g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Bper Banca S.p.A. - 15 settembre 2022 [9815947]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9815947]

Ordinanza ingiunzione nei confronti di Bper Banca S.p.A. - 15 settembre 2022

Registro dei provvedimenti
n. 305 del 15 settembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 22 agosto 2019 dal dott. XX nei confronti di Bper Banca S.p.A. e regolarizzato, in parte, l’8 novembre 2019 e, infine, il 27 maggio 2020;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo presentato il 22 agosto 2019, poi regolarizzato, a seguito di inviti a regolarizzare, in parte l’8 novembre 2019 e, infine, il 27 maggio 2020, il dott. XX ha lamentato presunte violazioni del Regolamento da parte di Bper Banca S.p.A. (di seguito, la Società), con riferimento al tardivo e inidoneo riscontro alle istanze di cancellazione ex art. 17 del Regolamento presentate dal reclamante con riferimento ai suoi dati relativi trattati dalla Società.

La Società, nel fornire riscontro alla richiesta dell’Ufficio del 10 luglio 2020, con nota del 17 agosto 2020 ha dichiarato che:

a. “in data 12 gennaio 2019 il [reclamante] chiedeva, con mail all’indirizzo serviziopersonale@pber.it, quale fosse la procedura per cancellare il suo profilo professionale e i suoi dati personali dal database relativo alle candidature […]. A tale mail è stato dato riscontro il giorno 15 gennaio 2019 da parte dell’istituto, chiedendo di inviare la richiesta accompagnata dai documenti di identità, così da riconoscere univocamente il richiedente. Il 16 gennaio 2019 l’istituto, al medesimo indirizzo mail, riceveva il documento d’identità e il codice fiscale del [reclamante]. A tale ultima comunicazione non è tuttavia seguita, a cura della funzione preposta (Servizio HR planning e development), alcuna effettiva azione, a seguito di un disguido interno” (v. nota cit., p. 1);

b. “in data 18 aprile 2019 il [reclamante], per il tramite del proprio avvocato, inviava a codesto istituto raccomandata a.r. presentando presunti danni patrimoniali e non patrimoniali a causa della mancata cancellazione […] dell’utenza da questi generata […]. Tale comunicazione, ancorché contenesse una esplicita richiesta di «cancellazione dei dati personali del [reclamante] presenti in ogni banca dati gestita da Bper Banca Spa», è stata analizzata quale reclamo […];

c. “il profilo riferito al [reclamante] e i dati da lui inseriti sono stati rimossi in data 6 maggio 2019 dal front end della sezione «Lavora con noi». A seguito di questo intervento, il sistema non permetteva più il riconoscimento dell’account/profilo a suo tempo da questi generato con la combinazione di «utenza e password» prescelte. Da tale data l’accesso al sistema attraverso l’utenza proponeva un messaggio di errore, non trovando più i dati riferibili all’account creato dal candidato e inibendo pertanto l’accesso ad ogni altra informazione” (v. nota 17.8.2020 cit., p. 1);

d. “in data 29 maggio 2019 il nome utente è stato definitivamente cancellato a cura dell’amministratore di sistema” (v. nota cit., p. 1);

e. “a seguito della cancellazione definitiva dell’utenza […] è stato dato riscontro al [reclamante], per il tramite del suo avvocato, in data 17 giugno 2019” (v. nota cit., p. 1).

A seguito dell’invito a fornire ulteriori chiarimenti inviato da questa Autorità, con note del 18 febbraio 2021 la Società ha rappresentato che “considerato il tenore delle missive [del 18 aprile 2019 e del 21 maggio 2019] esse erano state inizialmente classificate come reclamo. L’istituto ha però valutato di non procedere in tal senso, provvedendo esclusivamente alla cancellazione del profilo e al riscontro conseguente. Contestualmente erano in corso le attività di migrazione dell’applicativo di posta elettronica, previste nel periodo dal 20 al 31 maggio per la struttura deputata a rispondere. Tale intervento ha determinato un disallineamento parziale, modificando la decorrenza dei tempi di riscontro alla missiva del 21 maggio 2019” (v. nota 18 febbraio 2021 cit., p. 1).

Il 15 aprile 2021 la Società ha inoltre dichiarato che tra gli specifici dati personali riguardanti il reclamante che attualmente tratta rientrano: dati anagrafici e identificativi, dati di contatto (indirizzo, numero di telefono, e-mail), immagini fotografiche presenti su copia di documento d’identità del dipendente, informazioni relative a competenze professionali e al percorso di carriera (studi, auto-rilevazione delle competenze, corsi di formazione), informazioni relative ai rapporti di lavoro intercorsi con la Società (matricola, tipologia di rapporto, causale di assunzione, causale di cessazione, stato lavorativo, livello retributivo, tipo di contratto, incarichi e ruoli organizzativi ricoperti, sedi di lavoro). Con riferimento a tali dati ha precisato di trattarli per la finalità di “gestione amministrativa, contabile, operativa e organizzativa del rapporto di lavoro” e di conservarli per “dieci anni dalla conclusione del rapporto di lavoro”. Con riferimento, poi, ai dati anagrafici e identificativi, ai dati di contatto e ai dati relativi alle presenze ha precisato di trattarli per la finalità di “gestione degli adempimenti connessi al pagamento degli stipendi” per “dieci anni dalla generazione del documento inerente al pagamento, eccetto i dati trasposti nel libro unico del lavoro, conservati per i tempi di legge applicabili”.

La Società ha dichiarato, inoltre, di “applica[re] una regola di conservazione dei dati rilevanti in linea col termine ordinario civilistico di prescrizione dei diritti, nonché coi termini per accertamenti di natura pubblicistica (per esempio fiscali, penali, ecc). […] in caso di contenzioso e/o procedimento amministrativo/giudiziario, la banca potrebbe conservare i dati per un periodo ulteriore rispetto a quello suindicato per esercitare il proprio diritto di difesa e/o conformarsi alle richieste dell’autorità. Resta inteso che, cessato il contenzioso e/o procedimento, tornano ad applicarsi i termini ordinari di conservazione”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 16 agosto 2021 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 17 del Regolamento.

Con scritti difensivi, inviati in data 13 settembre 2021, la Società ha dichiarato che:

a. “con e-mail del 12 gennaio 2019, il [reclamante] ha richiesto a Bper Banca S.p.A. […] quale fosse la procedura per cancellare il suo profilo personale e i dati personali all’epoca contenuti nella sezione “Lavora con noi” del sito della Società […]. Ricevuti gli elementi necessari ad identificare il soggetto interessato (documenti di identità e codice fiscale), a causa di un disguido tecnico, non è stato fornito effettivo riscontro” (nota 13.9.2021 cit., p. 1);

b. “il 18 aprile 2019 il [reclamante], per il tramite del suo avvocato, inviava raccomandata evidenziando non meglio precisati «danni patrimoniali e non patrimoniali» causati dal mancato riscontro alla prima richiesta […]. Considerata la presenza all’interno della seconda richiesta anche di elementi di contestazione e rivendicazione non attinenti tematiche privacy, l’Ufficio Privacy e Data Protection ha avviato, coerentemente con le prassi operative di gestione delle c.d. richieste/reclami “atecniche/miste”, il coinvolgimento della Direzione Legale e della Direzione Risorse Umane, nonché degli uffici deputati alla gestione dei dati anagrafici e della filiale presso cui risultavano incardinati i rapporti bancari intestati al [reclamante]; tali iniziative con lo scopo di valutare ogni possibile impatto ed azione di tutela, nonché di prevenire ad un riscontro coordinato che riguardasse i) la richiesta di cancellazione dei dati; ii) gli eventuali aspetti legali legati ai toni ricattatori della richiesta; iii) le modalità di acquisizione dei dati personali dei candidati all’assunzione; iv) la più complessiva gestione dei dati riferiti ai rapporti bancari dell’interessato in qualità di cliente ed ai rapporti di lavoro dello stesso (tenuto conto che l’interessato era anche stato assunto in forza presso l’Istituto per periodi determinati di tempo)” (v. nota cit., p. 2);

c. “con particolare riferimento alla richiesta di cancellazione dei dati personali la Società ha proceduto con azioni progressive funzionali alla tutela del diritto esercitato; in particolare, in data 6 maggio 2019 (ovvero 18 giorni dopo la seconda richiesta) la Direzione Risorse Umane ha eseguito la cancellazione fisica dei dati dell’interessato dalle tabelle del database sottostante la sezione “Lavora con noi” del sito e successivamente, in data 29 maggio 2019, ha eseguito la cancellazione di user e password dell’account, memorizzate su diversa tabella del detto database. In ragione dell’avvenuta cancellazione dei dati dell’interessato, fin da subito il sistema non ha più permesso l’associazione dell’account/profilo a suo tempo creato dall’interessato con i dati dallo stesso caricati, generando dunque il messaggio di errore” (v. nota cit., p. 2, 3);

d. “il 17 giugno 2019 la Banca ha provveduto a riscontrare formalmente la seconda richiesta dell’interessato dando atto […] che il diritto alla cancellazione era nella sostanza già stato accolto – nei limiti di quanto stabilito dall’art. 17 del [Regolamento] – attraverso [gli] interventi del 6 maggio e 29 maggio 2019” (v. nota cit., p. 3);

e. sul carattere colposo delle violazioni si premette “come la vicenda che ha interessato il [reclamante] costituisca episodio isolato ed infelice in un contesto generale di operatività caratterizzata da risposte sistematiche e tempestive relativamente ai riscontri alle richieste di esercizio dei diritti degli interessati. A sostegno di tale affermazione si riporta come la Società riscontri mediamente circa 20 richieste di interessati al mese alla cui gestione non fanno seguito, nella quasi totalità dei casi, ulteriori richieste o contestazioni. Sotto l’aspetto delle tempistiche si evidenzia inoltre che oltre l’80% delle richieste ottiene un riscontro entro 20 giorni dalla ricezione e la restante parte comunque entro il termine normativo di un mese” (v. nota cit., p. 4); 

f. “con specifico riferimento alla prima richiesta è doveroso evidenziare che pur in presenza di prassi operative consolidate relativamente ai riscontri alle richieste di esercizio degli interessati, la Funzione preposta non ha, all’epoca, agito ed operato come richiesto a causa della mancata presa in carico dell’adempimento. Con riferimento alla seconda richiesta, la cancellazione dei dati dell’interessato, pur essendo stata correttamente presa in carico e soddisfatta sotto l’aspetto sostanziale in data 6 maggio 2019 (cancellazione dei dati personali dal database) e 29 maggio 2019 (cancellazione di user e password), è stata formalmente riscontrata in ritardo il 17 giugno a causa di contestuali e preminenti richieste dell’interessato. Tali elementi di contestazione e rivendicazione hanno creato infatti la necessità di coinvolgimento di diverse funzioni per la gestione della seconda richiesta, con conseguente incremento dei tempi operativi al fine di pervenire ad una valutazione che comprendesse tutte le più opportune iniziative (anche eventualmente di tutela legale) per un riscontro completo e coordinato. […] la Società cerca di riscontrare singole missive/reclami “atecnici/misti” tramite un unico riscontro, raccogliendo i contributi dalle diverse funzioni che a diverso titolo sono chiamate a fornire il proprio parere (es. Funzione Legale, Funzione Risorse Umane, ecc.); tale coordinamento di funzioni è risultato, nel caso specifico, complesso a causa della presenza di molteplici elementi di rivendicazione e dei diversi ruoli che l’interessato ha avuto presso la società (candidato all’assunzione, dipendente, cliente). In tale contesto si è inserita poi, quale ulteriore elemento di difficoltà, la migrazione del sistema di posta elettronica della Società […] intervenuta nella seconda metà del mese di maggio 2019 generando alcuni disguidi nei flussi di comunicazione tra le varie Funzioni aziendali. Tale concatenazione di situazioni ha portato sia alla mancata attivazione, ai sensi della normativa, della facoltà di dilazione dei termini, sia in ultima istanza ad un tardivo riscontro all’interessato” (v. nota cit., p. 5); 

g. la Società “ha capitalizzato gli eventi [che si sono verificati] nell’ambito di un percorso di progressivo rafforzamento delle prassi e dei processi sottesi alla tutela dei diritti degli interessati stessi. Infatti, oltre ad un più efficace coordinamento delle varie funzioni aziendali tempo per tempo coinvolte nella gestione delle richieste “atecniche/miste”, il cui owner è stato individuato nell’Ufficio Privacy e Data Protection (collocato all’interno della Direzione Compliance) e ad un più stringente monitoraggio, basato sul registro delle richieste, delle tempistiche di evasione si è dato luogo ad un progressivo potenziamento dell’organico di tale funzione che, a partire da n. 5 risorse in organico nel 2018, attualmente consta di n. 6 risorse con un target di n. 8” (v. nota cit., p. 6);

h. sul grado di responsabilità del titolare tenendo conto delle misure tecniche ed organizzative messe in atto ai sensi degli artt. 25 e 32 “in presenza di richieste “atecniche/miste” le funzioni coinvolte (normalmente Ufficio Privacy e Data Protection, Ufficio Reclami e Disguidi, Direzione Legale) provvedono a confrontarsi tempestivamente per qualificare la natura della richiesta e la competenza del riscontro. […] le analisi dei contenuti delle richieste vengono sistematicamente svolte in modo da potersi esaurire nel termine ordinariamente previsto di un mese dalla loro ricezione” (v. nota cit., p. 6, 7);

i. sulla natura, gravità della violazione, il numero dei soggetti interessati coinvolti, le categorie di dati trattati e le misure per attenuare i danni nei confronti degli interessati “la società ha meramente ritardato l’adempimento dei suoi obblighi ex artt. 12 e 17 del Regolamento nei confronti dell’interessato, le cui legittime pretese hanno poi naturalmente trovato piena soddisfazione. Per tale ragione […] si ritiene che le violazioni commesse non possano che essere considerate come violazioni “minori” […] tenuto conto anche dell’impatto generato su un unico interessato e sulla natura comune dei dati personali trattati” (v. nota cit., p. 7);

j.  sul grado di cooperazione “la società ha sempre aderito tempestivamente alle richieste informative [dell’]Autorità” (v. nota cit., p. 8);

k. sulle perdite evitate in conseguenza della violazione “posto il ritardo nel riscontro si rappresenta come la società non abbia conseguito alcun beneficio o vantaggio, né evitato perdite, nel commettere le prospettate violazioni” (v. nota cit., p. 8).

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali, in particolare con riferimento al tardivo ed inidoneo riscontro alle istanze di esercizio dei diritti.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Il titolare del trattamento, in base a quanto disposto dall’art. 12 del Regolamento “agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” e “fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste”.

Il medesimo articolo 12, par. 4, del Regolamento precisa che nel caso in cui non ottemperi alle istanze di esercizio dei diritti “il titolare del trattamento informa l’interessato senza ritardo e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

L’art. 17 del Regolamento riconosce in capo all’interessato “il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se [tra l’altro] i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati”.

Dagli elementi acquisiti nel corso dell’attività istruttoria è emerso, che la Società ha dato un riscontro meramente formale all’istanza di cancellazione “dal […] sito [della Bber Banca S.p.A.] [del] profilo professionale [e dei] dati personali dal database relativo alle candidature [della banca]” presentata in data 12 gennaio 2019 dal reclamante.

Risulta infatti accertato che la Società il 15 gennaio 2019 ha informato l’interessato che “per procedere alla rimozione del suo account, il […] supporto tecnico ha necessità della scannerizzazione di carta di identità e codice fiscale allegati alla richiesta di cancellazione” ma, nonostante il giorno successivo il reclamante abbia inviato la documentazione richiesta (documento d’identità e codice fiscale), a causa di un “disguido tecnico”, non ha poi fornito effettivo riscontro all’istanza.

Tale condotta viola l’art. 12 con riferimento all’art. 17 del Regolamento, tenuto conto che, una volta soddisfatta la (lecita) esigenza della Società di verificare l’identità dell’interessato richiedente l’esercizio del diritto alla cancellazione, la stessa non ha dato seguito nei tempi previsti dal Regolamento all’istanza per un non meglio definito “disguido tecnico” causato dalla “mancata presa in carico dell’adempimento”, costringendo l’interessato, attraverso il suo legale, a sollecitare l’esercizio del diritto alla cancellazione con una nuova istanza.

Il reclamante, infatti, non avendo ricevuto alcun riscontro alla sua istanza, attraverso il proprio legale, in data 18 aprile 2019 ha chiesto, tra l’altro, “di procedere alla immediata cancellazione dei dati personali del [reclamante] presenti in ogni banca dati gestita dalla Bper Banca S.p.A.” e in data 21 maggio 2019, stante la mancanza di alcun riscontro da parte della Società, ha presentato un sollecito alle richieste già formulate in precedenza.

Solo in data 17 giugno 2019, ovvero ben quattro mesi dopo lo scadere del termine di legge, la Società ha dato un riscontro effettivo alle istanze di cancellazione presentate dal reclamante.

In proposito la Società, durante l’istruttoria, ha precisato di avere riscontrato “formalmente […] in ritardo” l’istanza del 18 aprile 2019 reiterata il 21 maggio 2019, in particolare in data 17 giugno 2019, “a causa di contestuali e preminenti richieste dell’interessato” che “hanno creato infatti la necessità di coinvolgimento di diverse funzioni”, ma di avere adempiuto sostanzialmente nei fatti a quanto richiesto precedentemente al riscontro formale, in particolare cancellando i dati personali relativi alla candidatura del reclamante dal proprio database in data 6 maggio 2019 e cancellando user id e password relativi al predetto account il 29 maggio 2019.

La Società ha, inoltre, precisato che “la migrazione del sistema di posta elettronica della Società […] intervenuta nella seconda metà del mese di maggio 2019 generando alcuni disguidi nei flussi di comunicazione tra le varie Funzioni aziendali” ha contribuito a generare il ritardo nel riscontro.

La condotta della Società risulta tuttavia in contrasto con l’obbligo di fornire un riscontro “senza ingiustificato ritardo” all’interessato e comunque entro un mese dal ricevimento della richiesta ai sensi dell’art. 12 del Regolamento.

Tenuto conto della complessità e del numero delle richieste, il titolare può usufruire della proroga del termine di due mesi, ma, per espressa disposizione normativa, deve comunque informare l’interessato della proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.

Se, infatti, l’effettiva rimozione dei dati forniti per la candidatura nella sezione “Lavora con noi” del sito della Società è stata posta in essere il 6 maggio, in parte, e poi definitivamente il 29 maggio 2019, la comunicazione all’interessato delle azioni intraprese per soddisfare il diritto esercitato è stata effettuata solo il 17 giugno 2019.

Quanto precedentemente rilevato configura quindi la violazione dell’art. 12 in relazione all’art. 17 del Regolamento.

Con riferimento invece alla mancata cancellazione dei dati riferiti al reclamante (diversi da quelli comunicati ai fini della selezione per un posto di lavoro) attinenti a precedenti rapporti di lavoro intercorrenti tra il reclamante e la Società stessa e a rapporti bancari nei termini e per le finalità indicati nel corso dell’istruttoria, si condivide quanto rappresentato dalla Società circa la liceità dell’ulteriore conservazione degli stessi.

Al riguardo, risulta, però, accertato che in relazione alla menzionata necessità di conservazione di determinati dati la Società, in violazione di quanto previsto dall’art. 12 par. 4 del Regolamento, nel dichiarare la propria (lecita) impossibilità di cancellazione, non ha indicato al reclamante la possibilità di proporre reclamo all’autorità di controllo o ricorso giurisdizionale. Tale aspetto denota la inidoneità del riscontro per quanto riguarda la persistente – seppur, come precisato, lecita - necessità di conservare determinati dati riferiti al reclamante.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il tardivo ed inidoneo riscontro della Società all’istanza di cancellazione presentata dal reclamante risulta infatti illecito, nei termini su esposti, in relazione all’art. 12 in relazione all’art. 17 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento, risulta che Bper Banca S.p.A. ha violato l’art. 12 in relazione all’art. 17 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le informazioni, le comunicazioni e le modalità per l’esercizio dei diritti dell’interessato;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati con riferimento all’art. 12 in relazione all’art. 17 del Regolamento;

c) a favore della Società si è tenuto conto della rilevante cooperazione con l’Autorità di controllo ai fini della definizione del reclamo e della circostanza che la violazione accertata ha riguardato il solo reclamante, costituendo un caso isolato.

Si ritiene, inoltre, che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio ordinario d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Bper Banca S.p.A., la sanzione amministrativa del pagamento di una somma pari ad euro 10.000 (diecimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Bper Banca S.p.A., in persona del legale rappresentante, con sede legale in Via San Carlo 8/20, Modena (MO), C.F. 01153230360, ai sensi dell’art. 143 del Codice, per la violazione dell’art. 12  in relazione all’art. 17 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Bper Banca S.p.A., di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 15 settembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei