g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Poste Italiane S.p.a. - 27 maggio 2021 [9688307]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9688307]

Ordinanza ingiunzione nei confronti di  Poste Italiane S.p.a. - 27 maggio 2021

Registro dei provvedimenti
n. 210 del 27 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento dal Sig. XX nei confronti di Poste Italiane S.p.a. (di seguito “Poste” o “la società”), con il quale lo stesso ha lamentato la presunta illecita comunicazione di dati contabili riferiti alla sua carta postepay ad un soggetto terzo non autorizzato;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria.

1.1 Con il reclamo regolarizzato in data 20 aprile 2020, il Sig. XX ha lamentato l’illiceità del trattamento dei dati personali che lo riguardano posto in essere da Poste Italiane S.p.a., con specifico riferimento all’illecita comunicazione, da parte di un operatore dell’ufficio postale di Barbarasco (Comune di Tresana, prov. di Massa) dei dati riferiti al saldo della carta prepagata Postepay, di cui lo stesso era titolare ad un soggetto terzo non autorizzato (nello specifico, la madre). Con successiva nota del 7 luglio 2020, il reclamante ha chiesto all’Ufficio di “porre in standby il procedimento in attesa delle scelte di Poste Italiane” nei cui confronti era stata avanzata “domanda stragiudiziale di risarcimento”. Di seguito, con comunicazione del 6 agosto 2020, l’interessato, nel far presente all’Autorità che Poste aveva “accertato la violazione e si scusava per l’avvenuta violazione”, ha formulato istanza di prosecuzione del procedimento istruttorio.

L’Ufficio ha quindi invitato la società a fornire informazioni e chiarimenti sui fatti oggetto di reclamo; quest’ultima, con comunicazione del 5 febbraio 2021 (comprensiva di n. 10 allegati), nel ricostruire la vicenda e le interlocuzioni con il reclamante, ha precisato che:

a) con le note del 19 febbraio 2020 e 18 giugno 2020, il reclamante è stato informato che dalle verifiche effettuate era stato “accertato che il rilascio del saldo della carta Postepay allo stesso intestata, avvenuto contestualmente all’effettuazione di un’operazione di ricarica sulla carta stessa, è da ricondursi ad un mero errore materiale” e che si era “provveduto a richiamare l’operatore ad osservare una maggiore attenzione nello svolgimento delle proprie mansioni”;

b) successivamente il reclamante, con nota del 2 luglio 2020, ha chiesto a Poste l’adozione di provvedimenti nei confronti dell’operatore che aveva effettuato la ricarica, evidenziando altresì come il predetto comportamento “gli avesse procurato un danno ingiusto ex art. 2043 del Codice civile”;

c) con riferimento all’accaduto, le strutture aziendali preposte hanno accertato che, in occasione di una operazione di ricarica per un importo di euro 30 effettuata dalla madre del reclamante sulla carta Postepay allo stesso intestata, l’operatore di sportello aveva “eseguito una inquiry sul saldo della carta ricaricata”. In proposito, la società ha dichiarato di avere fornito ai propri dipendenti e collaboratori, rispetto allo svolgimento di operazioni da effettuarsi sulle carte prepagate Postepay di persone fisiche, “specifiche istruzioni operative, specie con riguardo all’identificazione del soggetto richiedente” e che, anche nel caso di specie - benché “l’operazione di ricarica delle carte Postepay non sia vincolata da una coincidenza tra richiedente e titolare della carta” - l’operatore in questione ha provveduto all’identificazione della Sig.ra (…), acquisendone il codice fiscale e gli estremi del documento di identità; l’operatore ha tuttavia compiuto “un errore materiale - “per il quale è già stato richiamato a prestare maggiore attenzione nello svolgimento delle proprie mansioni” - rilasciando alla richiedente il saldo del movimento appena posto in essere, “probabilmente per dare conferma alla Sig.ra (…) del buon esito dell’operazione”.

1.2. L’Ufficio, sulla base degli elementi acquisiti nel corso dell’attività istruttoria, con nota del 24 febbraio 2021, ha notificato al titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e 6 del Regolamento nonché delle misure e degli accorgimenti di cui ai par. 3.1. e 3.2 del provvedimento del Garante del 25 ottobre 2007 concernente “Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario” (par. 3.1 e 3.2 - doc. web n. 1457247), in quanto compatibili con il nuovo quadro regolatorio ai sensi dell’art. 22, comma 4 del d.lg. n. 101/2018. Con la medesima nota la società veniva invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

1.3 La società, in data 29 marzo 2021, provvedeva a far pervenire i propri scritti difensivi, che qui integralmente si richiamano, con i quali ha rappresentato che:

a) come già evidenziato nella precedente nota del 5 febbraio 2021, Poste Italiane S.p.a., “tenuto conto del particolare mercato in cui opera (inclusivo del settore bancario, assicurativo, telefonico, immobiliare e postale)” e “da sempre consapevole dei rischi connessi ad una erronea gestione dei propri prodotti (…), ha adottato ed implementato misure tecniche e organizzative volte a garantire un’effettiva tutela dei dati personali”. In particolare, ha previsto:

1.  “un modello organizzativo privacy” che, oltre alla designazione di un Responsabile protezione dati e alla definizione e formalizzazione di ruoli e responsabilità dei dipendenti, individua nell’organigramma aziendale un ufficio deputato alla gestione delle tematiche rilevanti in materia di protezione dei dati personali;

2. “modelli procedurali che consentano una responsabilizzazione a più livelli e un monitoraggio continuo delle attività realizzate dal personale operante su tutto il territorio nazionale”;

3. un “corpus documentale privacy” di natura organizzativa, anche ai fini di un costante aggiornamento in materia, che comprende, tra l’altro, “Linee guida privacy by design e by default, Linee guida in materia di gestione dei consensi, manuali operativi procedurali, istruzioni per il personale dipendente in cui si richiama espressamente il divieto di comunicare i dati personali riferibili ai propri clienti a soggetti terzi non autorizzati”;

4.  “un piano di formazione aziendale (…)”;

b) nel caso di specie, “l’operatore si è discostato dalle istruzioni privacy che aveva ricevuto (…) e ha commesso, dal punto di vista oggettivo, un errore materiale”; dagli accertamenti effettuati è peraltro emerso che l’operatore in questione “ha agito in completa buona fede (…) in quanto già in passato la Sig.ra era stata delegata dal proprio figlio ad agire per suo conto in quel medesimo ufficio postale e mai il Sig. XX aveva contestato alcunché in tali occasioni (né in merito alle ricariche effettuate né rispetto ad altri profili legati alla gestione da parte di Poste Italiane della sua carta prepagata”); tale circostanza, se non altro, lo avrebbe “indotto a fare legittimo affidamento sull’esistenza di una idonea procura” da parte del reclamante a far compiere alla madre “le specifiche richieste di ricarica della carta e di visualizzazione del saldo per suo conto”; quanto sopra esposto deve essere peraltro contestualizzato, posto che trattasi di un fatto risalente al 2014 “verificatosi in una frazione di un piccolo paese in provincia di Massa Carrara (…) ove la conoscenza personale tra i cittadini del paese ben potrebbe avere indotto l’operatore a non richiedere particolari giustificativi dei poteri di rappresentanza della Sig.ra (…), rivelatasi poi falsus procurator, soprattutto se già in passato dalla stessa legittimamente esercitati”; Poste ha quindi ulteriormente sottolineato come “l’insieme dei fattori sopra esposti hanno ingenerato un’apparenza del diritto tale da giustificare l’incolpevole affidamento dell’operatore postale ai sensi anche dell’art. 1398 c.c.”;

c) a seguito della segnalazione dell’interessato al Centro Servizi Privacy della società, quest’ultima, all’esito degli accertamenti, ha  provveduto a richiamare l’operatore postale responsabile dell’erronea comunicazione a una maggiore attenzione nello svolgimento delle proprie mansioni; purtuttavia trattasi “di un caso isolato e risalente nel tempo” che “non può essere assunto come sintomatico di un difetto di attenzione della società ai profili rilevanti in materia di protezione dei dati personali o, più in generale, di una sistematica carenza di sicurezza, integrità, riservatezza, liceità e trasparenza dei trattamenti di dati personali dalla stessa posti in essere”;

d) con riferimento all’eventuale irrogazione di una sanzione, occorrerebbe considerare quanto specificato nelle Linee Guida del WP-253 laddove si lascia intendere che il concetto di “violazioni minori” di cui al considerando n. 148 del Regolamento “debba applicarsi in via generale, purché nel rispetto del presupposto che non sia stato generato un rischio significativo per i diritti degli interessati”, come appare nel caso di specie; in ogni caso, anche qualora l’Autorità dovesse ritenere di dover infliggere una sanzione amministrativa pecuniaria, nel valutare gli elementi di cui all’art. 83, par. 2, dovrebbe tenere conto, in particolare che “i fatti oggetto di contestazione”, oltre al fatto che “potrebbero essere il frutto di un affidamento incolpevole, sono risalenti nel tempo e sono caratterizzati da una particolare tenuità (cfr. l’esiguo importo del saldo mostrato (…)”) e che “(…) la società si è prontamente mossa, a seguito delle doglianze del Sig. XX, per sottoporre nuovamente all’attenzione dei propri dipendenti l’importanza del rispetto dei principi di correttezza, liceità e trasparenza dei trattamenti (…)”.

2. L’esito dell’istruttoria e del procedimento sanzionatorio.

All’esito dell’esame delle dichiarazioni rese dal titolare del trattamento nel corso del procedimento di cui all’art. 166, comma 5 del Codice, nonché della documentazione acquisita agli atti, questa Autorità formula le seguenti considerazioni.

2.1 Risulta accertato che, nel caso di specie, presso l’ufficio postale di Barbarasco (comune di Tresana, prov. MS) l’operatore postale che ha effettuato la ricarica della carta prepagata Postepay intestata al reclamante su richiesta della persona richiedente, pur avendo correttamente provveduto all’identificazione della richiedente medesima (come da istruzioni operative ricevute dal titolare del trattamento) ha - immediatamente dopo - rilasciato alla stessa il saldo riferito alla carta ricaricata, in assenza del consenso del titolare della carta o di altro legittimo presupposto; da quanto emerso, la condotta illecita, di cui il titolare è venuto a conoscenza solo a seguito delle segnalazioni effettuate dal reclamante in concomitanza alla presentazione del reclamo all’Autorità, ha rappresentato un fatto isolato - risalente al 2014 -  che non ha determinato effetti sul trattamento dei dati personali del reclamante oltre il momento in cui l’illecito è stato commesso. Pertanto, considerato che l’illecito in questione è stato accertato nel corso del presente procedimento ma è avvenuto in una data antecedente l’entrata in vigore del Regolamento, ai fini della determinazione della norma applicabile, occorre richiamare il principio di legalità di cui all’art. 1, comma 2, della legge n.689/1981 secondo cui “le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”. Ciò determina l’obbligo di prendere in considerazione, nel caso di specie, le disposizioni di cui al previgente quadro normativo in materia di protezione dei dati (d.lgs. n. 196/2003, “Codice in materia di protezione dei dati personali”, nella formulazione antecedente alle modifiche intervenute a seguito dell’entrata in vigore del d.lgs. 101/2018), le quali tuttavia, con riferimento all’illecito in questione, recano una sostanziale identità di precetto rispetto al nuovo impianto regolatorio introdotto dal Regolamento; in particolare, la comunicazione di dati personali a soggetti terzi, in assenza del consenso dell’interessato o di altro legittimo presupposto, è illecita sia alla luce delle disposizioni in vigore ante Regolamento (per violazione degli artt. 11, co. 1, lett. a), 23 e 24 del d.lgs. n. 196/2003 nonché delle specifiche misure e accorgimenti di cui ai par. 3.1. e 3.2 del provvedimento del Garante del 25 ottobre 2007 concernente “Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario”, doc. web n. 1457247) sia, in modo sostanzialmente sovrapponibile, in base alle disposizioni di cui agli artt. 5, par. 1, lett. a) e 6 del Regolamento.

3. Conclusioni: l’illiceità del trattamento e la sanzione applicabile.

Alla luce delle considerazioni sopra formulate, tenuto conto che l’illiceità del trattamento in questione è stata accertata in vigenza delle disposizioni del Regolamento e del d.lgs. n. 196/2003 come novellato dal d.lgs. 101/2018, alle stesse deve farsi riferimento per i profili procedurali del presente procedimento, per effetto dell’avvenuta abrogazione dei riferimenti normativi antecedenti; d’altra parte, in base al principio di legalità anzi citato, occorre tenere conto delle norme in vigore al momento della commissione dell’illecito ai fini della determinazione della relativa sanzione

Ciò premesso, nel regime previgente, l’art. 162, comma 2-bis del Codice puniva la violazione delle disposizioni indicate nell’articolo 167 del Codice medesimo, tra cui quelle dell’art. 23, con la sanzione amministrativa del pagamento di una somma da diecimila a centoventimila euro e, ai fini della determinazione dell’ammontare della sanzione, occorreva tenere conto dei criteri di cui all’art. 11 della legge n. 689/1981 citata (tra cui l’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione e la gravità della violazione stessa); ne deriva che, nel caso in esame, la misura della sanzione che deve essere comminata dall’Autorità - in base ai poteri di cui dispone al momento della presentazione del presente reclamo - ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e 166, comma 3 del Codice, deve essere individuata sulla base dei parametri sopra indicati.

4. Ordinanza di ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali riferiti al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti, in relazione ai princìpi e ai presupposti di liceità del trattamento già contenuti negli artt. 11, comma 1, lett. a) e 23 del d.lgs. n. 196/2003 e riprodotti in modo analogo negli artt. 5, par. 1, lett. a) e 6 del Regolamento.

Pertanto, sulla base delle considerazioni di cui al precedente punto 3 del presente provvedimento, tenuto conto della tenuità della violazione in questione - in particolare in ragione del contesto e delle circostanze in cui la condotta si è realizzata (come rappresentato dal titolare nel corso del procedimento), del notevole lasso di tempo trascorso dall’evento e del complesso delle misure tecniche e organizzative adottate dal titolare del trattamento, anche con riferimento alle istruzioni che sono state impartite al personale dipendente (cfr. p. 1.3, lett. a)), si ritiene di dover comminare la sanzione amministrativa di euro 10.000 (diecimila

In tale quadro, in considerazione della tipologia delle violazioni accertate, che hanno riguardato l’inosservanza di principi generali in materia di protezione dei dati, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante, tramite omissione delle generalità del solo reclamante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento nonché dell’art. 166 del Codice, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, da Poste italiane S.p.a. per la violazione dei princìpi e dei presupposti di liceità del trattamento di cui agli artt. 11, comma 1, lett. a) e 23 del d.lgs. n. 196/2003 (nella formulazione antecedente alle modifiche intervenute a seguito dell’entrata in vigore del d.lgs. 101/2018), riprodotti in modo analogo negli artt. 5, par. 1, lett. a) e 6 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Poste Italiane S.p.a. avente sede in Roma, Viale Europa n. 190, P.I. 01114601006, in persona del legale rappresentante pro-tempore di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione.

INGIUNGE

quindi alla medesima società di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei