Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione - 14 dicembre 2017 [8051283]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
8051283
Data:
14/12/17
Argomenti:
Banche credito e finanza , Informativa
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 8051283]

Ordinanza ingiunzione - 14 dicembre 2017

Registro dei provvedimenti
n. 536 del 14 dicembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

RILEVATO che sulla scorta degli elementi acquisiti nell´ambito di un´attività di indagine disposta dalla Procura della Repubblica presso il Tribunale di Bologna (proc. Pen. n. 11124/12 R.G.N.R.), il Nucleo polizia tributaria della Guardia di finanza di Bologna, previa nulla osta concesso dalla Procura della Repubblica di Bologna (P.M. dott.a Beatrice Ronchi), ha accertato che il sig. XX Cod. Fisc.: XX, nato a XX il XX, designato responsabile dei dati personali della clientela a lui assegnata per conto di Banca Fideuram s.p.a. ha effettuato un trattamento di dati personali di alcuni clienti al fine di "(…) attivare contratti di conto corrente correnti e/o per la reintestazione di prodotti finanziari  nonché per la sottoscrizione, variazione di titolarità e/o di recapito, liquidazione di fondi, e altri prodotti finanziari e/o assicurativi di società di gestione  del risparmio (SGR) e di investimento a capitale variabile (SICAV) non richieste e quindi per finalità ulteriori rispetto a quelle per le quali i dati stessi sono stati forniti (…)", senza che venisse resa l´informativa ai sensi dell´art. 13 del Codice e venisse acquisito il consenso di cui all´art. 23 del Codice;

VISTO il verbale n. 100/2015 del 24 settembre 2015, che qui si intende integralmente richiamato, con cui sono state contestate al sig. XX nella sua qualità di responsabile del trattamento dei dati/trasgressore, le violazioni amministrative previste dagli artt. 161 e 162, comma 2-bis del Codice, per aver effettuato un trattamento di dati personali per attivare contratti di conto corrente e/o per la reintestazione di prodotti finanziari  nonché per la sottoscrizione, variazione di titolarità e/o di recapito, liquidazione di fondi, e altri prodotti finanziari e/o assicurativi di società di gestione  del risparmio (SGR) e di investimento a capitale variabile (SICAV) non richieste e quindi per finalità ulteriori rispetto a quelle per le quali i dati stessi sono stati forniti, omettendo di rendere l´informativa ai sensi dell´art. 13 del medesimo Codice e senza acquisire il consenso al trattamento dei dati ai sensi dell´art. 23 del Codice;

RILEVATO dal rapporto predisposto dal Nucleo di polizia tributaria della Guardia di finanza di Bologna, ai sensi dell´art. 17 della legge n. 689/1981, che non risulta effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi datati 13 novembre 2015, inviati ai sensi dell´art. 18 della legge n. 689/1981, con cui il sig. XX, nell´ammettere le condotte contestate, ha evidenziato, richiamando sia il provvedimento del Garante denominato "Linee guida per trattamenti dati relativi al rapporto banca-clientela" - 25 ottobre 2007 (in www.garanteprivacy.it, doc. web n. 1457247) sia il provvedimento del Garante denominato Istituti di credito - Criteri generali in materia di informativa e richiesta del consenso dell´interessato - 28 maggio 1997 (in www.garanteprivacy.it, doc. web n. 40425), come "(…) Banca Fideuram aveva dato regolare informativa ai clienti acquisendo il relativo consenso al trattamento dei dati personali quando prescritto", rilevando, altresì, come "(…) non ha proceduto a un trattamento illecito di dati e non avrebbe dovuto consegnare alcuna informativa trattandosi di operazioni astrattamente già autorizzate dal cliente nell´ambito del rapporto bancario. Il compimento di operazioni bancarie non consapevoli dovrebbe dunque essere valutato sotto distinti profili di responsabilità  (oggetto di vagli dalla Procura), posto che i clienti avevano a suo tempo consentito al trattamento dei propri dati ricevendo la prescritta informativa". Da quanto rappresentato, il trasgressore ha fatto discendere che "La circostanza (…) che alcuni clienti fossero all´oscuro delle perdite o delle successive distrazioni di denaro subite non configura affatto un illecito trattamento dei dati o un´omessa informativa (già consegnata ad inizio rapporto una tantum), bensì una condotta eventualmente riconducibile ad altre fattispecie, in relazione alle quali è pendente apposito procedimento penale. D´altra parte lo stesso pubblico ministero, che pure ha esercitato l´azione penale (…) per questi stessi fatti contestati dalla guardia di finanza, non ha ritenuto di contemplare tra i capi di imputazione le fattispecie incriminatrici previste dal d.lgs. 196/2003". Peraltro, sempre sulla scorta delle argomentazioni prospettate, ha evidenziato "L´assenza di adeguata istruttoria (…) e di un adeguato accertamento costituirebbe già di per sé indice dell´illegittimità dell´´irrogazione delle sanzioni di cui al verbale in oggetto". Il trasgressore, poi, rilevando "(…) la prescrizione o comunque la decadenza del potere di accertamento e di irrogazione delle sanzioni per decorso del termine di legge", ha argomentato "Sull´assorbimento della(e) condotta(e) (oggetto di contestazione) nelle fattispecie penali e sul divieto del ne bis in idem alla luce delle recenti pronunce CEDU (causa Grande Stevens e altri contro Italia) e Cassazione";

CONSIDERATO che le argomentazioni addotte non consentono di escludere la responsabilità della parte in relazione a quanto contestato. Preliminarmente si evidenzia come, diversamente da quanto prospettato, le condotte contestate, sostanzialmente ammesse dal trasgressore nella memoria difensiva, determinano, così come puntualmente descritto nel verbale di contestazione per gli effetti di cui all´art. 13 della legge n. 689/1981, un trattamento di dati personali così come definito ai sensi dell´art. 4, comma 1, lett. a) e b) del Codice.

Si evidenzia altresì come il sig. XX è stato qualificato dall´organo accertatore quale "responsabile dei dati personali della clientela a lui assegnata per conto di Banca Fideuram s.p.a.", senza che tale posizione sia stata in alcun modo contestata.

Sulla scorta di tale presupposto si osserva come il Codice dispone che gli adempimenti siano posti in essere, in primo luogo, dal titolare del trattamento che, secondo quanto è previsto all´art. 28 del Codice, quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è "l´entità nel suo complesso". Il titolare del trattamento(Banca Fideuram s.p.a.) può, nell´ambito del potere di organizzazione del trattamento dei dati, delegare l´assolvimento di taluni adempimenti anche, come nel caso di specie, a persone fisiche individuate quali responsabili del trattamento.

Il sig. XX, quale responsabile del trattamento designato, avendo evidentemente agito al di fuori delle istruzioni impartite da Banca Fideuram s.p.a. quale titolare del trattamento dei dati, è stato qualificato quale trasgressore a cui è attribuita la responsabilità derivante dalle violazioni agli artt. 13 e 23 del Codice. Non vi è dubbio, infatti, che la titolarità dei trattamenti oggetto del presente procedimento, per gli effetti degli artt. 4, comma 1, lett. f) e 28 del Codice, debbano ricondursi in capo al sig XX, che ha esercitato i poteri e le prerogative previste dai citati articoli al fine porre in essere le condotte contestate (sul punto vgs Ord. ing n. 362 del 18 giugno 2015, in www.garanteprivacy.it, doc. web n. 4253116 e Ord. ing. n. 148 del 31 marzo 2016, in www.garanteprivacy.it, doc. web. n. 4858951) .

Ne discende che riguardo i citati provvedimenti del Garante denominati "Linee guida per trattamenti dati relativi al rapporto banca-clientela" del 25 ottobre 2007 e "Istituti di credito - Criteri generali in materia di informativa e richiesta del consenso dell´interessato" del 28 maggio 1997, se ne rileva l´inconferenza, atteso che le condotte oggetto di contestazione, riguardando autonome e distinte finalità del trattamento, sono state poste in essere nell´inconsapevolezza degli interessati e quindi senza aver reso un´informativa e senza aver acquisito il consenso, configurando in tal modo la violazione dell´art. 13 e dell´art. 23 del Codice.

Risultano poi prive di pregio anche le argomentazioni "Sull´assorbimento della(e) condotta(e) (oggetto di contestazione) nelle fattispecie penali e sul divieto del ne bis in idem (…)".

Sia relativamente al rilievo inerente la violazione dell´art. 13 che la violazione dell´art. 23 del Codice, pur tenendo conto della richiamata giurisprudenza della CEDU e della Corte di Cassazione, si osserva come sia inconferente il richiamato istituto del concorso apparente di norme, atteso che, con specifico riferimento alla violazione dell´art. 13 del Codice, la condotta afferente l´omessa o inidonea informativa agli interessati sostanzia esclusivamente un illecito di natura amministrativa, ove tale condotta omissiva non è prevista quale elemento costitutivo in nessuna fattispecie penalmente rilevante, anche astrattamente con riferimento alle norme incriminatrici del Codice.

Diversamente, con riferimento alla violazione dell´art. 23 del Codice, si rileva come, nonostante la mancata acquisizione del consenso rientri nell´ambito delle condotte previste dall´ipotesi di reato di cui all´art. 167 del Codice, la formula della norma sanzionatoria amministrativa di cui all´art. 162, comma 2-bis del Codice che punisce la violazione dell´art. 23 "è altresì applicata in sede amministrativa, in ogni caso, la sanzione…" consente di fare salva l´irrogazione della sanzione amministrativa pecuniaria nei casi in cui la condotta dell´agente integri un´ipotesi di reato anche astrattamente con riferimento alle norme incriminatrici del Codice.

Inoltre, nel ribadire come la condotta afferente la contestata violazione dell´art. 13 del Codice sostanzi esclusivamente un illecito di natura amministrativa, giova evidenziare come la valutazione in ordine alla ricorrenza dell´istituto della connessione (per pregiudizialità) della violazione amministrativa con un reato, ex art. 24 della legge n. 689/1981, è rimessa esclusivamente all´Autorità giudiziaria procedente.

Che tali valutazioni siano di competenza dell´Autorità giudiziaria e precedano la fase di contestazione è esplicitato nell´art. 14, comma 3, della medesima legge: quando la connessione non sussiste, l´Autorità giudiziaria dispone "con provvedimento" la trasmissione degli atti all´"autorità competente" per la contestazione della violazione amministrativa e quindi l´avvio del procedimento sanzionatorio.

Del resto, come osservato dalla Corte di Cassazione (sezione II civile, sentenza n. 23477 del 5 novembre 2009), "gli agenti accertatori non possono trasmettere gli atti all´autorità amministrativa senza l´autorizzazione dell´autorità giudiziaria, atteso che spetta a quest´ultima verificare se ricorra o meno la vis attrattiva della fattispecie penale e, ove ritenga che non sussistono i relativi presupposti, adottare gli eventuali provvedimenti per la trasmissione degli atti all´autorità amministrativa: la previsione del segreto istruttorio di cui all´art. 329 c.p.p., che anche gli agenti accertatori sono tenuti ad osservare, impedisce che questi possano assumere l´iniziativa di portare a conoscenza dell´indagato attraverso la contestazione della violazione amministrativa gli elementi raccolti nell´ambito delle indagini penali, la cui divulgazione potrebbe compromettere l´andamento delle indagini stesse".

Nel caso che qui interessa, avendo il Pubblico Ministero di Bologna autorizzato l´utilizzo ai fini amministrativi degli elementi acquisiti in ambito penale, per la contestazione delle violazioni amministrative e avendo successivamente la Guardia di finanza di Bologna inviato il rapporto amministrativo ex art. 17 della legge n. 689/1981 al Garante (adempimento escluso nel caso in cui ricorra l´ipotesi di cui all´art. 24), emerge, dagli atti, la piena competenza del Garante a definire il procedimento sanzionatorio avviato con la contestazione di violazione amministrativa.

In conclusione, il procedimento penale per violazione dell´art. 167 del Codice e il procedimento sanzionatorio amministrativo per violazione delle fattispecie previste dal medesimo articolo di cui all´art. 162, comma 2 bis, procederanno entrambe senza che l´esito o le vicende procedurali dell´uno possano produrre alcun effetto sull´altro. Sotto diverso profilo, la citata concessione da parte del Pubblico Ministero di Bologna dell´autorizzazione per l´utilizzo ai fini amministrativi degli elementi acquisiti in ambito penale datata 17 luglio 2015, determina, ai sensi dell´art. 13 della legge n. 689/1981, il momento dell´accertamento delle violazioni in trattazione, da cui decorrono i novanta giorni per la notifica della contestazione, avvenuta in data 24 settembre 2015, quindi entro il termine previsto dall´art. 14 della citata legge n. 689/1981 e pertanto senza disattendere alcun termine decadenziale;

RILEVATO, pertanto, che il sig. XX ha effettuato un trattamento di dati personali di alcuni clienti al fine di attivare contratti di conto corrente e/o per la reintestazione di prodotti finanziari  nonché per la sottoscrizione, variazione di titolarità e/o di recapito, liquidazione di fondi, e altri prodotti finanziari e/o assicurativi di società di gestione  del risparmio (SGR) e di investimento a capitale variabile (SICAV) non richieste e quindi per finalità ulteriori rispetto a quelle per le quali i dati stessi sono stati forniti, in violazione dell´art. 13 del Codice e omettendo di acquisire il consenso, in violazione dell´art. 23 del Codice;

VISTO l´art. 161 del Codice, che punisce la violazione delle disposizioni di cui all´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle di cui all´art. 23, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l´ammontare delle sanzioni pecuniarie: con riferimento alla violazione di cui all´art. 161 deve essere quantificato nella misura di euro 12.000,00 (dodicimila); con riferimento alla violazione di cui all´art. 162, comma 2-bis deve essere quantificato nella misura di euro 20.000,00 (ventimila), per un importo complessivo, per entrambe le violazioni, pari a euro 32.000,00 (trentaduemila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

al sig. XX Cod. Fisc.: XX, nato a XX il XX, designato responsabile dei dati personali della clientela a lui assegnata per conto di Banca Fideuram s.p.a., di pagare la somma complessiva di euro 32.000,00 (trentaduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dall´art. 161 e 162, comma 2-bis, del Codice, come indicato in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 32.000,00 (trentaduemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 14 dicembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia