g-docweb-display Portlet

Ordinanza ingiunzione - 16 dicembre 2021 [9742468]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9742468]

Ordinanza ingiunzione - 16 dicembre 2021

Registro dei provvedimenti
n. 438 del 16 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 19 maggio 2020, con il quale il Sig. XX ha lamentato una presunta violazione del Regolamento da parte di Ubi Banca S.p.a.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’avvio del procedimento.

1.1. Con il reclamo presentato a questa Autorità in data 19 maggio 2020 (prot. n. 18330/20), il sig. XX segnalava di aver ricevuto da Ubi Banca S.p.a. (ora Intesa Sanpaolo a seguito della fusione per incorporazione con effetti giuridici dal 12 aprile 2021, di seguito “la Società”) una missiva recante all’esterno, sul fronte della busta, la dicitura “credito anomalo Chieti”.

Con la nota del 21 gennaio 2021 (prot. n. 4148/21), l’Ufficio invitava la Società a fornire osservazioni in ordine a quanto rappresentato dal reclamante.

La Società nella nota di riscontro del 17 marzo 2021 (prot. n. 14412/21) dichiarava che la “comunicazione, contenuta nella busta presentata dal sig. XX, non conteneva solleciti di pagamento, che sono invece stati sempre inviati dalla filiale presso cui sono incardinati i rapporti dell’interessato, bensì una comunicazione su trasparenza dei servizi bancari e finanziari, che si allega. Per quanto oggetto della vicenda in argomento, significhiamo di esserci prontamente attivati come da risposta, datata 21 maggio 2020, fornita al sig. XX. Nella successiva comunicazione inviata al sig. XX, datata 01/02/2021, è stato infatti indicato, visibile all’esterno della busta, solo il codice della Funzione Credito Anomalo allo scopo di anonimizzare l’Unità Operativa inviante la missiva”.

1.2. L’Ufficio, pertanto, provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento (prot. n. 49048/2021).

Ai sensi delle richiamate disposizioni del Regolamento, il trattamento di dati personali deve avvenire nel rispetto dei principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione”; i medesimi principi sono alla base del provvedimento generale “Liceità, correttezza e pertinenza nell'attività di recupero crediti” del 30 novembre 2005 con cui il Garante ha prescritto agli operatori del settore le misure necessarie ed opportune a rendere il trattamento conforme alla normativa in materia di protezione dei dati.

1.3. In data 22 ottobre 2021 la Società inviava la propria memoria difensiva, ai sensi dell’art.18 della legge n. 689/1981 con cui forniva ulteriori informazioni e precisazioni sui fatti oggetto della vicenda: “Accertato che il processo di spedizione di tale tipologia di corrispondenza potesse risultare non conforme alla normativa sulla riservatezza, ancorché non constassero agli atti reclami formalizzati da altri Clienti di Ubi Banca per casi analoghi, è stata rimossa prontamente l’anomalia e sono stati con pari tempestività analizzati i processi di comunicazione (sia di posta ordinaria che elettronica) verso la clientela per verificare la presenza di eventuali ulteriori anomalie, così da predisporre gli immediati interventi correttivi che fossero risultati necessari; del pari venne poi richiamata l’attenzione di tutte le Strutture di Ubi Banca al puntuale rispetto della normativa sulla protezione dei dati personali. Nel segnalare in ogni caso la tempestività, la reattività e la proattività degli interventi messi in atto dalla Struttura a supporto del Data Protection Officer di Ubi Banca a fronte del reclamo del cliente, desideriamo evidenziare come dopo l’integrazione in Intesa Sanpaolo le modalità di spedizione della corrispondenza siano state ricondotte allo standard dell’incorporante, che non prevede l’evidenziazione della Struttura mittente all’esterno della busta utilizzata per la spedizione”.

2. L’esito dell’istruttoria.

2.1. All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Società ha utilizzato, nell’intestazione della corrispondenza indirizzata al sig. XX, la locuzione “credito anomalo Chieti”. Tale locuzione, indipendentemente dal contenuto della missiva, è suscettibile di palesare a soggetti terzi informazioni inerenti alla situazione patrimoniale del destinatario della comunicazione.

Con il richiamato provvedimento generale del 30 novembre 2005 il Garante ha definito illecite le operazioni di trattamento consistenti nel sollecitare il pagamento con modalità che palesino, a osservatori esterni, il contenuto della comunicazione (utilizzo di cartoline postali o invio di plichi recanti all'esterno la scritta "recupero crediti" o locuzioni simili da cui desumere l'informazione relativa all'asserito stato di inadempimento del destinatario della comunicazione) e ha prescritto, attesa la natura delle informazioni trattate e l'elevato rischio di diffusione a terzi di informazioni personali relative al debitore, che le sollecitazioni di pagamento siano portate a conoscenza del solo debitore, ricorrendo a plichi chiusi, che riportino all'esterno le sole indicazioni necessarie ad identificare il mittente, prive di dati eccedenti rispetto a quelli necessari al recapito della comunicazione.

2.2. Il trattamento di dati personali posto in essere dalla Società risulta illecito poiché effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione” dei dati, in violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento.

3. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

3.1. La violazione dell’artt. 5, par. 1, lett. a) e c) “è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore” (art. 83, par. 5, lett. a) del Regolamento).

3.2. Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che le sanzioni devono “in ogni caso [essere] effettive, proporzionate e dissuasive” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a. con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati, rispetto alla quale, sin dal 2005, il Garante ha fornito chiare indicazioni alle banche;

b. l’assenza di precedenti specifici a carico della società e della circostanza che si tratta di un reclamo isolato;

c. il ravvedimento posto in essere dalla Società che ha provveduto a introdurre modifiche organizzative sostituendo la dicitura contestata con un codice già in sede di istruttoria.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate con riferimento al bilancio di esercizio per l’anno 2020.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare, nei confronti della Società, la sanzione amministrativa del pagamento di una somma pari ad euro 100.000 (centomila).

3.3. In considerazione della natura e della gravità della violazione accertata, si ritiene, altresì, di disporre, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Ubi Banca spa, ora Intesa Sanpaolo spa, con sede in Torino, Piazza S. Carlo, 156, nei termini di cui in motivazione, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c) del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento a Ubi Banca spa, ora Intesa Sanpaolo spa, di pagare la somma di euro 100000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per la violazione degli artt. 5, par. 1, lett. a) e c) del Regolamento;

INGIUNGE

quindi, alla medesima Società di pagare la predetta somma di euro 100.000,00 (centomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi