[doc. web n. 10044553]

Provvedimento del 9 maggio 2024

Registro dei provvedimenti
n. 363 del 9 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento, in data 19 ottobre 2023, con il quale la Sig.ra XX ha lamentato una presunta violazione del Regolamento, con specifico riferimento al mancato riscontro alla richiesta di accesso ai dati personali formulata ai sensi degli artt. 15 del Regolamento e 2-terdecies del d.lgs. 196/2003 (Codice in materia di protezione dei dati personali, come aggiornato dal d.lgs. 101/2018) nei confronti di Unicredit S.p.a.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE: la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo nei confronti dell’istituto di credito e l’attività istruttoria.

Con il reclamo presentato a questa Autorità il 19 ottobre 2023, la Signora XX ha lamentato di non aver ottenuto riscontro, da parte di Unicredit S.p.a. (di seguito “Unicredit” o “la Banca”), a una richiesta di accesso ai dati personali formulata il 4 giugno 2023 ai sensi degli artt. 15 del Regolamento e 2-terdecies del Codice quale erede del defunto XX.

A seguito dell’invito formulato dall’Ufficio a fornire osservazioni in ordine ai fatti oggetto di reclamo nonché ad aderire spontaneamente all’istanza formulata dalla reclamante, la Banca, con nota del 29 gennaio 2024 (inviata alla reclamante e contestualmente a questa Autorità), ha comunicato le informazioni richieste precisando che:

a) “il riscontro alla predetta istanza, specificamente riferita ai finanziamenti in essere presso la Banca (n. […]), è stato fornito con riferimento ai dati trattati, contenuti nei documenti contrattuali relativi ai finanziamenti stessi e nella documentazione a supporto della valutazione del merito di credito effettuata dalla Banca (contenenti, in particolare, i dati reddituali e i preventivi di spesa presentati dal signor XX al tempo delle richieste di finanziamento)”;

b) “tali documenti e dati Le sono stati consegnati, nel corso degli incontri avvenuti tempo per tempo, dalla nostra agenzia di Casale Monferrato, successivamente al decesso del Sig. XX e alla consegna della documentazione successoria. All’esito di tale consegna l’Agenzia ha inteso di aver soddisfatto le Sue richieste, senza necessità di fornire ulteriori informazioni”; 

c) “Per quanto attiene ai suindicati finanziamenti, precisiamo che la Banca ha eseguito la valutazione del merito creditizio attraverso l’esame della documentazione reddituale, patrimoniale e dei preventivi di spesa prodotti dal signor XX - di cui, come detto, Le è stata fornita copia dalla nostra agenzia di Casale Monferrato - nonché degli ulteriori elementi informativi acquisiti in sede di istruttoria della pratica, anche mediante la consultazione delle Banche Dati Crif S.p.A., Experian S.p.A., CTC – Consorzio per la Tutela del Credito (cd. S.I.C.) e Centrale dei Rischi Banca d’Italia”; 

d) infine, “Come già comunicato verbalmente, Le confermiamo che, alla luce di una verifica presso i nostri sistemi e archivi, i finanziamenti in argomento non risultano assistiti da polizze assicurative”.

Con successiva nota del 23 febbraio 2024, la Banca, a fronte della replica della reclamante che, con comunicazione dell’8 febbraio 2024, aveva precisato di non avere mai ricevuto “copia dei documenti sulla base dei quali è stato valutato il merito creditizio di mio fratello […]” bensì “unicamente copia della sua dichiarazione dei redditi riferita all'anno 2018”, ha integrato il riscontro precedente, illustrando come, nel caso di specie, “la procedura ha consultato solo Crif S.p.A. ed Experian S.p.A. […]”, mentre “in Centrale dei Rischi Banca d'Italia non erano presenti segnalazioni. Completata l’istruttoria con le ulteriori notizie desunte dalla documentazione reddituale, patrimoniale e dei preventivi di spesa prodotti dal signor XX e da elementi interni, la valutazione finale delle tre pratiche è risultata positiva. In particolare, sono stati presi in considerazione, quali elementi interni di valutazione, la storicità e l’operatività sempre regolare del rapporto, la canalizzazione della pensione e di canoni mensili per affitti, e l’assenza di elementi negativi”.

Con la medesima nota la Banca, nel precisare altresì che “il finanziamento n. 188[…] è stato richiesto per sostenere spese mediche non documentate (di liquidità)”, ha fornito “nuovamente copia dei due preventivi di spesa presentati dal signor XX e delle richieste/contratto dei tre finanziamenti, specificando che non esiste ulteriore documentazione in relazione ai suddetti finanziamenti”.

2. L’avvio del procedimento.

Per quanto sopra, con nota del 12 marzo 2024, l’Ufficio ha provveduto a notificare alla Banca l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione degli artt. 12, par. 3 e 4 e 15 del Regolamento.
Con la medesima nota, la Banca è stata invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

L’istituto di credito, in data 5 aprile 2024, ha fatto pervenire i propri scritti difensivi, che qui integralmente si richiamano, con i quali, nell’evidenziare che l’istanza avanzata dalla reclamante il 4 giugno 2023 è stata “inviata ad un indirizzo PEC aziendale diverso da quello indicato sull’informativa, anche affissa in Filiale e pubblicata sul sito, proprio al fine di facilitare l’esercizio dei diritti (tra i quali quello di accesso ai dati personali) da parte degli interessati e poter garantire un seguito alle richieste appropriato, completo e tempestivo”, ha fornito alcune precisazioni. In particolare ha rappresentato che:

la reclamante, “in occasione dei suoi accessi presso la filiale di UniCredit […] Casale Monferrato (AL), aveva già ricevuto copia completa di tutta la documentazione richiesta con specifico riguardo alla contrattualistica sottoscritta dal cliente e alla documentazione utilizzata per la valutazione delle richieste di finanziamento che ricomprendeva la documentazione reddituale a suo tempo presentata dal cliente e corredata da preventivi di spesa”; per questa ragione “la banca aveva ritenuto in buona fede, che le richieste formulate dalla sig.ra XX ai sensi degli artt. 15 del Regolamento (UE) 2016/679 e 2-terdecies del d.lgs. n. 196/2003 fossero da ritenersi già completamente soddisfatte con l’immediata consegna di tutta la documentazione relativa a finanziamenti peraltro già perfettamente noti alla ricorrente”;

l’ulteriore riscontro fornito il 23 febbraio 2024 “nulla ha “aggiunto”” rispetto a quanto già non fosse nella disponibilità dell’interessata, bensì ha “semplicemente precisato il dettaglio notorio della consultazione di Banche dati per l’iter istruttorio dei finanziamenti. L’assenza di evidenze negative peraltro è indirettamente ma agevolmente confermata dall’esito positivo delle richieste e conseguente erogazione dei finanziamenti. Non si comprende dunque quali fossero gli altri e diversi “dati personali” cui sarebbe stato negato il tempestivo accesso”;

“in ogni caso Unicredit ha implementato procedure per la gestione delle risposte alle richieste di esercizio dei diritti (tra i quali il diritto di accesso) da parte degli interessati, distinti per categoria di interessati. In particolare, la procedura prevista per l’esercizio dei diritti da parte dei clienti (diversa da quella per la gestione delle richieste/esercizio diritti dei dipendenti) è presidiata ed agita da una struttura della Banca (“Claims”), specificamente formata per curare tali richieste con tempestività e precisione”; in particolare la banca, “consapevole che l’interessato può scegliere anche un canale diverso da quello previsto e pubblicizzato, ha implementato cicli regolari di formazione di tutto il proprio personale (incluso il personale delle Filiali); il corso GDPR, indicato tra i corsi di formazione che i dipendenti devono obbligatoriamente completare entro la scadenza data (superandone il relativo test di verifica delle competenze), è stato distribuito l’ultima volta proprio nel secondo semestre 2023”.

inoltre, a seguito di quanto occorso nel caso in esame, Unicredit, “al fine di accrescere ulteriormente la sensibilità e consapevolezza del personale, ha avviato con estrema celerità e tempestività  uno specifico Piano di Azione finalizzato a consolidare la formazione dei dipendenti nell’individuare e soddisfare compiutamente i clienti nell’esercizio dei loro diritti in materia privacy […]”, con particolare riguardo alle “ipotesi del Cliente che formuli una richiesta di documentazione bancaria ed avanzi contestualmente anche una richiesta di “accesso ai dati personali”; più specificamente, “nell’ambito della campagna di formazione, il personale della Banca è stato sensibilizzato a prestare particolare attenzione al tenore e al contenuto complessivo delle richieste e, nelle ipotesi dubbie, invitato a coinvolgere prontamente ed immediatamente le strutture della Banca deputate a riscontrare le richieste degli interessati, nei modi e nel rispetto dei termini di legge”.

3. La normativa in materia di protezione dei dati personali.

L’art. 12 del Regolamento dispone che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte […] le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento” (par. 1) e che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2).

Il paragrafo 3 del medesimo articolo precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due 6 mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.

In base al paragrafo 4 del medesimo articolo il titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

L’art. 15, par. 1, del Regolamento dispone altresì che “l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali e alle […] informazioni [indicate nello stesso articolo 15].

L’art. 2-terdecies, comma 1, del Codice, infine, prevede che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

4. Le valutazioni dell’Autorità e l’esito dell’istruttoria.

All’esito della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che, nel caso in esame, Unicredit S.p.a. non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dalla reclamante entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”), né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4 del Regolamento).

Solo a seguito della presentazione del reclamo e dell’apertura dell’istruttoria, infatti, la Banca ha fornito all’interessata le informazioni richieste in modo completo, chiarendo le ragioni che hanno determinato il suddetto ritardo; in particolare, nella fattispecie in esame, la Banca ha omesso di comunicare all’interessata i dati richiesti nei termini di legge, ritenendo che l’istanza di accesso ai dati riferiti al de cuius dovesse ritenersi soddisfatta per il fatto di avere già dato seguito alla richiesta di documentazione bancaria, avanzata ai sensi art. 119 del Testo unico bancario (d.lgs. n. 385/1993).

Al riguardo, deve rammentarsi che l’art. 15 del Regolamento riconosce all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e, di conseguenza, in caso affermativo, il diritto “di ottenere l’accesso ai dati” stessi e alle ulteriori informazioni; ciò anche al fine di verificare la correttezza e la completezza dei dati oggetto di trattamento.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2 del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nelle memorie difensive - della cui veridicità si può essere chiamati a rispondere ai sensi del citato art. 168 del Codice - seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

L’omesso tempestivo riscontro all’istanza di accesso ai dati personali riferiti al de cuius avanzata dalla reclamante risulta infatti illecito, nei termini su esposti, per violazione dell’art. 12, par. 3 e 4 del Regolamento; d’altro lato, relativamente alla richiesta di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento”, considerato che la Banca, ricevuta la comunicazione dell’Autorità, ha provveduto a fornire alla reclamante le informazioni richieste, non sussiste il presupposto per l’adozione di un provvedimento ingiuntivo da parte dell’Autorità medesima (art. 58, par. 2, lett. c) e d)).

Pertanto, il reclamo presentato ai sensi dell’art. 77 del Regolamento deve ritenersi fondato e questa Autorità, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

6. Ordinanza di ingiunzione.

La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. b), del Regolamento.
Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

a) la rilevante natura della violazione, che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati;

b) il fatto che il titolare è già stato destinatario di precedenti provvedimenti di cui all’art. 58 del Regolamento in relazione alla medesima violazione; 

c) il grado di responsabilità del titolare che risulta attenuato in quanto lo stesso, non appena avuta contezza della violazione, ha provveduto a fornire all’interessata le informazioni richieste;

d) la collaborazione con l’Autorità nel corso del procedimento;

e) l’esiguo numero di interessati coinvolti (uno);

f) le misure organizzative e formative apprestate dal titolare al fine di evitare la mancata e tempestiva presa in carico di una istanza di accesso ai dati personali che pervenga contestualmente a una richiesta di copia di documentazione bancaria ai sensi dell’art. 119 del Testo unico bancario.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti riferiti al bilancio d’esercizio per l’anno 2022 ed è stato, altresì, considerato che il titolare è già stato destinatario di provvedimenti di cui all’art.  58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 30.000 (trentamila) per la violazione dell’art. 12, par. 3 e 4, del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione dell’art.12, par. 3 e 4, del Regolamento.

ORDINA

a Unicredit S.p.a., con sede legale in legale in Milano, Piazza Gae Aulenti, 3, C.F./P.I. 00348170101, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 30.000 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Unicredit S.p.a. di pagare la somma di euro 30.000 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei