[doc. web n. 10107187]

Provvedimento del 12 dicembre 2024

Registro dei provvedimenti
n. 833 del 12 dicembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal sig. XX nei confronti di BDM Banca S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 4 ottobre 2022, il Sig. XX ha rappresentato a questa Autorità di avere esercitato, nei confronti della BDM Banca S.p.A. (già Banca Popolare di Bari S.p.A., di seguito, la Società), il diritto di cui all’art. 15 del Regolamento relativamente a dati attinenti al rapporto di lavoro, tramite invio di raccomandata, recapitata il 3 agosto 2022, una prima volta, e il 25 agosto 2022, una seconda volta, e di non avere ricevuto un idoneo riscontro.

In particolare, a seguito di invito a regolarizzare dell’Autorità del 5 luglio 2023, il reclamante in data 14 luglio 2023 ha precisato che “il riscontro all’istanza di accesso ai dati personali della [Società] risulta avvenuto mezzo posta elettronica in data 11/10/2022 ossia oltre 2 mesi dalla prima richiesta effettuata in assenza di qualsiasi comunicazione di proroga dei termini né tantomeno dei motivi del suddetto ritardo, […] il riscontro fornito risulta carente ed incompleto in ordine alla documentazione personale richiesta – per tutte esibita la sola scheda di valutazione dell’anno 2019 risultando omessi tutti i periodi richiesti; - Il riscontro fornito risulta altresì parziale non fornendo indicazioni circa le modalità di trattamento dei dati, l’origine degli stessi, il periodo di conservazione o i criteri utilizzati per determinare tale periodo, le categorie di soggetti a cui i dati sono stati o saranno comunicati, l’esistenza di processi di profilazione automatizzata ed il responsabile del trattamento”.

In data 25 luglio 2023, il Dipartimento ha inviato un invito ad aderire alla Società che ha fornito il proprio riscontro al reclamante e, per conoscenza all’Autorità, in data 3 agosto 2023. In tale occasione la Società ha rappresentato che:

“con riferimento alle […] richieste [del reclamante] del 28 luglio e del 20 agosto 2022, e ad integrazione del nostro riscontro dell’11 ottobre 2022, riportiamo […] le informazioni richieste” (v. nota 3/08/2024 cit., p. 1);

“la finalità del trattamento dei […] dati personali [del reclamante] è la gestione del […] rapporto di lavoro [del reclamante] con la Banca” (v. nota cit., p. 1);

con riferimento alle categorie di dati personali, “sono trattati – per le finalità sopra riportate – dati identificativi (compresa l’immagine) e di contatto, di formazione, economici e relativi allo svolgimento del rapporto di lavoro, tra i quali sono compresi quelli di cui si è richiesto riscontro, nonché appartenenti a particolari categorie di dati (appartenenza a sindacato)” (v. nota cit., p. 1);

d. “le categorie di destinatari cui sono comunicati i dati per le finalità sopra riportate sono Capogruppo, enti in relazione agli adempimenti fiscali e previdenziali, compagnie di assicurazione, società di servizi, professionisti” (v. nota cit., p. 1);

“i […] dati personali [del reclamante] sono conservati per la durata del […] rapporto di lavoro [del reclamante] esistente con la Banca e successivamente in relazione alle prescrizioni normative/regolamentari vigenti per le diverse categorie di dati” (v. nota cit., p. 1);

“la Banca non utilizza un processo decisionale automatizzato per le finalità sopra riportate” (v. nota cit., p. 1);

con riferimento all’origine dei dati, “i dati personali di cui si è richiesto riscontro sono stati forniti direttamente da[l reclamante] all’atto dell’assunzione, ovvero da[l reclamante] conferiti nel corso del rapporto di lavoro (quali quelli rilevati dal sistema di rilevazione delle presenze), ovvero originati dalla Banca attraverso le unità organizzative competenti per la gestione delle diverse categorie di trattamenti” (v. nota cit., p. 1);

“responsabili del trattamento designati dalla Banca sono l’outsourcer informatico, con il compito di gestire le applicazioni a supporto dei trattamenti relativi ai dati richiesti, e altra società per la conservazione dei documenti cartacei archiviati contenenti i dati richiesti” (v. nota cit., p. 1);

con riferimento ai “documenti e messaggi di posta elettronica contenenti informazioni […] riferite [al reclamante]”, “nel segnalare che negli allegati a questo ed al nostro precedente riscontro sono contenuti i documenti che […] fanno riferimento [al reclamante], […] i messaggi e-mail intercorsi tra le unità organizzative della banca e […] riferiti [al reclamante] contengono i medesimi dati già comunicati, ma anche dati di terzi (tra i quali indirizzo di posta elettronica nominativi del mittente e dei destinatari) che non possono essere divulgati” (v. nota cit., p. 2);

“con l’occasione, trasmettiamo nuovamente tutta la documentazione in nostro possesso, già inviata con mail dell’11 ottobre 2022, con la precisazione che la scheda di valutazione dell’anno 2019 andava ad integrare le altre schede di valutazione disponibili e già consegnate [al reclamante] (unitamente ad altra documentazione) in occasione del precedente accesso avvenuto nel 2009” (v. nota cit., p. 2);

“le motivazioni alla base del ritardo nel riscontro sono da rinvenirsi nella numerosità e complessità delle informazioni richieste, relative anche ad anni passati per un arco temporale di oltre un ventennio, della quale circostanza [il reclamante] era stato informato telefonicamente dal Responsabile della UO Relazioni Industriali della Banca” (v. nota cit., p. 2).

In data 13 novembre 2023, l’Autorità ha inviato una richiesta di informazioni ai sensi dell’art. 157 del Codice alla Società che, in data 7 dicembre 2023, ha inviato il proprio riscontro. In tale occasione ha dichiarato che:

“le schede di valutazione dal 2003 al 2008 sono state consegnate con il verbale di conciliazione del 30.10.2009, mentre la scheda del 2019 è stata inviata con e-mail dell’11 ottobre 2022” (v. nota 13.11.2023 cit., p. 1);

“solo recentemente – vista l’estrema complessità della ricerca, divenuta ancora più gravosa in considerazione del fatto che le richieste riguardavano un arco temporale estremamente esteso nel corso del quale sono intervenute diverse operazioni societarie con conseguente necessità di archiviazione della documentazione – sono state recuperate le schede di valutazione degli anni 2010-2018, consegnate al lavoratore nel corso dell’incontro tenutosi lo scorso 25 ottobre 2023 presso gli uffici direzionali di Bari” (v. nota cit., p. 1);

“con riferimento alla comunicazione che la Società ha dichiarato di avere fornito al reclamante «telefonicamente [tramite il] Responsabile della UO Relazioni Industriali della Banca» in merito alla impossibilità di fornire un riscontro entro il termine di un mese dal ricevimento dell’istanza di accesso, siamo in grado di produrre il verbale dell’incontro del 25 ottobre […] in cui [il reclamante] conferma di aver ricevuto la telefonata in questione che lo informava della necessità di un termine ulteriore per la risposta, oltre a dichiararsi soddisfatto del riscontro avuto e della documentazione fornita dalla Banca” (v. nota cit., p. 1).

2. L’avvio del procedimento e le deduzioni della Società.

In data 11 marzo 2024, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento.

In data 22 marzo 2024, la Società ha presentato i propri scritti difensivi e in quell’occasione ha evidenziato che:

“la richiesta dell’interessato è stata avanzata a distanza di alcuni anni da una conciliazione in sede sindacale avvenuta nel 2009, relativa ad una prospettata controversia di lavoro - nelle cui more era stata formulata anche una domanda di accesso ai dati personali ai sensi del Codice Privacy -, al termine della quale il dipendente, accettando l’offerta economica della banca, riceveva in copia diversi documenti relativi allo svolgimento del proprio rapporto di lavoro, alcuni dei quali facenti parte della istanza in oggetto cui ci si riferisce” (v. nota 22/03/2024 cit., p. 1);

“l’istanza presentata nel 2022, indirizzata all’allora Ufficio Amministrazione del Personale, è stata pertanto considerata una reiterazione della precedente rivendicazione giuslavoristica, anch’essa finalizzata ad addivenire ad un nuovo accordo economico sulla scorta di quello sottoscritto nel 2009, e ciò sia in ragione della corrispondenza con la pregressa vicenda di cui sopra, sia per la tipologia dei documenti richiesti (ad esempio comunicazioni di attribuzioni incarichi, sedi della banca presso le quali tempo per tempo erano state svolte mansioni specifiche, giudizi sintetici di valutazione ecc.)” (v. nota cit., p. 1);

“nel riscontro fornito dalla Banca in data 11.10.2022, è stata trasmessa copiosa documentazione, risalente sino a venti anni prima della data della richiesta, focalizzando l’attenzione sui documenti relativi all’esecuzione della prestazione lavorativa piuttosto che agli aspetti più specificatamente connessi al trattamento dei dati personali” (v. nota cit., p. 1);

“le informazioni richieste venivano integrate nel secondo riscontro fornito dalla Banca in data 3.08.2023, nonché nell’incontro avvenuto in data 25.10.2023, a seguito del quale il richiedente (come risulta dal verbale del medesimo incontro) non solo si era dichiarato «pienamente soddisfatto del riscontro e della documentazione forniti dalla banca a fronte delle sue istanze», ma aveva di fatto rinunciato al diritto di accesso, precisando «di non aver null’altro a pretendere» in ordine alle istanze medesime. In considerazione di ciò la Banca ha ritenuto di aver pienamente soddisfatto le istanze dell’interessato” (v. nota cit., p. 1);

“il ritardo accumulatosi, nel soddisfare le esigenze di accesso ai dati personali e di documentazione del dipendente, deve considerarsi tuttavia un fatto episodico, […], riconducibile alla iniziale trattazione della richiesta nell’ambito di pregresse rivendicazioni di natura giuslavoristica” (v. nota cit., p. 1);

“tale episodicità può essere affermata in relazione alla costante elevata attenzione che il nostro Gruppo bancario riserva alla materia della protezione dei dati personali, che si poggia sul sistema di gestione dei relativi adempimenti, […] nonché all’adozione delle misure di mitigazione del rischio di ripetersi di tale episodio adottate in maniera specifica” (v. nota cit., p. 1).

Al riscontro del 22 marzo 2024 la Società ha allegato copia del documento denominato “Policy di Gruppo in materia di trattamento dei dati personali”, aggiornata a dicembre 2023, copia del documento denominato “Procedura operativa per la gestione dei diritti degli interessati” nonché il prospetto di cui all’art. 83 del Regolamento nel quale è riportato che:

- con riferimento all’art. 83, par. 2, lett. a), del Regolamento “in relazione alla richiesta di accesso ai dati del dipendente del 28.07.2022 pervenuta il 03.08.2022 alla banca ed alla notifica di violazione di codesta Autorità, si precisa che: - vi è un solo interessato coinvolto; - la richiesta dell’interessato è stata avanzata a distanza di alcuni anni da una conciliazione in sede sindacale del 2009”;

- “in data 25.10.2023, si è svolto un incontro tra il responsabile della U.O. Relazioni Industriali della banca e l’interessato, per integrare e completare la documentazione già prodotta il 3.08.2023”;

- con riferimento all’art. 83, par. 2, lett. b), del Regolamento “la richiesta iniziale dell’interessato, indirizzata all’allora Ufficio Amministrazione del Personale, è stata gestita per circa un anno, sino al 26.07.2023, data nella quale l’invito ad aderire di codesta Autorità veniva portato per la prima volta a conoscenza del DPO della Banca, unicamente come reiterazione di azioni del dipendente finalizzate ad ottenere un nuovo accordo economico sulla scorta di quello ottenuto nel 2009. Dal momento della presa in carico della richiesta, il DPO si attivava verso la U.O. Relazioni Industriali, attuale referente per la materia relativa alla richiesta in questione, richiedendo un quadro sinottico riportante i dati e la documentazione relativa ai vari aspetti del rapporto di lavoro dell’interessato a far data dal 1994, anno di assunzione del dipendente presso la acquisita Banca di Calabria. Sulla base di tale riepilogo, veniva fornito in data 3 agosto 2023 il riscontro alla richiesta dell’interessato, inviata per conoscenza a codesta Autorità”;

- con riferimento all’art. 83, par. 2, lett. c), del Regolamento “la Banca ha predisposto e pubblicato, con visualizzazione per almeno cinque giorni consecutivi ogni bimestre, apposita comunicazione di sensibilizzazione, tramite avviso sull’home page della intranet aziendale, finalizzata a ribadire la necessità di interessare entro il breve termine previsto in normativa interna (entro il giorno successivo alla ricezione) l’ufficio del DPO in caso di richieste di esercizio dei diritti degli interessati ovvero di richieste che contengano qualsiasi riferimento alla normativa in tema di protezione dei dati personali o di dubbio in ordine all’inquadramento della richiesta. La Banca ha, inoltre, pianificato una specifica formazione da erogare entro il mese di maggio alle unità organizzative Risorse Umane e Relazioni Industriali di Gruppo in merito alla gestione delle richieste di esercizio dei diritti da parte dei dipendenti e assimilati (quali tirocinanti, candidati all’assunzione e consulenti esterni)”;

- con riferimento all’art. 83, par. 2, lett. d), del Regolamento “presso la Banca è stata emanata una «Policy di gruppo in materia di trattamento di dati personali ai sensi del Regolamento UE 2016/679 e del D.lgs. 196/2003 - edizione Dicembre 2023) che promuove i principi della protezione dei dati personali ed un regolamento aziendale (Manuale privacy -Regolamento aziendale per il trattamento dei dati personali-aggiornamento gennaio 2023) attuativo di tali principi che richiama al suo interno la «Procedura operativa per la gestione dei diritti degli interessati». In detto regolamento sono altresì riportate le norme che le persone autorizzate ai trattamenti di dati personali, elencati, dopo le prescritte analisi del rischio, nel registro dei trattamenti della banca, devono osservare per rispettare le prescrizioni della normativa, europea ed italiana, in materia di protezione dei dati personali”;

- “la Banca ha adottato per l’analisi privacy by design e by default una policy dedicata corredata da una specifica scheda ed una metodologia per la valutazione di impatto”;

- “i dipendenti della Banca sono destinatari di formazione in materia di protezione dei dati personali (corsi e-learning dai titoli «Il nuovo Regolamento europeo sulla protezione dei dati» e «La protezione dei dati personali: GDPR e Codice della Privacy»). Inoltre, nel primo trimestre dello scorso anno sono state tenute varie sessioni formative a distanza che hanno visto coinvolta la Rete (Responsabili di filiale) per ribadire le modalità di adempimento delle prescrizioni della normativa in questione, (ivi compreso il riscontro delle richieste di esercizio dei diritti degli interessati) in relazione all’operatività di rete”;

- “nel dicembre 2023, con l’obiettivo di uniformare e dare maggiore rilievo alle attività di controllo sulla normativa in materia di protezione di dati personali, è stata accentrata a livello di Capogruppo la Funzione Data Protection Officer e le componenti del Gruppo hanno designato un unico DPO, dipendente della Capogruppo”;

-  con riferimento all’art. 83, par. 2, lett. f), del Regolamento “la Funzione DPO, dal momento in cui è stata interessata, è intervenuta direttamente nell’istruttoria della richiesta dell’interessato, curando […] le richieste di informazioni pervenute dall’Autorità”.

3. Esito del procedimento.

3.1  Fatti accertati e osservazioni sulla normativa in materia di protezione dei dati personali.

In base all’art. 12 del Regolamento, “il titolare del trattamento adotta misure appropriate per fornire all'interessato […] le comunicazioni di cui agli articoli da 15 a 22 […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro […]. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato” (par. 1); inoltre “il titolare del trattamento agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15 a 22” (par. 2).

Il paragrafo 3 dell’art. 12 del Regolamento dispone altresì che “il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato”.

Il paragrafo 4 del medesimo articolo precisa che “se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale”.

L’art. 15 del Regolamento dispone che “l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle […] informazioni” indicate nello stesso articolo (par. 1) e che “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune” (par. 3).

3.2 Violazioni accertate: violazione degli artt. 12 e 15 del Regolamento.

In base agli elementi acquisiti nel corso dell’attività istruttoria nonché delle successive valutazioni dell’Ufficio, è risultato accertato che la Società, a fronte dell’istanza di accesso ai dati presentata dal reclamante il 3 agosto 2022 e reiterata (con integrazioni) il 25 agosto 2022, ha fornito allo stesso un riscontro inidoneo in quanto incompleto: solo nel corso dell’istruttoria svolta dinanzi all’Autorità, a seguito della presentazione del reclamo, infatti, la Società ha trasmesso alcune delle informazioni richieste e non indicate in precedenza nonché documentazione non consegnata con il riscontro dell’11 ottobre 2022.

In proposito, la stessa Società ha rappresentato che “nel riscontro fornito dalla Banca in data 11.10.2022, è stata trasmessa copiosa documentazione, risalente sino a venti anni prima della data della richiesta, focalizzando l’attenzione sui documenti relativi all’esecuzione della prestazione lavorativa piuttosto che agli aspetti più specificatamente connessi al trattamento dei dati personali” (v. nota 22/03/2024, p. 1) e che quanto contenuto nella nota del 3 agosto 2023 - inviata a seguito di invito ad aderire dell’Autorità - ha integrato, con riferimento alle richieste di accesso del reclamante, il riscontro inviato a quest’ultimo in data 11 ottobre 2022 (v. nota 3/08/2023, p. 1).

La Società ha inoltre dichiarato di avere integrato e completato la documentazione prodotta il 3 agosto 2023 nell’ambito di un incontro, tra il responsabile della U.O. Relazioni Industriali della Società e l’interessato, che si è tenuto in data 25 ottobre 2023 (v. prospetto di cui all’art. 83 del Regolamento allegato agli scritti difensivi del 22 marzo 2024).

La Società, in particolare, solo in occasione del riscontro inviato anche all’Autorità il 3 agosto 2023, ha fornito al reclamante alcune informazioni oggetto delle istanze di esercizio del diritto di accesso, in particolare finalità del trattamento, categorie di dati personali, categorie di destinatari, periodo di conservazione dei dati personali, informazioni in merito al non ricorso a processi decisionali automatizzati per la gestione del rapporto di lavoro, origine dei dati, responsabili del trattamento.

Inoltre la Società, solo in data 25 ottobre 2023 – in occasione dell’incontro organizzato con il reclamante –, ha consegnato allo stesso le schede di valutazione relative agli anni 2010-2018 (v. verbale di incontro del 25/10/2023, allegato alla nota del 7/12/2023).

In merito alla telefonata intercorsa tra la Società e il reclamante con la quale, in base a quanto dichiarato dagli stessi, il reclamante medesimo sarebbe stato avvertito dell’impossibilità di soddisfare la richiesta entro un mese, si rileva come il riscontro soddisfacente per il reclamante sia arrivato circa un anno e due mesi dopo la presentazione delle istanze, quindi, decorso un tempo considerevolmente più ampio della proroga di due mesi (da aggiungersi al mese ordinario) previsto dal Regolamento (v. art. 12 par. 3 del Regolamento: il termine di un mese per fornire riscontro “può essere prorogato di due mesi, se necessario”).

Considerato quanto previsto dall’art. 12 par. 4 del Regolamento, si rileva altresì come la Società, nel riscontro dell’11 ottobre 2022, non abbia, tra l’altro, indicato alcun motivo per spiegare la (temporanea) impossibilità di fornire quei documenti che poi sono stati consegnati al reclamante nel corso dell’istruttoria aperta dinanzi al Garante, né ha indicato la possibilità, a fronte di un parziale diniego all’istanza di accesso, di presentare un reclamo al Garante o un ricorso all’autorità giudiziaria ordinaria.

Come precisato in materia di diritto di acceso dalle Linee guida 1/2022 sui diritti degli interessati - Diritto di accesso dell’EDPB, adottate il 28 marzo 2023 alle quali sono state apportate lievi modifiche il 30 maggio 2024, “se rifiutano, in tutto o in parte, di soddisfare una richiesta di accesso ai sensi dell'articolo 15, paragrafo 4, GDPR, i titolari del trattamento devono informare l'interessato dei motivi senza ritardo e al più tardi entro un mese dal ricevimento della richiesta (articolo 12, paragrafo 4, GDPR). La motivazione deve fare riferimento alle circostanze concrete per consentire agli interessati di valutare se intendono opporsi al rifiuto, e deve includere informazioni sulla possibilità di proporre reclamo a un'autorità di controllo (articolo 77 GDPR) e di proporre un ricorso giurisdizionale (articolo 79 GDPR)” (v. par. 6.2, par. 174).

Il titolare del trattamento, quindi, a seguito di una istanza di esercizio dei diritti presentata dall’interessato a cui fanno riferimento i dati oggetto di istanza, deve fornire un riscontro allo stesso o nel senso dell’accoglimento della richiesta (art. 12 par. 3 del Regolamento) o contenente l’indicazione dei motivi del diniego e del diritto di presentare un ricorso al Garante o un reclamo all’autorità giudiziaria ordinaria.

Relativamente invece alle schede di valutazione degli anni 2008, 2007, 2006, 2005, 2004, 2003, in merito alle quali è stato dichiarato dalla Società che erano già state consegnate “in occasione del precedente accesso avvenuto nel 2009” e di cui, a conferma, è stata prodotta copia del verbale di conciliazione del 30 ottobre 2009 (v. nota del 3/8/2023), si rammenta l’orientamento della giurisprudenza, frequentemente richiamato dall’Autorità, in base al quale il diritto di accesso “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale” (Corte di Cass. 14 dicembre 2018, n. 32533).

In proposito, le citate Linee guida 1/2022 sui diritti degli interessati - Diritto di accesso precisano che “gli interessati hanno il diritto di accedere a tutti i dati trattati che li riguardano, oppure a parti di essi, a seconda dell'ambito di applicazione della richiesta […]. Di conseguenza, qualora un titolare del trattamento abbia già soddisfatto una richiesta di accesso in passato, e a condizione che la richiesta non sia eccessiva, il titolare del trattamento non può restringere l'ambito di applicazione della nuova richiesta. Ciò significa che in relazione a qualsiasi altra richiesta di accesso dello stesso interessato, il titolare del trattamento non dovrebbe informare l'interessato soltanto in merito alle modifiche dei dati personali trattati o del trattamento stesso, effettuate dopo l'ultima richiesta, a meno che l'interessato dia esplicitamente il suo consenso. In caso contrario gli interessati sarebbero obbligati a raccogliere i dati personali che hanno fornito per ottenere un insieme completo dei dati personali riguardanti le informazioni sul trattamento e sui diritti degli interessati” (punto 111, par. 4.2.3).

Inoltre, sempre le citate Linee guida precisano che “la finalità generale del diritto di accesso consiste nel fornire alle persone informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei loro dati personali, in modo che esse possano essere consapevoli del trattamento e verificarne la liceità, anche per quanto riguarda l'esattezza dei dati trattati” (p. 3) e che “l'interessato non ha […] l'obbligo di motivare la richiesta di accesso, e non spetta al titolare del trattamento valutare se la richiesta sarà effettivamente utile all'interessato per verificare la liceità del trattamento pertinente oppure per esercitare altri diritti. Il titolare del trattamento dovrà dar seguito alla richiesta, tranne nel caso in cui sia evidente che essa è stata presentata in base a norme diverse da quelle in materia di protezione dei dati” (p. 3).

Per i motivi suesposti, risulta quindi accertato che la condotta tenuta dalla Società si è posta in contrasto con quanto previsto dagli artt. 12 e 15 del Regolamento.

Si prende atto, in proposito, di quanto contenuto nel “verbale di incontro” del 25 ottobre 2023, nel quale viene riportato che il reclamante “dichiara di essere pienamente soddisfatto del riscontro e della documentazione complessivamente forniti dalla Banca a fronte delle sue istanze in ordine alle quali dichiara di non aver null’altro a pretendere”.

In proposito, si osserva come, a differenza di quanto dichiarato dalla Società secondo cui il reclamante, a seguito dell’incontro del 25 ottobre 2023, “precisando di non aver null’altro a pretendere” avrebbe così “rinunciato al diritto di accesso” (v. nota 22/03/2024, p. 1), la condotta del reclamante non possa configurare una rinuncia all’esercizio del diritto di accesso, essendo la stessa una dichiarazione di ritenere sufficiente quanto inviato dalla Società, tra l’altro, solo a seguito di molteplici solleciti e a seguito dell’intervento del Garante.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento, nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’assenza di un idoneo riscontro all’istanza di accesso risulta, infatti illecito, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa che ha riguardato l’esercizio del diritto di accesso ai dati, nonché del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

L’Autorità ha altresì ritenuto che il livello di gravità della violazione sia medio, alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno subito.

L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l’autorità di controllo ha preso conoscenza della violazione (v. art. 82, par. 2, e Considerando 148 del Regolamento).

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 12 e 15 del Regolamento comporta l’applicazione della sanzione amministrativa prevista dall’art. 83 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da BDM Banca S.p.A., di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

la gravità della violazione che riguarda fattispecie punite più severamente in ragione dell’interesse protetto dalle norme violate (riguardanti l’esercizio dei diritti degli interessati);

la durata della violazione (pari a circa un anno e due mesi);

il numero di interessati coinvolti pari a uno;

la precedente violazione, accertata con provvedimento n. 160, del 7 marzo 2024, sempre in materia di esercizio del diritto di accesso;

con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare sono stati presi in considerazione gli elementi oggettivi della condotta della Società e il grado di responsabilità della stessa che ha violato l’obbligo di diligenza previsto dall’ordinamento;

a favore della Società, sono state tenute in considerazione le attività poste in essere dalla stessa, in particolare la predisposizione di una apposita  comunicazione, tramite avviso sulla home page della intranet aziendale, finalizzata a ricordare la necessità di interessare l’ufficio dell’RPD, entro il giorno successivo alla ricezione dell’istanza, in caso, tra l’altro, di richieste di esercizio dei diritti degli interessati, la formazione del personale in materia di esercizio dei diritti e la documentazione aziendale predisposta sul punto.

Si ritiene inoltre che assumano rilevanza nel caso di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio d’esercizio per l’anno 2023 (ultimo disponibile).

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di BDM Banca S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 20.000 (ventimila/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle caratteristiche concrete della fattispecie presa in considerazione, in particolare valutata la condotta della Società che ha fornito un riscontro relativamente al quale il reclamante si è dichiarato soddisfatto, solo a seguito dell’apertura dell’istruttoria da parte dell’Autorità e considerato anche il precedente provvedimento adottato dall’autorità nei confronti della Società sempre in materia di esercizio dei diritti (provv. n. 160 del 7 marzo 2024).

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da BDM Banca S.p.A. (già Banca Popolare di Bari S.p.A.) in persona del legale rappresentante, con sede legale in Corso Cavour n. 19 – Bari – C.F. 00254030729, nei termini di cui in motivazione, per la violazione degli artt.  12 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima BDM Banca S.p.A., di pagare la somma di euro 20.000 (ventimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

quindi a BDM Banca S.p.A. di pagare la predetta somma di euro 20.000 (ventimila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet dell’Autorità;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 12 dicembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scoraza

IL VICE SEGRETARIO GENERALE
Filippi