g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Banca Nazionale del Lavoro S.p.a. - 11 giugno 2015 [4243123]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4243123]

Ordinanza di ingiunzione nei confronti di Banca Nazionale del Lavoro S.p.a. - 11 giugno 2015

Registro dei provvedimenti
n. 348 dell´11 giugno 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo di Polizia Tributaria della Guardia di finanza di Piacenza ha contestato, con atto datato 27 febbraio 2013 e notificato il 7 marzo 2013, che qui deve intendersi integralmente riportato, a Banca Nazionale del Lavoro S.p.a., con sede in Roma, via Vittorio Veneto n. 119, P.I. 09339391006, in persona del legale rappresentante pro-tempore, la violazione delle disposizioni di cui agli artt. 161 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003 n. 196, di seguito denominato "Codice") per aver effettuato un illecito trattamento di dati personali senza aver reso previamente l´informativa e raccolto il consenso degli interessati, individuati nella persona di Sergio Vitozzi e nella società M.C. s.r.l.;

VISTO che nell´atto di contestazione si dichiara che "nel mese di dicembre 2012 questo Reparto ha concluso un´attività di polizia giudiziaria delegata nell´ambito del procedimento penale n. 9091/12 (…). L´attività di polizia giudiziaria è scaturita a seguito di denuncia querela pervenuta alla Procura, in data 08.10.2012 da Vitozzi Sergio (…) per l´ipotesi di reato di cui all´art. 167 del d.lgs. 196/2003 (trattamento illecito dei dati). Il querelante lamentava di aver ricevuto, nel mese di luglio 2010, delle missive da parte della Banca Nazionale del Lavoro, Agenzia 3, contenenti degli estratti di conto corrente intestati rispettivamente al querelante e alla società M.C. s.r.l. di cui il medesimo, all´epoca dei fatti, ne era legale rappresentante nonché amministratore unico. (…) Le indagini esperite, caratterizzate dall´analisi della documentazione acquisita durante le fasi ispettive, hanno permesso di individuare n. 2 posizioni di conto corrente accese in data 17.02.2010 manchevoli del previsto rilascio dell´informativa all´interessato nonché della sottoscrizione del consenso al trattamento dei dati personali di cui agli artt. 13 e 23 del D.lgs. 196/2003";

RILEVATO dal rapporto della Guardia di finanza, Nucleo di Polizia tributaria di Piacenza, predisposto ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689, che non risulta effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi, inviati ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha precisato "il carattere anomalo ed episodico del trattamento di dati personali oggetto del presente procedimento", avendo la BNL adottato una rigorosa procedura per l´acquisizione dei dati dei propri clienti. "Nel caso di specie, tale procedura è stata, sfortunatamente, violata da una funzionaria dell´istituto di credito (…) che, perseguendo un proprio personale interesse, consistente nel raggiungimento dei propri obiettivi di sviluppo del portafoglio clienti della banca, ha proceduto all´inserimento dei dati di cui si discute nel sistema informatico della BNL senza essersi preoccupata di consegnare agli interessati l´apposito modulo contenente l´informativa né di acquisire il loro consenso". La parte ha, inoltre, chiarito che i dati in questione sono stati raccolti presso la commercialista del sig. Vittozzi che li ha, a sua volta, comunicati alla funzionaria BNL, assicurando di aver informato l´interessato e di averne raccolto il consenso; tali dati sono stati inseriti nel sistema informatico BNL "ai fini dell´espletamento di una serie di attività prodromiche alla formalizzazione di un contratto di conto corrente bancario (…)" che non si è mai perfezionato per l´assenza di ogni manifestazione di volontà negoziale. Pertanto, l´acquisizione del consenso non era un adempimento necessario in quanto il trattamento non ha avuto luogo. Quanto, invece, all´omessa informativa, la parte ritiene che questa sia stata resa secondo le modalità di cui all´art. 13, comma 4, del Codice, ovvero quando il direttore dell´Agenzia ha telefonato all´interessato e gli ha fornito le informazioni necessarie. In ogni caso, appena l´Agenzia si è resa conto delle irregolarità, ha provveduto alla immediata cancellazione dei dati personali del querelante e della sua società. In ultimo, la parte ha chiesto che siano archiviate le violazioni commesse in riferimento alla società M.C. srl, stante l´inapplicabilità della disciplina in materia di protezione dei dati personali alle persone giuridiche;

LETTO il verbale di audizione, svoltosi in data 8 luglio 2013 ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha precisato che le responsabilità per i fatti in esame devono essere imputate alla funzionaria che si è discostata dalle procedure e dalle regole impartite dalla Banca;

RITENUTO che le argomentazioni addotte non consentono di escludere la responsabilità della parte in relazione a quanto contestato. In primo luogo, si rappresenta che sebbene le attività di polizia giudiziaria abbiano individuato delle responsabilità penali in capo alla funzionaria e al direttore dell´Agenzia, presso la quale si sono verificati i fatti in questione, sotto il profilo della protezione dei dati personali, le responsabilità connesse agli adempimenti in materia di informativa e consenso devono, nel caso di specie, essere imputate alla Banca, in qualità di titolare del trattamento. Ai sensi degli artt. 4, comma 1, lett. f) e 28 del Codice, infatti, il titolare del trattamento adotta ogni decisione in merito alle finalità e alle modalità del trattamento, agli strumenti utilizzati, anche "sotto il profilo della sicurezza". Pertanto, anche in presenza delle designazioni dei direttori di filiali e dei funzionari quali responsabili e/o incaricati del trattamento, ai sensi degli artt. 29 e 30 del Codice, la responsabilità per i fatti oggetto di contestazione va individuata in capo alla Banca che ha omesso di vigilare sull´osservanza delle proprie istruzioni. Ciò posto, si rileva che negli atti di indagine trasmessi dal Nucleo di polizia tributaria della Guardia di finanza si evince che i dati personali degli interessati (comprensivi di tutti i dati identificativi) siano stati inseriti nel sistema informatico di BNL per effettuare il cd. "censimento", finalizzato all´apertura dei conti correnti che, infatti, è avvenuta in data 17.02.2010. Dall´esame della documentazione prodotta, in particolare dal testo della "Procedura n. 13 del 18/06/2004", si legge che "l´informativa deve essere consegnata all´interessato prima di procedere al trattamento dei suoi dati (…). Il consenso al trattamento dei dati personali deve essere rilasciato dal soggetto interessato in occasione del primo censimento dei suoi dati personali nell´anagrafe della Banca", a prescindere dalla circostanza che si giunga o meno al perfezionamento del contratto di conto corrente. Pertanto, le argomentazioni addotte dalla parte non sono fondate posto che l´attività di censimento posta in essere dall´Agenzia già comprende operazioni di trattamento di dati personali che, nel caso in esame, sono avvenute in mancanza di qualsivoglia manifestazione di volontà dell´interessato. Quanto, invece, alla tesi in base alla quale l´informativa all´interessato andava resa secondo le modalità di cui all´art. 13, comma 4, del Codice, questa non trova assolutamente applicazione al caso in esame, dal momento che i dati personali in argomento, ancorché comunicati da un terzo soggetto, sono stati trattati (e comunicati al titolare) all´insaputa dell´interessato. Infine, si fa presente che la modifica legislativa di cui al D.L. n. 201 del 6 dicembre 2011, che ha modificato la portata applicativa del Codice in materia di protezione dei dati personali, escludendone le persone giuridiche, è intervenuta successivamente alla commissione delle violazioni (rilevabile, sulla base degli atti, nel febbraio 2010) e, pertanto, non può trovare applicazione al caso in argomento. Piuttosto, in virtù del principio "tempus regit actum", sono state correttamente sanzionate le condotte poste in essere nei confronti di due interessati, persona fisica e persona giuridica;

RILEVATO, pertanto, che Banca Nazionale del Lavoro spa ha effettuato un trattamento di dati personali di due soggetti, omettendo di rendere l´informativa e di raccogliere il consenso, in violazione degli artt. 13 e 23 del Codice;

VISTO l´art. 161 del Codice, che punisce la violazione dell´art. 13, con la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, l´ammontare della sanzione pecuniaria nella misura di euro 12.000,00 (dodicimila) per la violazione di cui all´art. 161 del Codice (6.000,00 per ogni interessato) e nella misura di euro 20.000,00 (ventimila) per la violazione di cui all´art. 162, comma 2-bis, del Codice (10.000,00 per ogni interessato), per un ammontare complessivo pari a euro 32.000,00 (trentaduemila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981, n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Banca Nazionale del Lavoro S.p.a., con sede in Roma, via Vittorio Veneto n. 119, P.I. 09339391006, in persona del legale rappresentante pro-tempore, di pagare la somma complessiva di euro 32.000,00 (trentaduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162, comma 2-bis, del Codice, come indicato in motivazione;

INGIUNGE

alla medesima di pagare la somma di euro 32.000,00 (trentaduemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 11 giugno 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia