[doc. web n. 9967641]

Provvedimento del 16 novembre 2023

Registro dei provvedimenti
n. 531 del 16 dicembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato il 13 dicembre 2022 ai sensi dell’art. 77 del Regolamento dal Sig. XX nei confronti di Hype S.p.a. (di seguito “Hype” o “la società”);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il contenuto del reclamo.

Con reclamo presentato in data 13/12/2022, il Sig. XX ha lamentato presunte violazioni dei principi generali del Regolamento poste in essere da Hype S.p.a. (di seguito “Hype” o “l’istituto”) nel trattamento dei dati personali che lo riguardano nonché l’inidoneo riscontro alle istanze di accesso, di limitazione del trattamento nonché di opposizione allo stesso per finalità di marketing, avanzate ai sensi degli artt. 15, 18 e 21 del Regolamento.

In particolare il reclamante ha rappresentato che, a seguito della ricezione, in data 3/5/2022, del preavviso di recesso unilaterale dal contratto da parte di Hype S.p.a. in quanto, da “controlli di routine […], [era] stato rilevato che il suo nominativo appar[iva] in siti web pubblicamente accessibili per indagini penali sulla sua persona condotte dall’Autorità giudiziaria”, lo stesso, in pari data, ha chiesto di conoscere “quale fonte fosse stata utilizzata per acquisire dati personali, asseritamente riferiti alla mia persona, su presunte pendenze giudiziarie e/o indagini penali”.

Nei giorni immediatamente successivi, l’istituto, nel comunicare all’interessato che, a seguito di “un’ulteriore analisi” era stato rilevato che le informazioni acquisite “non erano esatte e si [era] trattato di un fraintendimento” e che pertanto “la pratica di recesso era stata annullata”, ha tuttavia omesso di fornire un puntuale riscontro alla richiesta di conoscere l’origine dei dati in questione.

Solo a seguito di diverse interlocuzioni, nel corso delle quali l’interessato ha formulato, altresì, istanza di limitazione del trattamento ai sensi dell’art. 18, par. 1, lett. c), del Regolamento, in data 22/6/2022, Hype ha reso noto l’url relativo a un articolo di giornale dell’8/8/2020, nel quale era riportato il nominativo di un omonimo del ricorrente, collegato a un’indagine penale.

Il 19/9/2022, il reclamante si era anche opposto al trattamento dei propri dati, per finalità di marketing, ai sensi dell’art. 21 del Regolamento e, nonostante le rassicurazioni ricevute il 22/9/2022, l’invio di comunicazioni promozionali è proseguito, fino al 30/11/2022.

2. L’attività istruttoria

A seguito dell’invito, formulato in data 9/3/2023, a fornire osservazioni in ordine ai fatti oggetto di reclamo nonché ad aderire alle istanze di esercizio dei diritti avanzate dal reclamante, Hype, con nota del 29/3/2023 inviata anche al reclamante, ha rappresentato che:

a) già prima della presentazione del reclamo all’Autorità, all’interessato sono state fornite indicazioni circa “la tipologia, il contenuto e la fonte delle informazioni fin dalla prima comunicazione (del 3.5.2022), fornendo precisazioni ulteriori con quelle successive […] e indicando specificamente anche l’URL della fonte web sulla quale le stesse erano state raccolte (comunicazione Hype del 22.6.2022)”; in particolare, già nell’anzidetta prima comunicazione, Hype aveva reso noto all’interessato che le “informazioni reperite riguardavano indagini penali sulla Sua persona condotte dall’Autorità giudiziaria” e che le stesse erano state raccolte su “siti web pubblicamente accessibili” nell’ambito di “controlli di routine espletati dalla sede centrale sulla Clientela”;

b) il trattamento in questione “è stato effettuato in ottemperanza a inderogabili disposizioni normative e regolamentari in materia di antiriciclaggio che impongono agli intermediari finanziari la adeguata e costante verifica della clientela (D.Lgs. 231/2007); detta verifica è realizzata anche in attuazione della prassi, consolidata in ambito bancario, di ricerca di informazioni su fonti aperte; nel caso di specie, queste ultime avevano evidenziato che una persona con lo stesso nome e la stessa età dell’Interessato, nonché ubicato nella stessa area geografica, era stata destinataria di un provvedimento restrittivo dell’Autorità giudiziaria per fatti gravi (coltivazione e detenzione di stupefacenti). Tale informazione è stata ritenuta rilevante in relazione alle norme in materia di prevenzione dell’antiriciclaggio, considerato che le condotte riportate implicavano la possibilità che la disponibilità e la messa in circolo di danaro costituisse provento di reato”;

c) al reclamante, come ad ogni cliente, è stata resa “l’informativa ai sensi degli artt. 13 e 14 del RGPD, richiamata anche con la comunicazione del 16.5.2022 inviata da Hype”, nella quale è previsto che il trattamento dei dati dei clienti è effettuato “per le finalità, tra le altre, di trasparenza bancaria, di contrasto al riciclaggio etc, ciò in ottemperanza agli obblighi di legge ai quali la stessa Hype è soggetta […]”; nella stessa informativa, al “par. 4, sono inoltre espressamente indicate tra le fonti di acquisizione delle informazioni le “fonti aperte”; d’altra parte, nel caso specifico, “l’interessato è stato debitamente informato di tutte le caratteristiche concernenti il trattamento in corso che lo riguardavano, già a partire dalla comunicazione del 3/5/2022”;

d) a seguito della e-mail del 3/5/2022, con cui il ricorrente, nel far presente di “non avere in corso, né di avere mai avuto in passato indagini o altri procedimenti a mio carico”, chiedeva che fosse effettuata una verifica sulle informazioni raccolte, anche tenendo conto dei numerosi casi di omonimia, l’istituto, “il 5/5/2022, accogliendo i chiarimenti forniti […], ha revocato il recesso, così facendo venir meno l’associazione delle informazioni in esame al nominativo” dell’interessato; in particolare, “con la revoca del recesso Hype ha immediatamente, ancorché implicitamente, comunicato la cessazione della correlazione dell’informazione reperita al nominativo di […] (comunicazioni HYPE del 5.5.2022, del 16.5.2022 e del 22.6.2022). In altri termini, nella sostanza HYPE ha subito limitato il trattamento oggetto di segnalazione da parte dall’Interessato. Quando il 4.6.2022 l’interessato ha esercitato formalmente il diritto di limitazione ai sensi dell’art. 18 del Regolamento, HYPE aveva già ottemperato alle disposizioni di tale norma, come attestano le comunicazioni già richiamate del 5.5.2022, 16.5.2022 e del 22.6.2022”;

e) quanto alla manifestata opposizione al trattamento dei dati personali per finalità di marketing, lo stesso è stato esercitato dal reclamante “tramite il proprio account Twitter e in seguito trasmesso via e-mail all’indirizzo hello@hype.it. Per l’esercizio dei diritti degli interessati l’informativa Privacy di HYPE indica il recapito e-mail privacy@hype.it che, nel caso di specie, non è stato utilizzato. Per tale motivo, l’istanza di disattivazione, non formulata correttamente, ha richiesto una lavorazione interna ulteriore e, pertanto, è stata trattata in una fase successiva. La stessa è stata in ogni caso soddisfatta”;

f) da ultimo, l’istituto ha precisato che “il rapporto con il reclamante è tuttora in essere” e che “i dati personali riguardanti la presunta notizia di reato non sono stati comunicati a soggetti terzi, né trasferiti fuori dal territorio nazionale e dell’Unione Europea”.

3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Con nota del 1/6/2023, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, preso atto che la Società aveva fornito riscontro alle istanze di accesso e di limitazione del trattamento, nei termini di cui all’art. 12, par. 3 del Regolamento, e che la manifestata opposizione era stata comunque soddisfatta antecedentemente alla presentazione del reclamo, ha comunque provveduto a notificare a Hype S.p.a. l’avvio del procedimento, per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione dei principi generali di cui all’art. 5, par. 1, lett. c) e d) e 2 del Regolamento.

Con la medesima nota la Società è stata invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

Con scritti difensivi del 30/6/2023, che qui integralmente si richiamano, Hype, nel rilevare che, nel caso di specie, “non paiono ricorrere i presupposti per l’applicazione di alcuna misura o sanzione nei confronti della società, che risulterebbero infondati, sproporzionati e ingiustamente gravatori”, ha rappresentato che:

“il trattamento contestato ad Hype è stato effettuato nel rispetto del Decreto Antiriciclaggio […]” che, all’“art. 17 impone appunto l’adeguata verifica della clientela, sia in occasione della instaurazione del rapporto, che nel corso della sua esecuzione (art. 17, comma 1,lett.a)), individuando anche il suo profilo di rischio”; l’art. 19 comma 1, lett. d) del citato decreto precisa altresì che “l’adeguata verifica della clientela si attua, tra l’altro, attraverso “il controllo costante nel corso del rapporto continuativo” anche riguardo l’origine dei fondi. Sussiste pertanto un obbligo di conoscere la propria clientela (KYC) pure attraverso comportamenti proattivi, valutabili sotto il profilo della diligenza qualificata dell’operatore finanziario, tra i quali, come previsto espressamente dalle Disposizioni di Vigilanza in materia di adeguata verifica della clientela (Provvedimento Banca d’Italia del 30.7.2019 – Sez. II) anche l’acquisizione di informazioni per il tramite di fonti giornalistiche ritenute autorevoli. Nel caso [de quo], quindi, è indubbia l’opportunità e la legittimità del trattamento effettuato da HYPE, che risulta lecito anche ai sensi dell’art. 2-octies, comma 3, lett. m) del Codice [in materia di protezione dei dati personali] che lo qualifica tale ai fini dell’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo”;

“Atteso quindi l’insieme di elementi che connotavano il caso di specie, tra i quali  l’attendibilità della fonte [Corriere del Veneto, testata locale del Corriere della Sera], la particolare concordanza delle informazioni rispetto all’identità del proprio cliente (nome, età anagrafica, operante nella medesima area geografica) che faceva propendere per l’esattezza della correlazione, l’elevato rischio di riciclaggio intrinseco ai reati contestati (spaccio di sostanze), l’obbligo di attuare misure proporzionate di mitigazione del rischio, nonché l’impossibilità per HYPE di compiere verifiche ulteriori se non con la collaborazione dell’Interessato, quest’ultima si è vista costretta a comunicare il preavviso di recesso dal rapporto. Ciò in ottemperanza dell’obbligo imposto espressamente dall’articolo 42, comma 1, del Decreto Antiriciclaggio che prevede che: “i soggetti obbligati che si trovano nell’impossibilità oggettiva di effettuare l’adeguata verifica della clientela ai sensi dell’art. 19, comma 1, lettere a) e b) e c), si astengono dall’instaurare, eseguire ovvero proseguire il rapporto…”. HYPE ha quindi operato in conformità alla legge”;

“In nessun caso poi il trattamento realizzato da HYPE, nel quale i dati esatti dell’Interessato sono stati messi a confronto con i dati acquisiti da fonti giornalistiche, integra l’ipotesi di trattamento inesatto. Ciò perché, ai fini dell’adempimento dei sopra citati obblighi […], il confronto tra tali dati costituisce un passaggio indispensabile che non può costituire di per sé trattamento inesatto; se così fosse qualsiasi confronto tra informazioni che non collimano costituirebbe di default una violazione del RGPD, ma ciò è in aperto conflitto con il Decreto Antiriciclaggio che, non a caso, a contenimento del rischio di riciclaggio, richiede l’adozione di prassi di verifica ampie”; appare dunque evidente come sia necessario “operare un giusto bilanciamento tra le due discipline: da un lato si impone una reazione a fronte di indicazioni provenienti da fonti qualificate nell’ambito delle normali prassi bancarie,  dall’altro si impone la verifica di esattezza delle informazioni correlate. Nel caso [di specie] le notizie a confronto erano entrambe esatte”;

in tale quadro normativo “non può discendere la responsabilità di HYPE per avere ottemperato al Decreto Antiriciclaggio astenendosi dal rapporto con l’esercizio del diritto di recesso sulla base degli elementi a disposizione. Oltretutto il confronto delle informazioni non ha limitato, né escluso la facoltà dell’interessato di fornire i necessari chiarimenti data anche l’ampia durata del periodo di preavviso (due mesi). Oltretutto all’interessato è stato dato modo di presentare i propri chiarimenti e il preavviso di recesso è stato revocato tempestivamente, a seguito degli stessi. Pertanto, la condotta di HYPE non può configurare un trattamento inesatto sotto il profilo del RGPD, dovendo essere contestualizzato nell’ambito dell’ordinaria dialettica contrattuale tra HYPE e il proprio cliente”;

“Si deve dunque ritenere che HYPE abbia operato l’equilibrato bilanciamento dei diritti e degli interessi sottesi ai due corpus normativi preservando, da un lato, l’efficacia della tutela del sistema finanziario dal rischio di riciclaggio attuando una misura, quella del recesso, proporzionata al rischio e, dall’altro, il diritto dell’interessato al trattamento esatto dei dati che lo riguardano, cessando in brevissimo tempo la correlazione dei suoi dati con le informazioni riguardanti un terzo una volta ricevuti i chiarimenti che solo l’interessato poteva fornire. Per tali motivi è evidente l’infondatezza dell’accertamento di cui al Provvedimento in oggetto del quale si chiede quindi la revoca integrale”;

nel caso in cui si volesse comunque ritenere che il trattamento in questione fosse “affetto da profili di inesattezza”, occorrerebbe tenere in considerazione – anche ai sensi dell’art. 83, par. 2 del Regolamento - i seguenti aspetti:

• il titolare ha agito in buona fede e secondo correttezza, in ottemperanza a obblighi di legge; “l’associazione di dati, rispettivamente esatti, ma rivelatisi non collimanti, ha avuto una durata temporale limitatissima e infatti, il 5.5.2022, appena ricevuti i chiarimenti dall’interessato, HYPE ha revocato la comunicazione di preavviso di recesso che aveva inviato all’interessato il 3.5.2022”

• “il trattamento non ha prodotto conseguenze lesive dei diritti e delle libertà fondamentali dell’interessato […]” in quanto la “predetta comunicazione di preavviso di recesso (della durata di due mesi) prevedeva la parziale sospensione dell’operatività degli strumenti di pagamento (limitazione alla ricezione di fondi in entrata), senza impattare sulla titolarità dei fondi esistenti, sulla possibilità di utilizzarli e movimentarli ma soprattutto consentendo la più ampia possibilità per l’utente di riorganizzare la gestione delle proprie risorse con altri  strumenti nel periodo suddetto”;

• quanto alle misure tecniche e organizzative messe in atto dalla Società ai sensi degli articoli 25 e 32 del Regolamento, la stessa ha dichiarato che “risultano in fase di rivalutazione le logiche degli approfondimenti sulle evidenze emerse nell’ambito dell’esecuzione dei controlli di adeguata verifica” della clientela

• la Società ha prestato la massima collaborazione nei confronti dell’Autorità, anche “nell’esplicazione dei trattamenti e delle scelte compiute”.

4. La normativa antiriciclaggio e il contemperamento con i principi fondamentali in materia di protezione dei dati personali.

Il quadro normativo dell’Unione europea in materia di prevenzione e contrasto al riciclaggio che, nel corso del tempo, si è articolato in cinque Direttive, tiene conto della necessità di rispettare i diritti fondamentali delle persone e i princìpi riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell’Unione europea, il cui articolo 8 garantisce ad ogni individuo il diritto alla protezione dei dati personali che lo riguardano.

La quinta Direttiva UE/2018/843, attualmente in vigore, che ha integrato le previsioni introdotte dalla quarta Direttiva UE/2015/849 (che, parimenti alla terza direttiva 2005/60/CE, già richiamava la necessità di assicurare la protezione dei dati in ossequio alla direttiva 95/46 - cfr. Considerando 42), prevede espressamente che “Al trattamento dei dati personali previsto dalla presente direttiva si applica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio”. 

Da qui la necessità, per il legislatore nazionale, sin dal decreto legislativo 21 novembre 2007, n. 231 (“Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo”) di contemperare i princìpi fondamentali in materia di protezione dei dati personali con le esigenze di una normativa estremamente articolata, oggetto di continui interventi modificativi, applicativi e interpretativi, che impone, a un ampio novero di soggetti, l’obbligo di porre in essere complesse operazioni finalizzate a contrastare il fenomeno del riciclaggio.

In questo contesto, si inseriscono gli interventi dell’Autorità che, nell’arco di un ventennio, in sede di parere sui decreti di recepimento delle direttive europee nell’ordinamento nazionale, ha avuto modo di pronunciarsi sui profili di protezione dei dati personali connessi alle operazioni di identificazione e verifica della clientela, di registrazione delle operazioni e di segnalazione delle operazioni sospette.
In particolare, sin dalle prime pronunce, l’Autorità ha sottolineato “la necessità di procedere ad un´attuazione rigorosa in chiave di effettiva necessità, di proporzionalità e di selettività degli interventi di monitoraggio e prevenzione previsti dalla normativa, anche in considerazione degli enormi flussi informativi previsti, specie verso l´organismo nazionale istituito presso la Banca d´Italia a seguito della direttiva 2005/60 (Unità di Informazione Finanziaria per l´Italia-UIF), e della particolare natura del trattamento (cfr. parere sulla disciplina antiriciclaggio contenuta nel d.lgs. n. 231/2007, adottato il 25 luglio 2007, in www.gpdp.it, doc web n. 1431012 e il precedente parere del 12 marzo 2003, doc. web n. 1054779).

Più di recente, con specifico riferimento agli obblighi di adeguata verifica della clientela di cui all’art. 18 del d.lgs. n. 231/2007 (cfr. parere n. 150 del 24 luglio 2019 sullo schema di decreto legislativo volto ad attuare la c.d. “Quinta direttiva”, che ha riformulato le criticità già espresse nel parere n. 125 del 9 marzo 2017 sullo schema di decreto legislativo di attuazione della “Quarta direttiva”, doc. web nn. 9126288 e 6124534), l’Autorità ha evidenziato che “la descrizione degli obblighi di adeguata verifica della clientela de[ve] avvenire in termini precisi e conformi alla direttiva europea, al fine di trattare i soli dati necessari rispetto alle finalità perseguite, con modalità proporzionate, sia per quanto riguarda l´identificazione del cliente o del "titolare effettivo", sia in relazione alla valutazione del "rischio" di riciclaggio e di finanziamento del terrorismo, nel pieno rispetto del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento”.

L’esigenza di assicurare un coordinamento tra le due discipline si rileva, altresì, negli interventi del Comitato europeo per la protezione dei dati (di seguito, “EDPB” - European Data Protection Board - e, prima ancora, del Gruppo articolo 29) che, in più occasioni, ha rilevato la necessità di trovare un “giusto equilibrio” tra l’interesse a prevenire il riciclaggio di denaro, da un lato, e gli interessi sottesi ai diritti fondamentali alla protezione dei dati e alla vita privata, dall’altro (cfr. Lettera alla Commissione europea del 19 maggio 2021); del resto, una più stretta correlazione tra le due normative favorirebbe sia la protezione dei dati sia l’efficacia della disciplina antiriciclaggio (cfr. “Dichiarazione sulla protezione dei dati personali trattati in relazione alla prevenzione del riciclaggio” adottata il 15 dicembre 2020).

Ancora più marcatamente, successivamente all’avvenuta adozione, in data 20 luglio 2021, da parte della Commissione europea, di un pacchetto di quattro proposte legislative (le “proposte AML”- Anti Money Laundering) volto a rafforzare le azioni dell’Unione europea in materia di riciclaggio e contrasto al finanziamento del terrorismo, l’EDPB, rilevato che le citate proposte attuano solo parzialmente le raccomandazioni formulate nel 2020 e nel 2021, nella Lettera del 12 maggio 2022 indirizzata alle tre istituzioni europee ha ribadito le preoccupazioni puntualmente espresse nel 2021 (con specifico riguardo ai profili concernenti il rispetto dei principi di legittimità, necessità, proporzionalità e di minimizzazione dei dati, nonché di accuratezza, affidabilità e aggiornamento dei dati medesimi) affermando che, in assenza di ulteriori modifiche, le proposte in questione “avrebbero un impatto negativo sproporzionato sui diritti e sulle libertà delle persone e porterebbero a una significativa incertezza giuridica”.

Da quanto sopra, emerge dunque un quadro giuridico estremamente complesso e in via di ulteriore elaborazione, all’interno del quale gli operatori sono tenuti a effettuare un delicato bilanciamento degli interessi in gioco (l’interesse pubblico dell’economia e il diritto alla vita privata e alla protezione dei dati) anche attraverso un’attenta valutazione dei singoli casi.

Al riguardo l’EDPB, nella Lettera del 19 maggio 2021, oltre a sottolineare come il rispetto dei principi di necessità e proporzionalità “implica che casi diversi dovrebbero essere trattati in modo diverso, proporzionalmente alle loro rilevanti differenze” (v. punto 1) , ha evidenziato anche come, in ottemperanza ai principio di minimizzazione di cui all’art. 5, par. 1, lett, c) del Regolamento, “andrebbero evitati comportamenti difensivi che inducono a rilevare una grande quantità di sospetti non rilevanti, generando un numero elevato di segnalazioni false positive” (v. punto 2).

Da ultimo si richiamano “Linee- guida del Comitato consultivo della Convenzione 108 sul trattamento dei dati personali per finalità di lotta al riciclaggio e contrasto al finanziamento del terrorismo”, adottate il 16 giugno 2023, nelle quali una particolare attenzione è dedicata al rispetto dei principi di esattezza e di aggiornamento dei dati nei trattamenti connessi alle operazioni di adeguata verifica della clientela (cfr. par. 3.5).

5. L’esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese dalla Società nel corso del procedimento (della cui veridicità l’autore risponde ai sensi e per gli effetti di cui all’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”) nonché della documentazione acquisita agli atti, risulta accertato che Hype S.p.a. ha effettuato un trattamento di dati personali riferiti al reclamante non conforme alla disciplina in materia di protezione dei dati personali, con specifico riferimento alla violazione dell’art. 5, par. 1, lett. c) e d) e 2 del Regolamento.

L’art. 5 del Regolamento - che al paragrafo 1 enuncia i principi generali cui devono essere improntate le operazioni di trattamento dei dati personali - stabilisce che i dati medesimi devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” nonché “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett., c) e d), del Regolamento).

Il successivo paragrafo 2 dispone altresì che la responsabilità in ordine al rispetto dei principi anzidetti è in capo al titolare del trattamento il quale, su richiesta dell’Autorità, è tenuto a comprovarlo (principio di “responsabilizzazione”).

Nel caso in esame, è emerso che Hype, nell’espletamento delle procedure di adeguata verifica della clientela a cui è tenuta, ai sensi della c.d. normativa antiriciclaggio di cui al d.lgs. 231/2007 (come modificato dal d.lgs. 90/2017, dal d.lgs. 125/2019 e, da ultimo, dall’art. 12-bis della l. n. 136/2023 di conversione del d.l. 10 agosto 2023, n. 104), che si sostanziano in numerose e specifiche attività, tra cui il monitoraggio e il controllo continuativo dei rapporti contrattuali in essere secondo i criteri stabiliti dalla Banca d’Italia nel provvedimento del 30 luglio 2019, attraverso la consultazione delle cc.dd. “fonti aperte” (ovvero fonti pubblicamente e generalmente accessibili da chiunque) ha raccolto, da un articolo stampa, informazioni concernenti una persona coinvolta in una indagine penale associandole erroneamente al proprio cliente, solo sulla base del nominativo (nome e cognome), dell’età e dell’area geografica di operatività; sulla base di questa impropria associazione ha ritenuto che il profilo di rischio del cliente, in base alla normativa antiriciclaggio, richiedesse l’adozione di misure di riduzione - consistite nella comunicazione dell’avviso di recesso – determinando, in tal modo, un illecito trattamento dei dati personali del reclamante, in quanto basato su dati inesatti e non pertinenti.

L’illiceità scaturisce dal fatto che sono state utilizzate informazioni rinvenute presso un’unica fonte (un solo articolo di stampa), risalente a due anni precedenti (8 agosto 2020) in assenza di alcuna ulteriore necessaria verifica, da parte del titolare del trattamento, in ordine alla loro esattezza e pertinenza rispetto a uno specifico cliente identificato (art. 5, par. 1, lett.c) e d)).

È preciso dovere del titolare del trattamento assicurare che, a fronte di un dato “sospetto” astrattamente riferibile a un cliente identificato, sia sempre definita un’idonea procedura che preveda, oltre alla consultazione di più fonti - di cui sia sempre assicurato l’aggiornamento (cfr. art. 17, comma 3 del d.lgs. n. 231/2007 come integrato dalla l. n. 136/2023) – anche un’attenta verifica circa la certa riferibilità dell’informazione all’interessato, in assenza della quale il trattamento di quei dati deve ritenersi precluso.

Di conseguenza, l’utilizzo di dati provenienti da fonti aperte nel contesto di un trattamento di dati necessario per adempiere a un obbligo legale cui è soggetto il titolare del trattamento in materia di antiriciclaggio non è conforme alla disciplina di protezione dati se non sussistono le condizioni per attribuire l’informazione in modo certo, al di là di ogni ragionevole dubbio, a uno specifico interessato.
Al riguardo si segnalano le recenti “Linee-guida del Comitato consultivo della Convenzione 108 sul trattamento dei dati personali per finalità di lotta al riciclaggio e contrasto al finanziamento del terrorismo”, adottate il 16 giugno 2023.

Le stesse raccomandano infatti l’attuazione, da parte dei soggetti obbligati, di procedure idonee a garantire il rispetto del principio di accuratezza cui all’art. 5, par. 1, lett. d) del Regolamento; ciò in qualsiasi trattamento dei dati connesso alle operazioni di adeguata verifica della clientela, in modo da evitare rischi ed effetti dannosi sui diritti del cliente/interessato che potrebbero derivare dal trattamento di dati non aggiornati (cfr. par. 3.5 - raccomandazione).

Le medesime Linee-guida aggiungono, altresì, che nel caso in cui le informazioni siano state raccolte ed elaborate da una terza parte (sulla quale il titolare del trattamento fa affidamento), l’obbligo di provvedere all’aggiornamento dei dati e delle informazioni relative all’adeguata verifica della clientela incombe comunque sul titolare (par. 3.5 – Contestualizzazione AML/CFT 37).

6. Conclusioni: dichiarazione di illiceità dei trattamenti effettuati. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce delle considerazioni che precedono, l’Autorità ritiene che le dichiarazioni e le ricostruzioni fornite dal titolare del trattamento negli scritti difensivi non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a consentire l’archiviazione del presente procedimento; ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali del reclamante effettuato dalla Società risulta infatti illecito, nei termini sopra esposti, in relazione agli artt. 5, par. 1, lett. c) e d) e 2 del Regolamento.

Purtuttavia, considerati tutti gli elementi acquisiti nell’ambito dell’istruttoria, si ritiene che la violazione accertata nei termini di cui in motivazione possa essere considerata “minore” (v. art. 83, par. 2 e Cons. 148 del Regolamento), tenuto conto, in particolare:

a) del breve arco temporale per il quale si è protratto il trattamento illecito, avendo la Società prontamente provveduto a cessare la correlazione dei dati del cliente con le informazioni riguardanti un terzo, non appena acquisiti i chiarimenti forniti dall’interessato;

b) del fatto che la Società ha immediatamente fornito riscontro all’istanza di accesso dell’interessato, comunicando allo stesso l’origine dell’informazione che gli è stata indebitamente associata;

c) della fattiva e ampia collaborazione con l’Autorità nel corso del procedimento; 

d) dell’esiguo numero di interessati coinvolti (uno);

e) del fatto che la Società ha dichiarato che intende “rivalutare le logiche degli approfondimenti sulle evidenze emerse nell’ambito dell’esecuzione dei controlli di adeguata verifica della clientela”;

f) dell’assenza di precedenti violazioni per la medesima fattispecie a carico della Società. 

Al riguardo, con riferimento agli elementi da prendere in considerazione in relazione alla sanzione da applicare, occorre tenere presente che l’applicazione della normativa antiriciclaggio è caratterizzata da un’elevata complessità del quadro giuridico di riferimento.

Si è inoltre tenuto conto dell’assenza di precedenti pronunce da parte dell’Autorità, in merito a questo specifico tema, e dell’approccio seguito, con riferimento a recenti decisioni in questo ambito (vedi provvedimenti nn. 128 e 129 del 13 aprile 2023 [doc. web 9888438 e 9888457]).

Alla luce di quanto sopra si ritiene quindi che, relativamente al caso in esame, occorra ammonire Hype S.p.a., titolare del trattamento, ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per la violazione delle disposizioni del Regolamento, nei termini indicati in motivazione.

Si rileva, inoltre, che ricorrono i presupposti per l’annotazione della violazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento (art. 17 del Regolamento del Garante n. 1/2019).

Si informa, infine, che come da disposizioni normative e regolamentari dell’Ufficio (art. 154-bis, comma 3, del Codice; art. 37 del Regolamento del Garante n. 1/2019), copia del presente provvedimento verrà pubblicata sul sito web del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, rileva l’illiceità del trattamento effettuato da Hype S.p.a., con sede legale in Piazza Gaudenzio Sella n.1, Biella – P.I. 02686590023, descritto nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lett. c) e d) e par. 2 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento ammonisce Hype S.p.a. per la violazione delle disposizioni sopra indicate, nei termini indicati in motivazione;

c) in conformità all’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione della violazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 novembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi