g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Deutsche Bank S.p.A. - 16 giugno 2022 [9795404]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9795404]

Ordinanza ingiunzione nei confronti di Deutsche Bank S.p.A. - 16 giugno 2022

Registro dei provvedimenti
n. 226 del 16 giugno 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal sig. XX in data 26/10/2020, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Deutsche Bank S.p.A.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’avvio del procedimento.

Con il reclamo presentato a questa Autorità in data 26/10/2020, il sig. XX lamentava un illecito trattamento di dati personali, posto in essere da Deutsche Bank S.p.A. (di seguito “la Banca”) consistente nella segnalazione del suo nominativo in CRIF S.p.A., in assenza della comunicazione di preavviso di cui all’art. 4, comma 7, del “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”. nel medesimo reclamo, veniva lamentato anche il mancato riscontro all’istanza di esercizio dei diritti, formulata nei confronti della Banca in data 15/07/2020, con cui chiedeva altresì di prendere visione dell’informativa di cui all’art. 13 del Regolamento UE 679/2016 (di seguito “Regolamento”). A fronte della suddetta istanza, regolarmente notificata tramite pec, non perveniva alcun riscontro nei termini di cui all’art. 12, par. 3, del citato Regolamento.

Con note del 10/02/2021 (prot. n. 8381) e del 18/05/2021 (prot. n. 27511), la Banca è stata invitata a fornire osservazioni in ordine ai fatti oggetto di reclamo e ad aderire all’istanza di esercizio dei diritti, avanzata dal reclamante.

La Banca, con nota del 03/06/2021, forniva riscontro alle suddette richieste di informazione, rappresentando, con riferimento al mancato preavviso della segnalazione in CRIF, di aver inviato al reclamante, a mezzo raccomandata, una comunicazione avente ad oggetto “Avviso di imminente registrazione dei dati in sistemi di informazioni creditizie” all’indirizzo presente nei propri archivi. Tale comunicazione veniva resa dal servizio postale con causale “Indirizzo inesistente”.

Le verifiche effettuate dal Titolare del trattamento avevano tuttavia evidenziato che l’indirizzo utilizzato per l’invio della comunicazione di preavviso era stato indicato dallo stesso sig. XX nel modulo in possesso della Banca e che non risultava pervenuta alcuna richiesta di modifica dello stesso.

Con riguardo all’istanza di esercizio dei diritti, la Banca, ammettendo di non avervi provveduto precedentemente, inviava al reclamante, e all’Autorità quanto richiesto in sede di esercizio dei diritti ovvero la copia dell’informativa di cui all’art. 13 del Regolamento e una scheda contenente il riepilogo dei dati personali dell’istante.

L’Ufficio, sulla base delle dichiarazioni rese dalla Banca, provvedeva, con riferimento solo a quest’ultimo profilo, a notificare l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento (prot. n. 48577 del 28/09/2021).

La Banca, in data 28/10/2021, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui dichiarava preliminarmente che:

- “con comunicazione del 3 giugno 2021 (…) la Banca ha fornito al cliente la scheda contenente il riepilogo, ex art. 15 GDPR, dei dati personali trattati e conservati dalla Banca, peraltro acquisiti in occasione della stipula di un contratto di finanziamento sottoscritto in data 27 luglio 2017. Con la citata lettera (…) si è provveduto a trasmettere anche copia dell’informativa di cui all’art. 13 del GDPR che, tuttavia, era già stata consegnata al cliente contestualmente alla sottoscrizione del summenzionato contratto di finanziamento”;

- il ritardo nel fornire riscontro all’istanza del reclamante è stato causato da una serie di circostanze “non riconducibili alla volontà dei dipendenti o della banca” che, ad ogni modo, “riteniamo non abbiano causato al cliente alcun pregiudizio”;

- in particolare, “l’originaria richiesta formulata dal cliente in data 13 luglio 2020, inoltrata tramite il suo legale in data 15 luglio 2020, venne indirizzata non già all’indirizzo di posta elettronica deputato (…), bensì in un primo momento all’indirizzo posta elettronica certificata dell’ufficio reclami e, alla luce dei problemi di ricezione manifestati da tale indirizzo, alla casella di posta elettronica certificata della Banca”;

- inoltre, “l’istanza di accesso e la contestuale richiesta di poter disporre di copia dell’informativa privacy (…) risultano essere state formulate nel contesto di una lunga ma assoluta generica comunicazione del cliente (…) incentrata nel descrivere e contestare i comportamenti tenuti dalla Banca in merito a una asserita irregolarità nella segnalazione fatta dalla Banca medesima alla Centrale rischi di Banca d’Italia e, solo in chiusura, nel formulare anche le istanze di cui agli artt. 13 e 15 del GDPR”.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Banca, a fronte dell’istanza di esercizio dei diritti formulata dal reclamante in data 13/07/2020, non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dal reclamante, entro il termine previsto dall’art. 12, par. 3, del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”), né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell’inottemperanza nonché della possibilità di proporre un reclamo all’Autorità (art. 12, par. 4 del Regolamento).

L’argomentazione addotta dalla Banca, secondo cui l’istanza di esercizio dei diritti è stata presentata nell’ambito di una più ampia e articolata richiesta da parte del cliente che avrebbe impedito di fornire tempestivo riscontro, non può essere assunta a valido motivo di esclusione di responsabilità.

Ciò tenendo conto anche di quanto stabilito all’art. 12, par. 2, del Regolamento in base al quale “il titolare agevola l’esercizio dei diritti dell’interessato, ai sensi degli articoli da 15 a 22”.

Risulta, tra l’altro, che la comunicazione inviata dal reclamante il 13/07/2020 sia stata correttamente notificata alla Banca tramite pec (come risulta dalla ricevuta di avvenuta consegna prodotta in atti) e contenga analiticamente le domande su cui chiede il riscontro.

Inoltre, deve essere rigettata la tesi in base alla quale l’informativa di cui all’art. 13 del Regolamento e i dati oggetto dell’istanza erano già note all’interessato, in quanto, come noto, l’art. 15 del Regolamento riconosce, preliminarmente, all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e di conseguenza, e in caso affermativo, il diritto “di ottenere l’accesso ai dati” stessi e alle ulteriori informazioni. Ciò anche al fine di verificare la correttezza e la completezza dei dati oggetto di trattamento.

3. Conclusioni: illiceità dei trattamenti effettuati.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati; nonché la circostanza che il riscontro all’interessato è stato fornito solo a seguito dell’intervento dell’Autorità;

- il fatto che la violazione risulta accertata con riferimento a un solo interessato;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- la predisposizione di misure tecniche e organizzative volte a favorire la gestione delle segnalazioni attinenti alla tutela dei dati personali;

- il grado di cooperazione fornito dalla Banca nel corso del procedimento.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2020.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000,00 (ventimila) per la violazione degli artt. 12 e 15 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3. e 15 del Regolamento;

ORDINA

a Deutsche Bank S.p.A. in persona del legale rappresentante pro-tempore, con sede in Milano, Piazza del Calendario, 3, P.I. 01340740156, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Banca di pagare la somma di euro 20.000,00 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 giugno 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei