g-docweb-display Portlet

Provvedimento del 25 novembre 2021 [9731887]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9731887]

Provvedimento del 25 novembre 2021

Registro dei provvedimenti
n. 408 del 25 novembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 26 marzo 2021, con il quale il Sig. XX, rappresentato e difeso dall’avv. Pasquale De Lucia, ha lamentato una presunta violazione del Regolamento, con specifico riferimento al mancato riscontro alla richiesta di accesso ai dati personali formulata ai sensi dell’art. 15 del Regolamento nei confronti di Unicredit S.p.a.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo e l’attività istruttoria.

1.1 Con il reclamo presentato a questa Autorità il 26 marzo 2021, il Sig. XX ha lamentato di non avere ottenuto riscontro da parte di Unicredit S.p.a. (di seguito “istituto di credito” o “la banca”) ad un’istanza di accesso ai dati personali avanzata in data 18 gennaio 2021 ai sensi dell’art. 15 del Regolamento; tale richiesta, inviata all’indirizzo pec del predetto istituto bancario e al Responsabile per la protezione dei dati personali, era volta ad ottenere l’accesso alle informazioni allo stesso riferite trattate dal predetto istituto bancario, anche in relazione al data breach di cui al provvedimento del Garante n. 99 del 10 giugno 2020 (doc. web 9429195).

A seguito dell’invito formulato dall’Ufficio a fornire osservazioni in ordine ai fatti oggetto del reclamo nonché ad aderire spontaneamente alle istanze avanzate dall’interessato, Unicredit S.p.a., con nota del 24 giugno 2021, ha comunicato che, “a causa di un disguido”, i dati e le informazioni richieste sono state fornite al reclamante “solo” con missiva del 1° giugno 2021 e comunque in data antecedente alla ricezione dell’invito formulato dall’Autorità (7 giugno 2021).

1.2 Con nota del 16 agosto 2021 (prot. 42429) l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare a Unicredit S.p.a. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione degli artt. 12 e 15 del Regolamento. Con la medesima nota la banca è stata invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

1.3 Con nota del 13 settembre 2021 (prot. 46159) Unicredit S.p.a., nell’avanzare richiesta di audizione, ha fatto pervenire i propri scritti difensivi, che qui integralmente si richiamano, con i quali ha illustrato la procedura operativa per la gestione delle richieste di esercizio dei diritti degli interessati da parte dell’Ufficio Claims della banca, precisando altresì che:

- il reclamante, cliente di Unicredit, “in data 18 gennaio 2021, per il tramite dell’avv. Pasquale De Lucia, esercitava il proprio diritto di accesso ai dati personali inviando una pec all’indirizzo di posta elettronica del DPO di Unicredit (…). Con tale richiesta il Sig. XX chiedeva chiarimenti rispetto ai dati detenuti da Unicredit anche con riferimento ad una violazione avente ad oggetto i suoi dati personali occorsa nell’ottobre 2019 e, rispetto alla quale, in data 28 ottobre 2019, Unicredit aveva prontamente provveduto a fornire idonea comunicazione mediante il sistema di online banking della Banca. Quindi rispetto a questa parte della richiesta, Unicredit aveva già fornito le informazioni richieste ai sensi del Regolamento oltre un anno prima della richiesta presentata dal Sig. XX”;

- “in data 21 maggio 2021, l’ufficio “Claims” della banca, competente per un ricorso formulato dall’interessato all’Arbitro Bancario Finanziario in data 25 marzo 2021, relativo ad un bonifico non riconosciuto e quindi non attinente alla richiesta di accesso, chiedeva all’Ufficio DPO delucidazioni circa la risposta alla richiesta di esercizio dei diritti formulata dal Sig. XX (citata nel ricorso formulato all’ABF). A seguito di tale richiesta l’ufficio del DPO provvedeva immediatamente allo svolgimento delle dovute indagini interne e accertava che, a causa di un errore materiale – meglio dettagliato nel proseguo della presente memoria difensiva - non aveva dato avvio alla procedura interna della Banca per fornire riscontro alle richieste degli interessati. Tuttavia, non appena accertato l’errore, Unicredit provvedeva a riscontrare la richiesta ricevuta, fornendo al Sig. XX tutti i dati oggetto della stessa tramite la comunicazione del 31 maggio 2021 (…). Solo successivamente (…), in data 7 giugno 2021, Unicredit veniva a conoscenza del fatto che il Sig. XX aveva formulato reclamo al Garante (…)”;

- nel caso in esame, benché “sul processo di gestione dell’esercizio dei diritti la banca abbia definito due controlli campionari di secondo livello, trimestrali e a cura dell’ufficio del DPO, il primo relativo ai tempi di risposta, il secondo sulla qualità della risposta), l’ufficio che ha ricevuto la comunicazione dell’interessato (…) ha visualizzato la e-mail ricevuta, cosicché la stessa è risultata letta (…) tuttavia non ha provveduto a revisionarne l’oggetto e conseguentemente ad inoltrarla immediatamente all’ufficio Claims di Unicredit, competente a fornire i relativi riscontri, cosi come richiesto dalla sopra richiamata procedura. È evidente quindi come il ritardo nel riscontro al Sig. XX non sia stato dovuto ad una mancanza delle misure organizzative della società. Piuttosto il ritardo si è verificato per un mero errore materiale la cui incidenza, nonostante l’adozione delle più adeguate procedure, può essere mitigata, ma non può essere del tutto eliminata (…)”. Ciò soprattutto “in un contesto come quello di Unicredit dove le istanze degli interessati sono numerose. Basti pensare che tra gennaio 2020 ed agosto 2021 Unicredit ha ricevuto ben 644 richieste di accesso degli interessati, alle quali la società non ha mancato di dare riscontro in conformità con le procedure interne”;

- nello specifico delle richieste del reclamante, quest’ultimo, in parte aveva già ottenuto le informazioni richieste “ben prima di depositare la richiesta” di accesso e, per altra parte, Unicredit “ha provveduto prontamente a rimediare all’errore materiale fornendo le informazioni non appena si è resa conto dell’errore (…) e ben prima di ricevere qualsivoglia sollecito da parte del Garante”;

- la banca, “al fine di migliorare costantemente la propria operatività a beneficio degli interessati, è in procinto di adottare ulteriori misure correttive”, tra cui, in particolare: a) integrazione “della propria procedura interna, tramite l’individuazione di una risorsa prioritariamente responsabile della presa visione e gestione delle comunicazioni PEC inviate all’Ufficio del DPO, oltre ad una risorsa che subentra alla prima in caso di sua assenza; b) ulteriore accento, durante le proprie attività formative in materia di protezione dei dati personali, rispetto alla necessità per i propri dipendenti di seguire la procedura adottata in caso di ricezione di istanze formulate dagli interessati”;

- “diverse Autorità europee hanno valutato positivamente successive azioni intraprese dai titolari del trattamento per migliorare le attività di trattamento stesse e, in presenza di tali azioni correttive, si sono pertanto astenute dall’applicazione di sanzioni, optando per l’adozione di avvertimenti o ammonimenti in conformità con l’articolo 58, comma 2, lett. b) e c) del Regolamento (…)”.

1.4 In data 13 ottobre 2021 si è svolta l’audizione richiesta da Unicredit S.p.a. ai sensi dell’art. 166, comma 6, del Codice. Nel corso della stessa, l’istituto di credito, nel riportarsi integralmente a quanto già rappresentato negli scritti difensivi, ha ricostruito la cronistoria degli eventi occorsi anche con l’ausilio di un documento esplicativo allegato al verbale di audizione chiedendo, altresì, l’archiviazione del procedimento sanzionatorio.

2. L’esito dell’istruttoria.

2.1 All’esito delle dichiarazioni rese dall’istituto di credito nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che, nel caso in esame, Unicredit S.p.a. non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dal reclamante entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”), né ha provveduto ad informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (art. 12, par. 4 del Regolamento). Peraltro, nella stessa nota di riscontro inviata all’interessato il 1° giugno 2021 (e nella comunicazione trasmessa all’Autorità il successivo 24 giugno), l’istituto di credito in questione si è limitato a rappresentare che il ritardo è stato determinato da “un disguido”, senza fornire al riguardo ulteriori elementi di precisazione. Tuttavia, nel corso del procedimento, la banca ha illustrato nel dettaglio le circostanze dell’”errore materiale” che ha determinato il ritardo nel riscontro all’interessato e la conseguente operatività dell’ufficio “Claims” che, non appena acquisita contezza del predetto errore, ha provveduto a fornire allo stesso le informazioni richieste.

Al contempo l’istituto di credito ha reagito positivamente al procedimento analizzando l’accaduto e migliorando la procedura interna per la gestione delle istanze relative all’esercizio dei diritti ex artt. 15-22 del Regolamento, prevedendo, in particolare, un’implementazione delle misure organizzative e di sensibilizzazione del personale rispetto alla gestione delle istanze degli interessati.

2.2 Nel caso di specie, il reclamo risulta fondato in quanto si ravvisa la violazione del sopra citato art. 12, par. 3 del Regolamento, per l’omesso tempestivo riscontro all’istanza di accesso formulata dal reclamante.

In considerazione dell’adempimento spontaneo da parte del titolare nel corso del procedimento, non sussiste invece il presupposto di adottare un provvedimento rispetto alla richiesta di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento”.

Occorre inoltre considerare che le sopra esposte circostanze relative alle azioni intraprese dal titolare del trattamento sia prima che nel corso del procedimento dinanzi all’Autorità, la collaborazione con l’Autorità medesima nel corso del procedimento e l’assenza di precedenti violazioni, per la medesima fattispecie, a carico di Unicredit S.p.a. inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2 e del Considerando 148 del Regolamento.

2.3. Alla luce delle predette considerazioni si ritiene che, nel caso in esame, sia     sufficiente ammonire l’istituto di credito, titolare del trattamento, ai sensi dell’art.     58, par. 2, lett. b), del Regolamento, per la violazione delle disposizioni in materia     di protezione dei dati personali, con specifico riferimento alla necessità di fornire     un effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità     previsti dall’art. 12 del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) dichiara, ai sensi degli artt. 57, par. 1, lett. a) e 83 del Regolamento, l’illiceità del trattamento effettuato da Unicredit S.p.a., con sede legale in Piazza Gae Aulenti n. 3 Milano, P.I. 00348170101, nei termini di cui in motivazione, per la violazione dell’art. 12, par. 2 e 3 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento ammonisce Unicredit S.p.a. in relazione all’omesso riscontro all’istanza di accesso presentata dal reclamante ai sensi dell’art. 12 del Regolamento;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 novembre 2021

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei