formulato dall’Ufficio a fornire osservazioni in ordine ai fatti oggetto di reclamo, nonché ad aderire spontaneamente alle istanze formulate dalla reclamante, la Banca, con nota del 18/9/2023 (indirizzata alla reclamante e contestualmente all’Autorità), nel trasmettere copia della nota datata 4/9/2023 (poi inviata il 14/9/2023) con la quale era stato fornito all’interessata un riscontro parziale, ha altresì comunicato che “la copia integrale degli estratti conto e delle movimentazioni relativa agli ultimi 10 anni del rapporto di conto corrente” poteva essere acquisita solo a seguito di un accesso agli atti e documenti bancari, formulato ai sensi dell’art. 119 del d.lgs. 385/1993 (c.d. T.u.b.) 

In pari data, la reclamante, nel dichiararsi insoddisfatta del riscontro ottenuto, ha rinnovato ulteriormente la sua richiesta di accesso a tutti i dati riferiti al de cuius “comunque detenuti e conservati, senza esclusione di sorta e non ancora comunicati […]”; quindi, a seguito di ulteriori interlocuzioni tra le parti, la Banca, con nota del 2/10/2023 - inviata alla reclamante e all’Autorità -, ha comunicato di avere provveduto “in data odierna a trasmettere copia degli estratti conto relativi agli ultimi dieci anni riferiti al conto corrente n. (…) intestato al de cuius (…), previo oscuramento dei dati di terzi”.

Per quanto sopra, con nota del 9/10/2023, l’Ufficio ha provveduto a notificare alla Banca l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione degli artt. 12, par. 3 e 4 e 15 del Regolamento.

Con la medesima nota la Banca è stata invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

L’istituto di credito, il 25/10/2023, ha fatto pervenire i propri scritti difensivi, che qui integralmente si richiamano, con i quali, nel descrivere l’impegno profuso nella formazione e sensibilizzazione del personale al rispetto dei principi in materia di protezione dati personali, - anche attraverso l’adozione di una “Policy di gruppo” e di un “Manuale privacy” al cui interno è disciplinata la “Procedura operativa per la gestione dei diritti degli interessati” -, ha evidenziato come “l'omesso tempestivo riscontro alla iniziale richiesta del 16 marzo 2023 ed ai successivi solleciti sia stato determinato da una serie di disguidi operativi riconducibili a tre specifiche circostanze”. In particolare:

a) “erroneo indirizzamento” dell’istanza di accesso ai dati personali riferiti al de cuius su una casella di posta elettronica “formalmente destinata alla ricezione di richieste aventi finalità diverse e non ad una delle due caselle di posta del DPO (ordinaria e pec) specificatamente individuate per la gestione ed il riscontro delle richieste degli interessati, come riportate chiaramente nella sezione "Privacy" del nostro sito e sulla informativa privacy alla clientela, anche disponibile sul sito della Banca. Il corretto invio della richiesta ad uno dei due indirizzi del DPO avrebbe certamente garantito il corretto inquadramento della questione ed il tempestivo riscontro nei termini previsti dalla normativa di riferimento”;

b) “errato convincimento circa la insussistenza di rapporti intestati al de cuius, così come identificato nell'ambito della dichiarazione sostitutiva di notorietà prodotta dall'avvocato in allegato alla richiesta medesima; detta circostanza (indicazione erronea della data di nascita) aveva, in un primo momento, indotto l'U.O. Pignoramenti e successioni a non riscontrare tempestivamente la richiesta ritenendo di non essere, la Banca, reale destinataria della richiesta medesima”;

c) “errato inquadramento della richiesta da parte della unità organizzativa destinataria della originaria istanza del 16 marzo 2023, che l'ha trattata e gestita alla stregua di una richiesta afferente all'apertura di una pratica successoria, come dimostrato altresì dalla richiesta avanzata dalla medesima struttura in data 6 giugno u.s. di integrazione della documentazione necessaria alla definizione della pratica stessa”.

Nella medesima memoria, la Banca, nell’osservare di non essere mai stata destinataria di alcun provvedimento correttivo da parte dell’Autorità, ha evidenziato di essersi “prontamente attivata al fine di attenuare le conseguenze negative scaturite dalla prospettata violazione”, non solo “pianificando per il mese di novembre 2023 una specifica attività di formazione alla Struttura centrale deputata a ricevere le richieste di dati e di documenti ed a quella preposta alla gestione delle pratiche successorie”, ma anche predisponendo e pubblicando :

a) “con visualizzazione su base bimestrale, apposita comunicazione di sensibilizzazione, tramite avviso sull'home page della intranet aziendale, finalizzata a ribadire la necessità, di interessare entro il breve termine previsto in normativa interna (entro il giorno successivo alla ricezione), l'ufficio del DPO in caso di richieste di esercizio dei diritti degli interessati ovvero di richieste che contengano qualsiasi riferimento normativo alla normativa in tema di protezione dei dati personali o di dubbio in ordine all'inquadramento della richiesta”;

b) “sul sito internet di BdM (www.popolarebari.it) alla sezione "istituzionale" un link di rimando alla sezione Privacy, ove sono riportate le informazioni per indirizzare correttamente le richieste di esercizio dei diritti degli interessati”.

