[doc. web n. 9902499]

Provvedimento del 17 maggio 2023

Registro dei provvedimenti
n. 200 del 17 maggio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato il 3/8/2022 ai sensi dell’art. 77 del Regolamento dalla Sig.ra XX, rappresentata ai fini del presente procedimento dall’avv. Alessandro Altieri, nei confronti di Santander Consumer Bank S.p.a.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo nei confronti dell’istituto di credito e l’attività istruttoria.

Con reclamo del 3/8/2022, la Signora XX ha lamentato di non aver ottenuto un idoneo e tempestivo riscontro, da parte di Santander Consumer Bank S.p.a. (di seguito “”Santander” o “la banca” o “l’istituto di credito”), alla richiesta di accesso ai dati personali formulata ai sensi dell’art. 15 del Regolamento e di cancellazione delle informazioni pregiudizievoli - contenute nei sistemi di informazioni creditizie - relative a un prestito accordatole dalla predetta banca il 23 agosto 2016; più specificamente Santander, con nota del 23/07/2022, ha rappresentato all’interessata di non essere in grado di fornirle alcuna informazione in ordine al citato finanziamento, in quanto lo stesso, a seguito del perdurare dello stato di insolvenza, è stato “ceduto pro-soluto in data 27/05/2019 alla Revalue S.p.a.”.

A seguito dell’invito formulato dall’Ufficio a fornire osservazioni in ordine ai fatti oggetto di reclamo nonché ad aderire spontaneamente alle istanze formulate dalla reclamante, Santander, con nota del 25/11/2022, ha comunicato all’interessata i dati richiesti, inviando alla stessa copia di documentazione contrattuale relativa al prestito in questione e precisando che lo stesso, concesso il 23 agosto 2016, “è stato caratterizzato da ritardi nei pagamenti”; tali ritardi si sono verificati nonostante “la specifica comunicazione di sollecito di pagamento con contestuale informativa di imminente registrazione nei Sistemi di Informazioni Creditizie (S.I.C.) inviata dalla banca in data 09/01/2017 e regolarmente consegnata il 26/01/2017”.

Successivamente a tale invio, “il nominativo della Sig.ra XX è stato inserito nell'archivio delle banche dati - Sistemi di Informazioni Creditizie” e, “a fronte del perdurare dello stato di insolvenza, in data 02/05/2018, è stata dichiarata la risoluzione contrattuale con contestuale decadenza dal beneficio del termine, contenente la richiesta di pagamento dell'intero importo scaduto. Inoltre, stante la mancata regolarizzazione dello scaduto, in data 27/05/2019, la scrivente ha ceduto i diritti derivanti dal contratto emarginato alla società Revalue S.p.A. (già Cross Factor S.p.A.)”.

Nella medesima nota, la Banca ha, altresì, dichiarato che le informazioni pregiudizievoli segnalate nei SIC, “alla data odierna, non risultano più visibili in quanto decorse le tempistiche di conservazione (…) previste dall'articolo 7 del "Codice di Condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” adottato dal Garante per la privacy con provvedimento n. 163 del 12 settembre 2019”.

Infine, in relazione alla gestione delle istanze di esercizio dei diritti, l’istituto di credito ha affermato di avere provveduto, “in aggiunta a quanto già pianificato ordinariamente, all’immediata sensibilizzazione delle strutture preposte”, prevedendo altresì una “ulteriore formazione interna e del fornitore, nominato quale Responsabile del trattamento di Santander Consumer Bank S.p.a. (…) al fine di assicurare la migliore gestione dei riscontri alle richieste degli interessati”.

Con nota del 19/12/2022, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare a Santander Consumer Bank S.p.a. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione dell’art. 12, par. 3 e 4 del Regolamento.

Con la medesima nota, la banca è stata invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

Con comunicazione del 18/1/2023, Santander ha fatto pervenire i propri scritti difensivi, che qui integralmente si richiamano, con i quali, nel ricostruire l’”excursus della relazione esistente tra la reclamante e la società”, ha rappresentato che:

