[doc. web n. 10113412]

Provvedimento del 30 gennaio 2025

Registro dei provvedimenti
n. 42 del 30 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

1. Il reclamo ricevuto e l’istruttoria condotta dall’Ufficio.

Con reclamo del 25 luglio 2023, presentato a questa Autorità nei confronti di Intesa San Paolo S.p.A. (di seguito indicata anche come: “Banca” o “Società”), la Sig.ra XX ha lamentato precisamente che:

- l’11 luglio 2023 si era recata presso una filiale milanese della medesima Banca per ritirare un assegno;

- le era stato detto che, per poter procedere alla detta operazione, avrebbe dovuto censirsi nei sistemi informativi della Società;

- le era stato somministrato un modulo con l’informativa privacy e i consensi già tutti barrati e prima non visionati, con il contestuale invito a firmare il detto documento;

- le era stato rappresentato che tale condotta costituiva “una prassi”, ma che non vi sarebbe stato alcun problema a ristampare i moduli con i consensi da selezionare;

- aveva chiesto all’addetto la stampa del modulo con i conensi negati, ma che il medesimo non aveva proseguito con l’operazione di incasso dell’assegno “perché tutti i consensi erano necessari”;

- i consensi richiesti obbligatoriamente riguardavano il marketing diretto e indiretto nonché la profilazione.

Al riguardo, questa Autorità ha formulato una richiesta d’informazioni e documenti il 20 marzo u.s., alla quale la Banca ha dato riscontro il 9 aprile u.s. rappresentando, fra l’altro, che:

- la vicenda accaduta “è un caso unico ed isolato e non certo un comportamento diffuso o comune da parte del personale della Banca da sempre impegnata a garantire il massimo rispetto delle previsioni interne ed esterne relative alla normativa sulla protezione dei dati personali;

- gli accertamenti esperiti … interessando anche il personale della Banca con cui ha interagito lo scorso 11 luglio 2023 l’interessata … hanno confermato che, in occasione della raccolta delle informazioni necessarie alla corretta identificazione del soggetto presentatore dell’assegno e conseguente censimento anagrafico nei sistemi informativi della Banca, la dipendente coinvolta, da un lato, ha correttamente provveduto a rilasciare l’allegata “Informativa sulla protezione dei dati personali” … , ma, dall’altro, ha erroneamente sottoposto all’interessata anche il “Modulo per la raccolta dei consensi” (non espressamente necessario per l’operatività posta in essere dalla sig.ra XX) avendo peraltro già selezionato, mediante propria azione manuale nella maschera della procedura per il censimento anagrafico, la casella “presto il consenso” con riferimento al trattamento dei dati personali per finalità di marketing o commerciali (cd. C2, C3 e C4) e per l’eventuale trattamento di categorie particolari di dati personali (cd. C6);”

- nessuna categoria particolare di dati personali è stata oggetto di trattamento nell’ambito dell’interazione avvenuta con l’interessata;

- l’operazione di cambio/incasso dell’assegno presentato dalla sig.ra XXnon si è perfezionata in considerazione dell’errata informazione fornita da un altro dipendente coinvolto nella vicenda che ha manifestato l’impossibilità di procedere con l’operazione di cambio assegno richiesta, atteso il mancato rilascio dei consensi facoltativi al trattamento dei dati personali per finalità commerciali o di marketing (avendo l’interessata espunto tali consensi “prefleggati”);

- “a fronte delle rimostranze formulate dalla sig.ra XX in merito all’espressione dei consensi, il personale della Filiale ha provveduto a modificare, nei sistemi informativi della Banca, la scelta dell’interessata, raccogliendone la relativa sottoscrizione sul Modulo correttamente modificato, come da evidenza fornita in allegato” al predetto riscontro;

- il modulo per la raccolta dei consensi è separato ed indipendente rispetto all’Informativa sulla protezione dei dati personali al fine di rendere esplicito che la raccolta di tali consensi è facoltativa;

- le “Regole aziendali per il trattamento e la protezione dei dati personali delle Persone Fisiche” … specificano che: -è fatto divieto di precompilare l’espressione di consenso ovvero non si possono sottomettere in firma di accettazione all’interessato campi di consenso già valorizzati indipendentemente dalla condizione “si/no” valorizzata; l’inerzia dell’interessato a scegliere se prestare o negare il proprio consenso deve considerarsi, a tutti gli effetti, come una “negazione di consenso”: il campo relativo al consenso non espresso se lasciato vuoto va storicizzato come un consenso negato; al cliente deve essere sempre consegnata/resa disponibile una copia, in formato cartaceo o elettronico, dell’informativa e degli eventuali consensi dallo stesso espressi”.

La Società ha rappresentato inoltre:

- di aver dato ai propri operatori indicazioni del seguente tenore: “Non possiamo sostituirci all’interessato nel compilare le manifestazioni di consenso. L'assenza di una manifestazione di preferenza sarà da valutare come una negazione di consenso al trattamento.”;

- di aver posto in essere diversi corsi di formazione obbligatori in materia di protezione dei dati personali; prevedendo che il mancato rispetto dei livelli attesi per la fruizione nei tempi previsti della formazione obbligatoria incide sulla determinazione dei premi ed incentivi.

2. Valutazioni dell’Ufficio sui trattamenti effettuati e le violazioni rilevate.

Alla luce di quanto in atti, è stata ritenuta ravvisabile, con specifico riguardo alle modalità di acquisizione dei consensi al trattamento mediante il modulo somministrato all’interessata (v. all.2 prodotto in copia dalla Banca nel suindicato riscontro), la violazione della regola della libertà del consenso per le finalità di marketing e di profilazione. E’ emersa dunque una scollatura, pur accertata per un singolo caso, fra la policy stabilita e la prassi operativa di alcuni dipendenti in relazione alla quale non sono state realizzate, a cura del titolare, adeguate iniziative di verifica -mediante appositi audit, delle modalità di trattamento dei dati personali riconducibili alle operazioni di incasso degli assegni. Peraltro, la dichiarata raccolta “delle informazioni necessarie alla corretta identificazione del soggetto presentatore dell’assegno e conseguente censimento anagrafico nei sistemi informativi della Banca” (presumibilmente comprensiva anche dei dati di contatto, come il numero di telefono e l’indirizzo di posta elettronica) -a fronte dell’acquisizione di un consenso invalido per svolgere le attività di marketing e di profilazione- risulta effettuata in mancanza di un idoneo presupposto giuridico, con la conseguente possibile violazione dell’art. 6, par.1, del Regolamento. Ciò anche tenuto conto di quanto previsto dall’art. 4, punto 11, del Regolamento che, nel definire il “consenso dell’interessato”, esige una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto del trattamento”.
Poiché è risultato che la Società abbia condizionato l’operazione d’incasso della reclamante al previo rilascio del consenso al trattamento per finalità di marketing e di profilazione in quanto, nel caso di specie, la reclamante ha trovato pre-impostati, mediante appositi flag, i distinti relativi consensi al trattamento, è emersa altresì la possibile violazione -anche alla luce dei Considerando 32, 40, 42 e 43- dell’art.7, par. 4, del Regolamento, in base al quale: “Nel  valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto.”

Inoltre, la Società, come indicato nell’informativa privacy rilasciata all’interessata ed allegata – n.2 – al riscontro del 9 aprile u.s.- in particolare al par. 7.

“SU QUALI BASI SI FONDANO I TRATTAMENTI CHE EFFETTUIAMO? PER QUALI FINALITÀ TRATTIAMO I TUOI DATI?”,

è risultata svolgere attività promozionale anche mediante modalità automatizzate (quali posta elettronica ed sms):

“ …. svolgiamo attività funzionali alla promozione e vendita di prodotti e servizi di società del Gruppo Intesa Sanpaolo o di società terze  …. sia attraverso l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore e di comunicazioni elettroniche (posta elettronica, SMS, MMS o di altro tipo), sia attraverso l’uso di posta cartacea e di chiamate telefoniche  tramite operatore; “.

Ritenuto -anche  sulla base del punto 4) del suindicato modulo informativo somministrato- che siano stati raccolti anche i dati di contatto dell’interessata (indirizzo email e numero di telefono) per le predette finalità di marketing- è stata ravvisata anche la possibile violazione dell’art. 130, commi 1 e 2, del d.lgs. n. 196/2003 (“Codice”), che prevede, per le suindicate modalità automatizzate di contatto promozionale, la necessità di previo consenso, libero e specifico -oltre che informato e documentato- dell’interessato (al riguardo v. anche i predetti “considerando” e le linee Guida del 4 luglio 2013, in materia di attività promozionale e contrasto allo spam [doc. web n. 2542348]).

Al riguardo, occorre rilevare che è cristallizzata nella consolidata giurisprudenza del Garante la circostanza che la manifestazione del consenso, predisposta mediante la pre-impostazione del “flag” sulla dicitura “Acconsento”, è idonea a condizionare la volontà dell’interessato; sul punto si veda, in particolare, il citato Provvedimento del 4 luglio 2013 doc. web n. 2542348 recante “Linee guida in materia di attività promozionale e contrasto allo spam” che, al punto 2.6, sotto la rubrica “I requisiti di validità del consenso per la finalità di invio di comunicazioni promozionali” afferma chiaramente che: “non è corretta la predisposizione di moduli in cui la casella (c.d. “check-box”) di acquisizione del consenso risulta pre-compilata con uno specifico simbolo (c.d. flag)”.

Inoltre, al punto 2.5 delle medesime Linee guida, rubricato “L’obbligo del consenso preventivo (c.d. opt-in)”, il Garante ha ribadito che: “Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l’art. 130, commi 1 e 2, del Codice, in base al quale l’utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in).”

3. NOTIFICA DELLE PRESUNTE VIOLAZIONI AI SENSI DELL’ART. 166, COMMA 5, DEL CODICE.

In base a quanto sopra evidenziato, in data 6 maggio u.s., è risultato necessario contestare alla Società la presunta violazione delle seguenti disposizioni: artt. 6, par. 1, e 7, par. 4, del Regolamento, nonché dell’art. 130, commi 1 e 2, del Codice. Con il medesimo atto, l’Autorità ha pertanto comunicato l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e per l’eventuale applicazione delle sanzioni economiche di cui all’art. 83, parr. 4 e 5, del Regolamento.

4. L’ATTIVITÀ DIFENSIVA DELLA SOCIETÀ.

4.1. La memoria difensiva.

Con la memoria difensiva del 5 giugno u.s., della cui veridicità risponde ai sensi dell’art. 168 del Codice, la Banca -nel ribadire quanto già dichiarato nel detto riscontro del 9 aprile u.s.- ha rappresentato quanto segue.

A completamento del quadro informativo ed a parziale rettifica di quanto in precedenza indicato, il secondo dipendente, intervenuto nella vicenda, ha dichiarato che la sua intenzione, certamente non conforme alla specifica normativa interna ed alle istruzioni emanate, era quella  non di condizionare l’effettuazione dell’operazione d’incasso al rilascio del consenso per il marketing, ma di ottenere un’autorizzazione “esplicita” da parte della sig.ra XX -mediante sottoscrizione dell’informativa - al trattamento dei suoi dati personali per l’esecuzione dell’operazione richiesta. “Di conseguenza, aveva soggettivamente ed erroneamente interpretato il consenso C6 quale espressione utile di tale autorizzazione, richiedendone l’accettazione da parte della reclamante. L’operazione di cambio assegno non si è conclusa atteso anche che la sig.ra XX non ha dato il tempo al dipendente coinvolto di verificare la correttezza della sua interpretazione, abbandonando i locali della Banca.” In base a ciò, la Banca ha respinto l’addebito della violazione dell’art. 7, par. 4, del Regolamento.

La Società ha ribadito che nei sistemi informativi della Banca, nessun consenso (C2, C3, C4 e C6) al trattamento dei dati personali della sig.ra XX è stato censito, come dimostrato dalle evidenze informatiche fornite e, di conseguenza, quei trattamenti (con particolare riferimento all’attività di marketing diretto, indiretto e di profilazione) non sono stati posti in essere dalla Banca nei confronti dell’interessata, anche perché, in realtà, non sono stati raccolti dati di contatto, quali il numero telefonico e l’indirizzo e-mail dell’interessata. Precisato ciò, la Banca ha affermato di non ritenere violati neanche l’art 6, par. 1 del Regolamento, né l’art. 130, comma 1 e 2, del Codice.

Con riferimento poi al rilievo da parte dell’Autorità di non aver posto in essere adeguate iniziative di verifica - mediante appositi audit - delle modalità di trattamento dei dati personali riconducibili alle operazioni di cambio assegni, la Banca ha evidenziato “che, atteso il carattere particolare ed eccezionale di tale operatività, la casistica rappresenta circa lo 0,1% del complesso degli assegni negoziati dalla Banca, di conseguenza, di scarso e residuo rilievo rispetto all’operatività complessiva e pertanto non riconsiderata in specifici processi di audit interno pianificati sulla base di una logica risk-based.”; e che “da una verifica effettuata con la competente struttura incaricata della gestione dei Reclami della Banca, non sono stati rilevati … altri casi analoghi alla vicenda in esame a conferma …della generale corretta applicazione da parte del proprio personale delle regole interne.”

Quanto sopra indicato, a parere della Banca, dimostrerebbe che “ … l’operatività posta in essere dal solo personale direttamente coinvolto, non conforme alle istruzioni impartite, altro non ha rappresentato che un isolato comportamento, frutto di un’errata interpretazione di tali istruzioni (interpretazione che ha scaturito comportamenti del tutto inutili rispetto alla specifica operazione di cambio assegni)”.

Quanto alle misure predisposte con riguardo all’accaduto, la Banca ha evidenziato che “viste le lacune rilevate in termini di conoscenza delle disposizioni normative interne ed esterne”, ha previsto, nuovamente, per entrambi i due dipendenti coinvolti, la fruizione (con test di verifica finale) di tutta la formazione obbligatoria per la tematica specifica.

Più in generale, la Banca ha rappresentato che, nell’ambito della complessiva offerta formativa in tema di trattamento dei dati personali, è previsto il contenuto formativo obbligatorio denominato “VN0239 - LA BASE GIURIDICA DEL CONSENSO NEL TRATTAMENTO DEI DATI PERSONALI” che presenta, alla data del 31 marzo 2024, “una percentuale di fruizione pari al 98,57% dei destinatari”; ribadendo che il mancato rispetto dei livelli attesi per la fruizione nei tempi previsti della formazione obbligatoria incide sulla determinazione del trattamento economico accessorio del personale.

La Banca ha dichiarato altresì:

- di aver fornito sempre la massima collaborazione a favore della reclamante e dell’Autorità;

- che la vicenda in esame non ha comportato alcuna perdita di riservatezza, integrità o disponibilità dei dati personali, peraltro non ‘particolari’, dell’interessata;

- di non essere stata destinataria di provvedimenti dell’Autorità, con riferimento alle specifiche violazioni contestate;

- che la dipendente che ha raccolto i consensi C2, C3, C4 e C6 sottoponendo, erroneamente, all’interessata il “Modulo per la raccolta dei consensi” (pur non espressamente richiesto per l’operatività posta in essere dall’interessata) avendo già selezionato manualmente la casella “presto il consenso”, al momento dei fatti in esame, era una risorsa junior, assunta da pochi mesi.

Considerato quanto sopra riportato, la Società ha chiesto l’archiviazione del procedimento avviato o, in subordine, l’emissione di un provvedimento di mero ammonimento; nonché di oscurare la denominazione di Intesa Sanpaolo S.p.A. da ogni eventuale provvedimento “oggetto di diffusione, pubblicazione o comunicazione a terzi, anche al fine di evitare pregiudizi reputazionali”.

5.VALUTAZIONI GIURIDICHE DELL’AUTORITÀ.

Con riferimento alle contestazioni mosse nei confronti della Società, anche alla luce delle documentate argomentazioni addotte dal medesimo titolare, si ritiene di effettuare il seguente distinguo.

Con specifico riguardo a quella concernente la possibile violazione dell’art. 6, par. 1, del Regolamento e dell’art. 130, commi 1 e 2, del Codice, si ritiene di poter ritenere superati i rilievi mossi nei confronti della Banca e dunque di dover procedere all’archiviazione, considerato quanto dichiarato dalla medesima, anche ai sensi dell’art. 168 del Codice, ossia che: -nei sistemi informativi della Banca, nessun consenso (C2, C3, C4 e C6) al trattamento dei dati personali dell’interessata sarebbe stato censito nei propri sistemi informatici, né sarebbero stati raccolti dati di contatto (quali il numero telefonico e l’indirizzo e-mail), per cui nessuna attività di marketing diretto, indiretto, anche con modalità automatizzate (o di profilazione) sarebbe stata posta in essere dalla Banca nei confronti dell’interessata.

Anche con specifico riguardo alla contestazione concernente la possibile violazione dell’art. 7, par. 4, del Regolamento, si ritiene di poter ritenere superati i rilievi mossi nei confronti della Banca e dunque di dover procedere all’archiviazione. Ciò, in quanto il personale di Intesa, peraltro in un’unica occasione (stante la mancanza di analoghe doglianze pervenute a questo Ufficio), risulta aver sottoposto alla reclamante un modulo per il trattamento dei dati con consensi preflaggati, che, tuttavia, la reclamante medesima non ha sottoscritto; sicché la volontà dell’interessata -di non ricevere comunicazioni promozionali e di non essere sottoposta a profilazione- in concreto non risulta aver subito alcuna coercizione.

6. CONCLUSIONI.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese nonché della documentazione prodotta dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e, pertanto, di disporre l’archiviazione del presente procedimento, in quanto non sono stati ravvisati, allo stato degli atti, gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali (artt. 11, lett. b) e 14 del Regolamento del Garante n. 1/2019).

7. SULLA RICHIESTA DI NON PUBBLICAZIONE DELLA DECISIONE O DI SUA “ANONIMIZZAZIONE”.

Con riferimento alla richiesta con la quale la Società, in relazione ad un eventuale provvedimento adottato nei suoi confronti, ha chiesto, in caso di pubblicazione, l’oscuramento dei propri dati identificativi, si osserva preliminarmente che l’Autorità è sottoposta a puntuali vincoli normativi che impongono la pubblicazione dei provvedimenti aventi rilevanza esterna.

Tali vincoli, che risiedono nell’art. 154-bis, comma 3, del Codice, nell’art. 24 del “Regolamento sugli obblighi di pubblicità e trasparenza relativi all’organizzazione e all’attività del Garante per la protezione dei dati personali - 1 agosto 2013”, doc. web n. 2573442) e  nell’art. 37 del Regolamento del Garante n. 1/2019 (in www.garanteprivacy.it, doc. web n. 9107633), possono essere derogati principalmente per ragioni di salvaguardia della protezione dei dati personali (che nel nostro ordinamento è riconosciuta solamente alle persone fisiche) ovvero su richiesta del soggetto che ha dato impulso al procedimento e al correlato provvedimento. Le ulteriori condizioni derogatorie, espresse nelle citate norme, non appaiono riconducibili al caso di specie.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, dichiara che non sono stati ravvisati gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali, nei termini descritti in motivazione, in relazione alla condotta tenuta da Intesa Sanpaolo S.p.A., con sede legale in Torino, Piazza San Carlo, 156, P.I. 1199150001- e pertanto dispone l’archiviazione dell’affare;

DISPONE ALTRESI’

ai sensi degli artt. 154-bis del Codice e 37 del citato Regolamento n. 1/2019, la pubblicazione del presente provvedimento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 30 gennaio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Stanzione