Provvedimento del 14 novembre 2024 [10091751]
Provvedimento del 14 novembre 2024 [10091751]
Condividi[doc. web n. 10091751]
Provvedimento del 14 novembre 2024
Registro dei provvedimenti
n. 706 del 14 novembre 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato il 18/1/2024 ai sensi dell’art. 77 del Regolamento dal Sig. XX nei confronti di Mediobanca Premier S.p.a.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. Il reclamo nei confronti dell’istituto di credito e l’attività istruttoria.
Con il reclamo presentato a questa Autorità in data 18/1/2024 il Sig. XX ha lamentato di aver ottenuto un riscontro inidoneo da parte di Mediobanca Premier S.p.a. (di seguito “Mediobanca” o “la banca” o “l’istituto di credito”) all’istanza di accesso ai dati personali, avanzata ai sensi dell’art. 15 del Regolamento.
In particolare, con la predetta istanza il reclamante, cointestatario insieme alla moglie di un rapporto di conto corrente presso Mediobanca e vittima di una frode per la quale è stata sporta denuncia alle autorità competenti, ha chiesto di avere accesso “ai dati contenuti nella registrazione della telefonata effettuata al call center della banca il 21 novembre 2023, alle ore 15.12”.
A seguito dell’invito, formulato dall’Ufficio il 6/3/2024 (prot. n. 27904), a fornire osservazioni in ordine ai fatti oggetto di reclamo nonché ad aderire spontaneamente alle istanze formulate dal reclamante, l’Istituto di credito, con comunicazione del 26/3/2024, inviata al reclamante e contestualmente all’Autorità, nell’evidenziare di essersi immediatamente attivato – dopo la segnalazione dell’interessato del 21 novembre 2023 - con l’Ufficio Monitoraggio e frodi al fine di bloccare i fondi sul conto corrente del beneficiario (fatto peraltro confermato dal reclamante in un colloquio intercorso con la banca il 22 dicembre 2023), ha precisato che:
la richiesta dell’interessato è stata “tempestivamente riscontrata, in senso negativo, dalla Banca il 27 novembre 2023”, come del resto confermato dallo stesso reclamante nella sua mail in pari data; infatti, “per tali fattispecie la banca tiene in considerazione quanto affermato dal Garante per la protezione dei dati personali nelle "Linee guida per trattamenti dati relativi al rapporto banca-clientela tl del 25 ottobre 2007, nonché nelle FAQ sull'accesso ai dati bancari, aggiornate in base al GDPR, nel rispetto della normativa giuslavoristica e della tutela dei dati personali dei terzi (quali, ad esempio, gli operatori del nostro servizio clienti) contenuti in tali registrazioni”;
in ragione di quanto sopra riportato è stato ritenuto che l’istanza del reclamante non fosse riconducibile all’esercizio del diritto di accesso di cui all’art. 15 del RGPD e la stessa “è stata gestita ai sensi dell’art. 119 del Decreto Legislativo n. 385 del 1993 ("Testo Unico Bancario")”; così “in data 22 novembre 2023 (…) la banca Le ha inviato copia della contabile del bonifico oggetto di contestazione e la lista movimenti”;
nella medesima nota (22/11/2023) la Banca, pur ribadendo il diniego a fornire le registrazioni telefoniche, ha comunicato i dati personali contenuti nella registrazione della telefonata del 21 novembre 2023, alle ore 15:12, raccolti da MBP per finalità di gestione della frode”; in particolare: nome e cognome, data e luogo di nascita, codice fiscale, titolo di studio, e-mail, numero di telefono cellulare e numero componenti nucleo famigliare.
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori dell’Autorità.
Alla luce di quanto sopra, l’Ufficio, con nota del 7/6/2024, ha provveduto a notificare alla Banca l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice per la violazione degli artt. 12, par. 3 e 4 e 15 del Regolamento.
Mediobanca, in data 5/7/2024, ha fatto pervenire le proprie memorie difensive sulla base dell’art. 18 della legge n. 689/1981, con le quali, nel rappresentare che “alla data di ricezione dell’Invito, la Banca riteneva di aver già soddisfatto la richiesta di accesso dell’Interessato e, al momento di ricezione della Notifica [di violazione], la Banca aveva già fornito integrale soddisfazione delle sue pretese (come dallo stesso poi confermato)”, ha formulato richiesta di audizione ed ha osservato, altresì, che:
a) “fermo restando che la vicenda trae purtroppo origine da un errore operativo da parte del servizio clienti, che non ha dato correttamente seguito alla richiesta di blocco dei codici personali di entrambi i cointestatari […], la Banca ha fornito un pronto seguito a ogni istanza dell’Interessato, ben prima dello scadere dei termini di risposta ad essa applicabili”. Infatti, “già il giorno successivo alla richiesta del Cliente, il 22 novembre 2023, la Banca ha inviato allo stesso un primo set documentale (cfr. all. 8-11 alla memoria). Meno di tre giorni dopo, la Banca ha ribadito la disponibilità a fornire ulteriori informazioni, ma che – sulla base delle proprie valutazioni, di seguito ampiamente dettagliate – non era possibile fornire le registrazioni delle telefonate intercorse (doc. 2). Inoltre, la Banca ha dato seguito all’Invito del 6 marzo 2024 comunicando, entro il termine assegnatole, i dati personali contenuti nella conversazione telefonica menzionata nel Reclamo (docc. 13-14), fermo restando che fino a questo momento – e anche successivamente – la Banca offriva un supporto costante nella gestione della questione. Da quanto sopra, risulta che la Banca ha reso in modo tempestivo e continuo “le informazioni relative all’azione intrapresa” (art. 12, par. 3, GDPR) riguardo alle richieste dell’Interessato, come anche confermato dallo stesso reclamante (docc. 12-17)”;
b) “MBP non ha mai negato il diritto di accesso” del reclamante. “Al contrario […] già a novembre 2023, la Banca ha diligentemente riscontrato l’Interessato, individuando il contenuto più idoneo per fornire riscontri funzionali a quanto manifestato dal Cliente, senza tuttavia esporsi al rischio di ledere i diritti dei terzi o di incorrere in violazioni del principio generale di minimizzazione. In un’ottica di ponderazione di tali opposte istanze degli interessati coinvolti, pur riconoscendo l’assolutezza e l’insindacabilità del diritto di accesso, la Banca ha trattato la questione con un approccio graduale e sostanziale, valorizzando le molteplici interlocuzioni intrattenute con il cliente – ivi incluse quelle ex art. 119 del d.lgs. n. 385/1993 – per meglio comprendere le istanze alla base della richiesta di accesso e, così, dare un riscontro via via più puntuale e mirato al caso di specie (evitando di produrre dati personali di terzi che, come poi dimostratosi, non avevano rilevanza ai fini della questione) […]. In questo contesto, la Banca ha inizialmente ritenuto che la richiesta di accesso di novembre 2023 potesse essere soddisfatta fornendo al Cliente i dati personali contenuti nella documentazione bancaria”; d’altra parte, la condivisione della registrazione telefonica “avrebbe potuto comportare effetti negativi per l’operatore telefonico”, con la conseguenza che il relativo trattamento di dati personali potesse “risultare in concreto, sproporzionato”;
c) “Senonché alla ricezione dell’Invito del Garante, la Banca ha appreso del reclamo e del potenziale errore nell’aver ritenuto ormai soddisfatta la richiesta dell’interessato a fronte delle positive interlocuzioni con lo stesso”; si è quindi “nuovamente attivata e ha fornito, come richiesto dall’Autorità, un ulteriore riscontro all’interessato”, comunicando allo stesso i dati contenuti nella registrazione, limitatamente “ai dati comunicati dall’interessato nel corso della chiamata” e “con una modalità diversa da quella originaria (trasmissione dei dati contenuti invece che del file audio)”; ciò sulla base di alcune considerazioni tra cui, in particolare, la non ostensibilità - stante “la necessità di tutelare i terzi“ – “della porzione di registrazione di maggior rilievo per il reclamante (gli stralci di voce dell’operatore […]”, il fatto che la “la voce dell’Interessato sarebbe stata irrilevante ai fini di una eventuale contestazione da parte del Cliente, proprio perché non vi è stato alcun disconoscimento o contestazione della telefonata da parte della Banca (ipotesi nella quale la Banca avrebbe invece fornito prontamente la registrazione)” nonché “le ulteriori dichiarazioni rese medio tempore dall’interessato che confermavano i motivi alla base della richiesta (necessità di recupero della somma sottrattagli”);
d) inoltre, con accordo transattivo del 23 maggio 2024, “l’interessato ha rinunciato ad ogni pretesa nei confronti della Banca, dichiarando di accettare l’importo [oggetto di accordo n.d.r.] a totale tacitazione di qualsivoglia pretesa nei confronti della Banca, e, conseguentemente, di rinunciare a qualunque ragione, diritto, azione e pretesa, anche risarcitoria, comunque direttamente e/o indirettamente connessi ai fatti di cui in premessa” (cfr. all. 5). Sul punto, preme evidenziare che la Banca ha proceduto alla soddisfazione delle pretese dell’interessato ben prima di avere notizia del[l’avvio del] procedimento sanzionatorio qui in oggetto. Anzi, in un momento in cui entrambe le parti consideravano oramai conclusa con esito positivo la vicenda (tant’è vero che non se ne faceva nemmeno espressa menzione nell’accordo)”;
e) infine, con comunicazione del 27 giugno 2024 (cfr. all. 7) il reclamante ha dichiarato di “non essere più interessato a ricevere le registrazioni delle telefonate intercorse tra me e il vostro servizio clienti lo scorso 21 novembre, di cui vi ho inoltrato ufficiale richiesta il 24 dello stesso mese. Nonostante la vostra disponibilità a fornirmi tale documentazione, il sopravvenuto rimborso integrale da voi effettuato, della somma oggetto del tentativo di truffa […] rende infatti tali registrazioni ormai irrilevanti ai miei interessi”;
f) da quanto sopra esposto emerge con evidenza che la Banca, nella vicenda in questione, ha:
“agito nel costante interesse del Cliente, fornendo continua assistenza e pronto riscontro alle richieste pervenute nonché provvedendo – al termine delle necessarie verifiche – a ristorarlo per la totalità dell’importo in questione […], a scanso di equivoci prima dell’avvio del procedimento sanzionatorio da parte del Garante e a prescindere dallo stesso”;
operato “con responsabilità, bilanciando opportunamente gli interessi, i diritti e le libertà degli interessati coinvolti, in conformità anche con il principio di accountability, poiché: se avesse fornito l’intera registrazione, avrebbe compromesso la riservatezza dell’operatore […]” e “se, viceversa, avesse fornito una registrazione limitata alle parti contenenti la sola voce dell’Interessato, non avrebbe soddisfatto l’esigenza sostanziale del Sig. […], che, come confermato dallo stesso, intendeva – ai fini probatori – acquisire evidenza della conferma del blocco dei codici da parte dell’operatore”;
“da ultimo, intrattenuto ulteriori comunicazioni con il Cliente anche a seguito dell’avvio del procedimento sanzionatorio, verificando la bontà delle valutazioni via via svolte dalla banca nella misura in cui l’Interessato ha altresì confermato il venir meno dell’esigenza di ottenere la registrazione, una volta rientrato in possesso delle somme, obiettivo concreto della richiesta”;
f) quanto agli elementi di cui all’art. 83, par. 2 del Regolamento, che espressamente contempla non solo “circostanze attenuanti (idonee, cioè, a ridurre il quantum sanzionatorio), ma anche circostanze esimenti o scusanti (idonee, cioè, ad escludere del tutto l’illecito o l’antigiuridicità di una condotta)”, la Banca ha rappresentato che:
“l’accaduto potrebbe costituire una violazione minore, alla luce dell’impatto assente sull’interessato. Difatti, la violazione (ove esistente) appare essere più formale che sostanziale, in quanto si tratterebbe di una violazione attinente ai tempi e modalità di riscontro (in ultima istanza, mancata inclusione del dato “voce” nei dati trasmessi all’Interessato), piuttosto che di diniego (tanto implicito quanto esplicito) del diritto di accesso esercitato dall’Interessato, al quale la Banca ha anche sempre manifestato la massima disponibilità in caso di eventuali ulteriori richieste”;
“L’episodio, peraltro, ha coinvolto un interessato e dati comuni dello stesso e la durata dell’asserita violazione si è protratta per brevi lassi di tempo intercorrenti tra i tempestivi riscontri forniti, di volta in volta, dalla Banca […]. Né la gradualità adottata nel riscontrare le istanze ha intensificato l’impatto dell’asserita violazione; al contrario, la bontà di tale approccio graduale è stata indirettamente confermata dallo stesso Interessato quando ha confermato di aver soddisfatto nel frattempo le sue pretese (doc. 17) e che, dunque, la registrazione era sostanzialmente ininfluente”;
“si è trattato di una interpretazione in buona fede, in un’ottica che solo oggi (rectius, alla data di ricezione della Notifica) si è compreso esser forse stata eccessivamente cautelativa rispetto alle istanze di tutela degli interessati”;
“quanto occorso è un fatto totalmente isolato, peculiare ed episodico […]. MBP ha infatti adottato un corpus procedurale e relative prassi operative idonee ad assicurare un’adeguata governance privacy e, per quanto qui interessa, una tempestiva gestione delle richieste di esercizio dei diritti privacy. Ne sono prova evidente i dati interni di MBP, che annoverano un elevato numero di richieste di esercizio dei diritti ricevute dalla data del maggio 2018 ad oggi – ben oltre le 900 unità – con riscontri gestiti tempestivamente e, in alcuni casi, anche nell’ordine di pochi giorni. Considerato l’alto numero di richieste ricevute negli ultimi anni e la pressoché totale assenza di contestazioni [2 reclami e 2 segnalazioni archiviate dall’Autorità] sul punto da parte degli interessati, i meccanismi di riscontro alle richieste di esercizio dei diritti, nonché le misure di sicurezza e organizzative adottate da MBP, possono dirsi funzionare correttamente”. Tra queste, “caselle mail” dedicate, “un’apposita procedura per la gestione delle richieste dei clientie e periodici training privacy per l’aggiornamento delle competenze GDPR”. Inoltre “la Banca – già prima di essere a conoscenza del Reclamo - ha avviato un aggiornamento e un refresh del piano formativo privacy destinato al proprio personale (e a quello del Gruppo Mediobanca), in cui è stata posta particolare attenzione alle tematiche relative alle casistiche di esercizio dei diritti privacy degli interessati. Tale piano formativo della Banca è stato reso disponibile sulle piattaforme di MBP dal 1° luglio 2024”.
In data 18 settembre 2024 si è svolta l’audizione richiesta da Mediobanca Premium S.p.a. ai sensi dell’art. 166, comma 6, del Codice.
Nel corso della stessa la Banca, nel riportarsi integralmente a quanto già rappresentato negli scritti difensivi, ha ribadito innanzitutto che “la vicenda, come emerge dalla documentazione agli atti del reclamo, muove da un errore operativo della banca (mancato blocco dei codici di accesso) di cui la banca si è fatta carico sin dal primo momento; ne sono prova i contatti continui con l’interessato fino al reintegro totale - da parte della banca - della somma indebitamente sottratta per effetto di un’operazione di pishing”.
Mediobanca ha nuovamente sottolineato come “l’asserito inidoneo riscontro all’istanza dell’interessato di accedere ai dati contenuti nella registrazione delle telefonate effettuate al servizio clienti, deriva, da un lato, dalla necessità di non comunicare i dati relativi ad un terzo (l’operatore telefonico) e, dall’altro, dal fatto che, conformemente a quanto previsto dalle “Guidelines 01/2022 on data subject rights - Right of access”, del Comitato europeo per la protezione dei dati, è stato operato un bilanciamento tra gli interessi in gioco e si è ritenuto che, rispetto al caso di specie, la comunicazione all’interessato del file audio - dal quale sarebbe stata estrapolata la voce dell’operatore – sarebbe risultata, per l’interessato medesimo, irrilevante a fini probatori; ciò in quanto allo stesso serviva dimostrare che nel corso della telefonata al servizio clienti l’operatore aveva affermato di avere disposto il blocco, mentre nessun elemento comprovante l’avvenuto blocco delle credenziali gli sarebbe derivato dal file audio contenente esclusivamente la sua voce”. Quanto sopra risulta peraltro “avvalorato dal fatto che l’interessato, una volta ottenuto il rimborso integrale della somma oggetto della truffa, ha dichiarato di non essere più interessato a ricevere le registrazioni anzidette”.
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che Mediobanca, in qualità di titolare del trattamento, non ha fornito riscontro alla richiesta di accesso, formulata dal reclamante ai dati concernenti la registrazione telefonica dallo stesso effettuata al servizio clienti, entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”); né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4 del Regolamento).
In particolare, nel corso dell’istruttoria è stato accertato che il titolare del trattamento, ritenendo di non poter trasmettere al reclamante il file audio in questione (in ragione della necessità di tutelare la riservatezza del soggetto terzo coinvolto, l’operatore telefonico del servizio clienti), ha comunicato all’interessato il suo diniego all’accesso ai sensi dell’art. 15 del Regolamento e ha trasmesso allo stesso copia della contabile del bonifico oggetto di contestazione e la lista movimenti, in ottemperanza alla disposizione di cui all’art. 119 del dd.lgs. 385/1993 in materia di accesso alla documentazione bancaria.
Solo a seguito della presentazione del reclamo all’Autorità, la Banca ha aderito all’istanza di accesso avanzata dall’interessato ai sensi dell’art. 15 del Regolamento ma, in questa occasione, sulla base di un bilanciamento degli interessi e dei diritti dei soggetti coinvolti, ha omesso di fornire il file audio richiesto ed ha comunicato al reclamante i dati personali allo stesso riferiti come contenuti nella registrazione.
Al riguardo, tenuto conto delle definizioni di “dato personale” (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”) e di “trattamento” (“qualsiasi operazioni o insieme di operazioni […] applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, […]”) di cui all’art. 4 del Regolamento, nonché di quanto previsto nelle “Linee guida 01/2022 sui diritti degli interessati – Diritto di accesso” adottate dall’EDPB il 28/3/2023, secondo cui “le registrazioni di conversazioni telefoniche (e la loro trascrizione) tra l’interessato che richiede l’accesso e il titolare del trattamento possono rientrare nell’alveo del diritto di accesso a condizione che costituiscano dati personali” e purché nel rispetto dei diritti e delle libertà altrui (Linee guida citate, par. 4.2.1, punti 105-106 e art. 15, par. 4, del Regolamento), si deve ritenere che, nel caso di specie, ferma restando la giusta valutazione dei diritti e delle libertà dei terzi, il file audio in questione, poteva essere oggetto di comunicazione all’interessato nella sua integralità.
Nel caso in esame risulta pertanto accertato che la banca, da un lato, ha riscontrato l’istanza di esercizio dei diritti formulata dall’interessato soltanto a seguito dell’intervento dell’Autorità, dall’altro, ha comunque fornito allo stesso un riscontro inidoneo.
A nulla rilevano, sul punto, le argomentazioni addotte dalla banca nel corso del procedimento in ordine all’irrilevanza della registrazione oggetto dell’istanza di accesso rispetto alla effettiva finalità perseguita dal reclamante che era quella di ottenere il rimborso integrale della somma che gli era stata fraudolentemente sottratta.
Si rammenta infatti che l’art. 15 del Regolamento riconosce all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e, di conseguenza, in caso affermativo, il diritto “di ottenere l’accesso ai dati” stessi e alle ulteriori informazioni, ciò anche al fine di verificare la correttezza e la completezza dei dati oggetto di trattamento. Il titolare è quindi tenuto a fornire una copia dei dati personali oggetto di trattamento (art. 15, par. 3), nel rispetto dei diritti e della libertà altrui (art. 15, par. 4).
Deve comunque essere considerato che, dalla documentazione acquisita agli atti, è emerso che, nel caso di specie, il reclamante, nel corso dell’istruttoria dinanzi a questa Autorità, a fronte della disponibilità manifestata dalla Banca di rimborso integrale della somma oggetto della truffa, ha sottoscritto con la stessa un accordo transattivo e con successiva comunicazione del 27/6/2024 (inviata alla Banca e non all’Autorità) ha dichiarato di non essere più interessato a ricevere le registrazioni oggetto dell’istanza di accesso (cfr. all. 17 alla memoria difensiva).
Alla luce delle risultanze dell’istruttoria risulta comunque che Mediobanca ha posto in essere una condotta in violazione dell’art. 12, par. 3 e 15 del Regolamento.
4. Conclusioni: dichiarazioni di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2 del Regolamento.
Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Risulta, quindi, accertato che la condotta posta in essere da Mediobanca, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, è illecita, nei termini su esposti, in relazione agli artt. 12, par. 3 e 15 del Regolamento.
Preso atto di tutti gli elementi acquisiti nel corso dell’istruttoria e, in particolare, tenuto conto del carattere colposo della violazione, dell’assenza di precedenti violazioni pertinenti, della condotta collaborativa della Banca che ha tenuto continue interlocuzioni con l’interessato e che, a seguito della ricezione dell’invito ad aderire, ha fornito riscontro allo stesso, seppure non esaustivo, nonché, infine, dell’avvenuta rinuncia da parte dell’interessato medesimo ad ottenere la registrazione telefonica oggetto del reclamo, si ritiene che il caso de quo possa essere qualificato come “violazione minore” ai sensi dell’art. 83, par. 2 e cons. 148 del Regolamento.
Tenuto inoltre conto che, ai sensi del considerando 148 del Regolamento, “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”, si ritiene sufficiente ammonire il titolare del trattamento ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Mediobanca Premier S.p.a., c.f. 10359360152, in persona del legale rappresentante pro tempore, con sede legale in Milano, Viale Bodio, 37 – Palazzo 4 - ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12, par. 3, e 15 del Regolamento;
ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce Mediobanca Premier S.p.a., quale titolare del trattamento in questione, per aver effettuato un trattamento di dati personali in violazione della disciplina in materia di protezione dei dati personali;
DISPONE
ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del Regolamento con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019;
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 14 novembre 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