2. La normativa in materia di protezione dei dati personali.

L’art. 12 del Regolamento dispone che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte […] le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento” (par. 1) e che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2).

Il paragrafo 3 del medesimo articolo precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due 6 mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.

In base al paragrafo 4 del medesimo articolo il titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

L’art. 15, par. 1, del Regolamento dispone altresì che “l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali e alle […] informazioni [indicate nello stesso articolo 15].

L’art. 2-terdecies, comma 1, del Codice, infine, prevede che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

3. L’esito dell’istruttoria e le valutazioni dell’Autorità.

All’esito della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Banca non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dalla reclamante, entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”), né ha provveduto ad informare l’interessata, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4 del Regolamento).

Solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità, infatti, l’istituto di credito (in data pari a quella dell’invito ad aderire) ha fornito all’interessata un primo riscontro parziale, che è stato integrato, nei giorni successivi, mediante consegna della documentazione richiesta.

Con riferimento a quanto sostenuto dalla Banca in merito alle ragioni che hanno determinato il ritardo nel riscontro (errato indirizzamento dell’istanza di accesso ad una casella di posta elettronica formalmente destinata alla ricezione di richieste aventi finalità diverse rispetto all’esercizio dei diritti), deve rammentarsi che le “Guidelines 01/2022 on data subject rights - Right of access”, adottate dall’EDPB il 18 gennaio 20222022 (sottoposte a consultazione pubblica conclusa l’11 marzo 2022), chiariscono che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso (v. Guidelines 01/2022 cit., punto 52 “the GDPR does not impose any requirements on data subjects regarding the form of the request for access to the personal data. Therefore, there are in principle no requirements under the GDPR that the data subjectsmust observe when choosing a communication channel through which they enter into contact with the controller” trad. non ufficiale “il Regolamento generale sulla protezione dei dati non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Pertanto, in linea di principio, non vi sono requisiti che l'interessato sia tenuto a rispettare al momento di scegliere un canale di comunicazione attraverso il quale entrare in contatto con il titolare del trattamento dei dati”).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2 del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

L’omesso riscontro all’istanza di accesso presentata dalla reclamante ai sensi dell’art. 2- terdecies del Codice, risulta infatti illecito, nei termini su esposti, in relazione all’art. 12 del Regolamento; d’altro lato, relativamente alla richiesta di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento”, considerato che la Banca, contestualmente all’avvio del procedimento istruttorio da parte dell’Autorità, accertato il disguido, ha provveduto a fornire alla reclamante un primo riscontro e che lo stesso è stato successivamente integrato mediante consegna di tutta la documentazione bancaria riferita al de cuius (senza l’applicazione dei costi normativamente previsti dall’art. 119 del Testo unico bancario), non sussiste il presupposto per l’adozione di un provvedimento ingiuntivo da parte dell’Autorità medesima (art. 58, par. 2, lett. c) e d)).

Si prende inoltre atto che la Società ha provveduto alla messa a punto di articolate misure organizzative per la gestione delle istanze relative all’esercizio dei diritti ex artt. 15-22 del Regolamento, con particolare riguardo alla necessità di una corretta e tempestiva individuazione delle stesse.

Pertanto, il reclamo presentato ai sensi dell’art. 77 del Regolamento deve ritenersi fondato e questa Autorità, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

5. Ordinanza di ingiunzione.

La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. b), del Regolamento.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

a) la rilevante natura della violazione, che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati;

b) il grado di responsabilità del titolare che risulta attenuato in quanto lo stesso, non appena avuta contezza della violazione, ha provveduto a fornire all’interessata le informazioni richieste;

c) le misure adottate dal titolare per attenuare le conseguenze negative derivanti dall’illecito, tra cui la consegna di copia della documentazione bancaria riferita al de cuius relativa agli ultimi dieci anni;

d) la collaborazione con l’Autorità nel corso del procedimento;

e) l’esiguo numero di interessati coinvolti (uno);

f)  le misure organizzative apprestate al fine di garantire il tempestivo ed adeguato riscontro alle istanze di esercizio dei diritti;

g) l’assenza di precedenti violazioni per la medesima fattispecie a carico di BdM Banca S.p.a. (già Banca popolare di Bari S.p.a.), (v. art. 83, par. 2, e cons. 148 del Regolamento).

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti riferiti al bilancio d’esercizio per l’anno 2022 ed è stato, altresì, considerato che il titolare non è mai stato destinatario di provvedimenti di cui all’art.  58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila) per la violazione dell’art. 12, par. 3 e 4, del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione dell’art.12, par. 3 e 4, del Regolamento.

ORDINA

a BdM Banca S.p.a. (già Banca popolare di Bari S.p.a.) con sede legale in Corso Cavour n. 19 – Bari – C.F. 00254030729, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima BdM Banca S.p.a. di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 7 marzo 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia       

IL SEGRETARIO GENERALE
Mattei