la banca, “all’atto della richiesta dell’8 giugno 2022 inviata dalla reclamante per il tramite del proprio legale, non rivestiva più il ruolo del titolare del trattamento dei dati personali della Sig.ra […] con riferimento al rapporto di credito con la reclamante”; ciò in quanto, “in data 27 maggio 2019, stante il perdurante stato di insolvenza, il contratto di finanziamento numero […] tra la Società e la Sig.ra […] è stato ceduto, nell’ambito di una cessione di crediti pro soluto e in blocco ai sensi del D.Lgs. n. 385 del 1993 (“Testo Unico Bancario” o “TUB”), alla società Revalue S.p.A. (allora Cross Factor S.p.A., “Revalue” o il “Cessionario”), come regolarmente comunicato più volte alla reclamante. Per tale ragione, stante il tenore della Richiesta e del mandato conferito dalla Sig.ra […] al proprio legale, evidentemente finalizzato all’accertamento della persistenza del nominativo della reclamante nei sistemi di informazione creditizia e negli archivi della centrale rischi, il riscontro fornito al legale della stessa per conto di Santander dallo Studio Macello in data 23 luglio 2022 era finalizzato a ribadire alla reclamante di fare riferimento, per ottenere una risposta compiuta e aggiornata, alla cessionaria Revalue, nuovo titolare del trattamento dei suoi dati personali connesso al rapporto di credito ceduto. Invero, la società Comdata S.p.A. (“Comdata”) che, in virtù del contratto sottoscritto in data 4 gennaio 2021, fornisce a Santander una varietà di servizi, tra cui servizi di contact center, di gestione documentale e di back office e che, in virtù di ciò, è stata regolarmente nominata responsabile del trattamento ai sensi dell’art. 28 del GDPR, ha ritenuto che la Richiesta fosse connessa a quelle precedentemente ricevute dalla stessa Sig.ra […] ai sensi dell’art. 119 TUB e, come tale, l’ha trattata. […] Per le ragioni anzidette, Santander ritiene di non aver commesso alcuna violazione, avendo messo comunque nelle condizioni la Sig.ra […] di esercitare i suoi diritti nei confronti del Cessionario del rapporto creditizio che la riguardava, incluso quelli di accesso alle informazioni a suo carico presso il Cessionario e la centrale rischi relative al mancato e/o ritardato pagamento delle rate del finanziamento”.

l’istituto di credito quindi, pur sottolineando “la carenza di legittimazione passiva” rispetto alle istanze ricevute, ha tuttavia evidenziato come, non appena venuto a conoscenza del reclamo, si sia prontamente attivato - “con il massimo spirito di collaborazione” – fornendo alla reclamante, con lettera del 25 novembre 2022 inviata per conoscenza anche all’Autorità,  “l’elenco dei dati personali ancora presenti nei propri database in ragione degli obblighi contrattuali, contabili e legali ad essa spettanti nonostante la cessione pro-soluto, e informando ancora una volta la reclamante della cessione del credito avvenuta da maggio 2019. Con l’occasione, Santander – pur non essendo il titolare – ha informato la Sig.ra (…) che l’iscrizione del suo nominativo non risultava più visibile in quanto erano decorse le tempistiche di conservazione previste”;

inoltre, “la presunta violazione […] concerne unicamente il mancato tempestivo riscontro della richiesta dovuto, come già specificato, a una valutazione in buona fede commessa da Comdata, quale responsabile nominato da Santander […]”; infatti, anche qualora l’Autorità ritenesse che “la società fosse la destinataria della richiesta […], il mancato e/o insufficiente riscontro alla richiesta di accesso non sarebbe comunque attribuibile a Santander. Più precisamente l’erroneo riscontro mediante l’invito a rivolgersi a Revalue quale cessionario del credito dell’interessata, è dovuto a una valutazione attribuibile unicamente al responsabile del trattamento e fornitore di servizi Comdata che, in virtù del contratto di servizi sottoscritto in data 4 gennaio 2021 (prodotto in allegato) si occupa di smistare e gestire i reclami e le richieste della clientela, incluse quelle ai sensi del Regolamento, che pervengono a Santander. Nello specifico, anche alla luce dei precedenti contatti summenzionati intervenuti tra Santander e la Sig.ra […], la Richiesta veniva smistata e inoltrata al consulente esterno della Società, che si occupa della gestione delle pratiche cedute e delle richieste ex art. 119 TUB”;

al riguardo, nessun addebito può essere mosso alla banca “in relazione all'esercizio della propria accountability, poiché la stessa ha predisposto tutte le necessarie misure organizzative e contrattuali per dare il riscontro più ampio e tempestivo alle richieste ex artt. 15-21 GDPR provenienti dagli interessati. E ciò anche nel rapporto con Comdata, quale responsabile del trattamento. In particolare:

a) La Società ha provveduto a nominare Comdata (il proprio fornitore, tra gli altri, anche del servizio di gestione dei reclami e delle richieste della clientela) ai sensi dell’art. 28 GDPR, fornendo alla stessa le più ampie e complete istruzioni per iscritto su come gestire i reclami e prevedendo altresì un obbligo di comunicare entro 24 ore alla Società le richieste ricevute dai soggetti interessati, oltre che quello di collaborare nelle risposte, visto anche il servizio di archivio svolto dalla stessa Comdata. Si vedano a tal proposito l'Allegato 10 e l'Allegato 13 […];

b) Al fine di supervisionare l'attività del responsabile la Società ha predisposto delle procedure di controllo e audit ben precise (Allegato 14);

c)In aggiunta, e più in generale, Santander si è dotata di specifiche e dettagliate procedure interne, finalizzate a istituire una gestione coordinata delle richieste da parte degli interessati che coinvolga tutte le funzioni rilevanti (Allegato 15).

Si specifica inoltre che, a seguito di quanto accaduto, la Società ha provveduto a richiamare tempestivamente Comdata, per iscritto, segnalando alla società la fattispecie e la richiesta di accesso della Sig.ra […].. Comdata ha confermato tra l’altro, di aver richiamato sia il dipendente responsabile, sia l'intero comparto operativo, sensibilizzando lo stesso in generale in merito all'importanza della corretta gestione di tali richieste.

Alla luce di quanto sopra, è evidente che la Società non solo ha predisposto tutte le misure necessarie a garantire che i diritti degli interessati vengano rispettati, ma nel caso di specie ha comunque (sebbene non titolare) anche agito prontamente nei confronti del responsabile del trattamento, esercitando il proprio potere di controllo al fine di valutare la gravità dell'operato del responsabile e adottare le misure correttive più opportune, anche in sede contrattuale”;

deve essere, infine, tenuta in considerazione la circostanza che Santander “non è (e non è stata) destinataria di alcun provvedimento sanzionatorio per violazioni dello stesso tenore di quella che ci occupa (né per violazioni più gravi)”.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che Santander Consumer Bank S.p.a. non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dalla reclamante, entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”), né ha provveduto ad informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (art. 12, par. 4 del Regolamento).
In particolare, risulta accertato che, nella fattispecie in esame, la Banca, da un lato, non ha fornito riscontro nei termini di legge e, dall’altro, tardivamente (ovvero decorsi i trenta giorni dall’istanza), anziché comunicare all’interessata i dati richiesti, si è limitata ad informarla che, stante l’avvenuta cessione del credito, i dati medesimi potevano essere reperiti presso la società cessionaria quale nuovo ed effettivo titolare del trattamento, giacché unico soggetto in grado di fornire informazioni aggiornate.

Al riguardo si rammenta che l’art. 15 del Regolamento riconosce all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e, di conseguenza, in caso affermativo, il diritto “di ottenere l’accesso ai dati” stessi e alle ulteriori informazioni; ciò anche al fine di verificare la correttezza e la completezza dei dati oggetto di trattamento (anche laddove si tratti di sola “conservazione” dei dati – cfr. art. 4, p. 2, del Regolamento).

Deve inoltre rilevarsi che l’argomentazione addotta dalla parte, secondo cui il mancato riscontro non può essere addebitato all’istituto di credito, bensì alla società nominata responsabile del trattamento ai sensi dell’art. 28 del Regolamento (nello specifico, Comdata S.p.a.), non può essere assunta a valido motivo per giustificare l’inottemperanza da parte del titolare; grava, infatti, specificamente sul titolare del trattamento l’obbligo di dare seguito alle istanze degli interessati relative all’esercizio dei diritti (art. 12, parr. 1 e 2 del Regolamento) ed è invece compito del responsabile, a cui sia stata esternalizzata la gestione pratica delle singole richieste, prestare assistenza al titolare “tenendo conto della natura del trattamento, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di soddisfare” le richieste medesime (art. 28, par. 3, lett. e) del Regolamento).

La natura di tale assistenza deve, quindi, essere valutata alla luce “della natura del trattamento” e le sue specifiche devono essere previste puntualmente nel contratto che, ai sensi del citato art. 28, par. 3, “vincola il responsabile del trattamento al titolare [….]”.

Deve d’altra parte prendersi atto che Santander, non appena ricevuto l’invito - formulato da questa Autorità - ad aderire alle istanze dell’interessata, ha immediatamente provveduto in tal senso, comunicando alla stessa le informazioni richieste (v. par. 1.2, punto 2) e intervenendo, altresì, presso il responsabile al fine di verificare l’accaduto ed accertare l’adeguatezza delle misure tecniche e organizzative contrattualmente previste per la gestione delle istanze avanzate dalla clientela ai sensi degli artt. 15-22 del Regolamento.

3. Conclusioni: illiceità dei trattamenti effettuati. Provvedimenti correttivi.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito alla reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione, è stata considerata rilevante la natura della violazione che ha riguardato principi generali di protezione dei dati personali;

- con riferimento all’elemento soggettivo, si è rilevato il carattere colposo della violazione in ragione dell’errato convincimento della Banca di non essere (più) il titolare del trattamento dei dati ceduti a una società terza nonché del fatto che indirizzare l’interessata presso la società cessionaria potesse consentire alla stessa di avere informazioni esatte e aggiornate rispetto alla sua posizione debitoria; 

- relativamente all’adozione, da parte del titolare, di misure atte a mitigare o ad eliminare le conseguenze della violazione, è stata positivamente considerata la circostanza che la banca abbia spontaneamente fornito alla reclamante, nel corso del procedimento, le informazioni richieste;

- è stata positivamente valutata l’attiva cooperazione della banca con l’Autorità nel corso del procedimento;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021 ed è stata, altresì, considerata l’entità delle sanzioni irrogate dal Garante in casi analoghi.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila) per la violazione dell’art. 12 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione dell’art. 12, par. 3 e 4 del Regolamento;

ORDINA

a Santander Consumer Bank S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Torino, Corso Massimo d’Azeglio, 33/E, P.I. 12357110019 ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima banca di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell'art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 17 maggio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi