[doc. web n. 9941780]

Provvedimento del 14 settembre 2023

Registro dei provvedimenti
n. 402 del 14 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato il 12/5/2023 ai sensi dell’art. 77 del Regolamento dal Sig. XX, rappresentato ai fini del presente procedimento dall’avv. XX, nei confronti di Intesa Sanpaolo S.p.a.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo nei confronti dell’istituto di credito e l’attività istruttoria.

Con le note del 1/6/2022 e 12/5/2023, il Sig. XX ha presentato un reclamo a questa Autorità lamentando di non aver ottenuto riscontro, da parte di Intesa Sanpaolo S.p.a. (di seguito “ISP” o “la banca” o “l’istituto di credito”), all’istanza di accesso ai dati personali riferiti al figlio minore avanzata dallo stesso reclamante, nell’esercizio della sua potestà genitoriale, ai sensi dell’art. 15 del RGPD.

A seguito dell’invito formulato dall’Ufficio a fornire osservazioni in ordine ai fatti oggetto di reclamo nonché ad aderire spontaneamente alle istanze formulate dal reclamante, la Banca, con nota del 25/5/2023 (inviata all’interessato e contestualmente a questa Autorità) ha comunicato le informazioni richieste precisando che il ritardo è stato determinato da “un mero errore operativo intervenuto nel processo di gestione dell’istanza originaria”; in particolare, l’Istituto, nell’affermare di essere venuta a conoscenza dell’istanza di accesso, solo a seguito della ricezione dell’invito ad aderire formulato dall’Autorità, ha evidenziato come la struttura che presidia la ricezione delle comunicazioni all’indirizzo pec di Intesa Sanpaolo, ha provveduto a inoltrare l’istanza in questione “alla Filiale di riferimento […] che, purtroppo, non ha proceduto con alcun diretto riscontro ovvero all’invio della stessa” alla struttura preposta (Funzione privacy) “per successiva evasione”; nella medesima nota è altresì precisato che la Banca ha previsto che “la gestione delle richieste di esercizio dei diritti sanciti dal Regolamento, atteso il rilievo alle stesse attribuito, venga effettuato dalla funzione Privacy a supporto del Data Protection Officer. Per tale ragione, anche nell’ottica di semplificare le modalità di trasmissione delle richieste da parte degli interessati e ridurne i tempi di gestione, la Banca ha messo a disposizione molteplici canali per la presentazione delle richieste tra i quali, in particolare, gli indirizzi e-mail specificamente individuati dpo@intesasanpaolo.com o privacy@pec.intesasanpaolo.com direttamente presidiati dalla funzione sopraindicata, riportati nella sezione Privacy del sito internet della banca e nell’informativa alla clientela sul trattamento dei dati personali nella parte relativa all’esercizio di un diritto da parte degli interessati”.

Con nota del 7/6/2023, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare a Intesa Sanpaolo S.p.a. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione degli artt. 12 e 15 del Regolamento.

Con la medesima nota la società è stata invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

Con nota del 30/06/2023, ISP ha fatto pervenire i propri scritti difensivi, che qui integralmente si richiamano, con i quali, nell’evidenziare che “sia a livello di Società sia quale Capogruppo del Gruppo bancario Intesa Sanpaolo, è da sempre impegnata a garantire, a favore degli interessati, il rispetto di tutte le previsioni normative attinenti all’esercizio dei diritti (…)” – tanto che, “nel 2022, la Banca ha ricevuto 5127 richieste di esercizio dei diritti (di cui 336 riferite all’esercizio del diritto di accesso), tutte regolarmente evase ed in merito alle quali non risultano, ad oggi, pervenute lamentele circa l’omesso o incompleto riscontro fornito agli interessati” - ha fornito alcune precisazioni e chiarimenti.

In particolare ha evidenziato:

1. di avere adottato “un solido framework di procedure interne, istruzioni operative per il Personale in merito al trattamento dei dati personali in generale e, nello specifico, delle attività da svolgere per la corretta gestione delle richieste di esercizio dei diritti da parte degli interessati” (documentazione di cui è stata prodotta copia); in particolare, il documento denominato “Guida di Processo Gestione della Conformità – Gestione ambito normativo Tutela della privacy” contiene “a pagina 12, un esplicito richiamo con il quale viene ribadito che le istruzioni impartite si applicano, oltre che alle richieste relative all’esercizio dei diritti da parte degli interessati, anche alle richieste (…) che contengano parole quali “Autorità Garante”, “Privacy”, “GDPR” o “trattamento di dati personali”. Tale istruzione è volta a sottoporre alla funzione specialistica preposta ogni e qualsiasi comunicazione pervenuta alla Banca avente anche solo un richiamo alla normativa (…) ed evitare, in tal modo, che una gestione parziale della comunicazione, ovvero una lettura errata della stessa, possa comportare il mancato riscontro, anche se involontario, all’esercizio di un diritto da parte degli interessati ovvero non adeguatamente gestire una segnalazione pertinente alla protezione dei dati personali”; inoltre, “a rafforzamento delle istruzioni riportate nella normativa interna, è già da tempo in atto la pubblicazione - su base trimestrale – nelle “Notizie” del portale ABC Informativa e nelle informazioni “Ultimo minuto” del portale HELP 4U – di un messaggio diretto al Personale della Banca al fine di ricordare periodicamente gli elementi essenziali per la gestione delle richieste di esercizio dei diritti da parte degli Interessati (normativa esterna e interna di riferimento, tempi, indirizzi e-mail della struttura specialistica incaricata dell’analisi e relativa gestione della richiesta)”; infine, “si è provveduto a predisporre il documento “Modalità di gestione delle comunicazioni attinenti a tematiche privacy”, già condiviso, nel corso di un incontro avvenuto lo scorso 5 giugno (prima della ricezione della prospettata violazione del 7 giugno u.s.) con la struttura della Banca che gestisce l’indirizzo pec istituzionale di Intesa Sanpaolo (…) a cui era stata inviata, lo scorso 21 aprile 2022, l’originale richiesta di accesso ai dati personali del minore XX (…)”; nello stesso, “ribadendo  quanto già indicato nella normativa interna in precedenza riepilogata, sono state fornite indicazioni in grado di consentire una migliore identificazione delle richieste potenzialmente rilevanti al fine di inoltrarle tempestivamente alla funzione (Privacy) specialistica della Banca, deputata alla valutazione ed al riscontro di quanto pervenuto con particolare riferimento all’esercizio dei diritti da parte degli interessati”;

2.  con riferimento al caso di specie, “dalle verifiche esperite a seguito della comunicazione pervenuta da codesta Autorità in data 17 maggio 2023 (…) si è potuto appurare che l’omesso riscontro (…) è stato causato da un involontario errore operativo intervenuto nel processo di relativa gestione”. In particolare, “(…) una volta identificata la posizione anagrafica di XX, la comunicazione originaria dell’avv. XX è stata tempestivamente inviata alla relativa filiale di radicamento (…). La stessa, purtroppo, non ha effettuato alcuna successiva lavorazione o invio a favore della funzione Privacy”; ciò premesso, “ben consci di quanto indicato nelle recenti Linee Guida 01/2022 sull’esercizio del diritto di accesso emesse dall’EDPB, oltre che delle considerazioni già espresse da codesta Autorità in precedenti provvedimenti assunti” occorre nuovamente evidenziare che “ISP ha messo a disposizione della clientela indirizzi email di posta ordinaria e PEC (…) espressamente dedicati all’esercizio dei diritti degli interessati e, più in generale, alla sottoposizione di eventuali questioni relative al trattamento dei dati personali effettuato dalla Banca quale titolare (…)”; l’indirizzo pec generale cui è stata inviata l’originaria richiesta di accesso “è destinatario di circa 2500-2700 comunicazioni giornaliere aventi molteplici contenuti e necessità, tra loro profondamente differenti, la cui competenza gestionale appartiene, di conseguenza, a differenti strutture interne tra le quali possono rientrare anche le Filiali di radicamento del rapporto bancario riferibile al mittente”;

3. in relazione alla portata e alla gravità della violazione occorsa, la stessa, “atteso anche il tempo trascorso dalla richiesta originaria (peraltro mai sollecitata)”, deve ritenersi “estremamente circoscritta e limitata al disguido operativo descritto (..), evitabile nel caso in cui la richiesta fosse pervenuta agli indirizzi di riferimento per la gestione delle richieste di esercizio dei diritti degli interessati”; in ogni caso, “la condotta di Intesa Sanpaolo è sempre stata improntata alla massima collaborazione con l’interessato e con l’Autorità Garante, fornendo nel corso del procedimento, riscontri, documenti, informazioni in modo tempestivo (…)”; peraltro si evidenzia che, “a seguito del riscontro fornito all’avv. XX in data 25 maggio 2023, lo stesso ha fatto pervenire, in data 29 maggio 2023 e per conto del Sig. XX, una richiesta di ottenere copia degli estratti conto (dall’apertura) del rapporto di conto corrente intestato al figlio minore, in forza delle previsioni sancite dal Testo Unico Bancario e del GDPR”. Tale richiesta, “a titolo di massima collaborazione, tenuto anche conto dello spiacevole episodio occorso in precedenza” è stata prontamente riscontrata e, in data 1° giugno 2023 è stata fornita all’interessato “copia dell’estratto di conto richiesto, senza applicare, (…) le spese normativamente previste”.

2. La normativa in materia di protezione dei dati personali.

L’art. 12 del Regolamento dispone che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte […] le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento” (par. 1) e che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2).

Il paragrafo 3 del medesimo articolo precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due 6 mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.

In base al paragrafo 4 del medesimo articolo il titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

L’art. 15, par. 1, del Regolamento dispone altresì che “l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali e alle […] informazioni [indicate nello stesso articolo 15];

3. Le valutazioni dell’Autorità e l’esito dell’istruttoria.

All’esito della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che, nel caso in esame, Intesa Sanpaolo S.p.a. non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dal reclamante, entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”), né ha provveduto ad informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4 del Regolamento).

Solo a seguito della presentazione del reclamo e dell’apertura dell’istruttoria, infatti, la Banca ha fornito all’interessato le informazioni richieste, illustrando al contempo, in modo dettagliato, le circostanze che hanno determinato il suddetto ritardo.

In particolare, con riferimento ai motivi, individuati dalla Società come cause della propria condotta (invio dell’istanza di accesso alla casella pec generale, diversa da quella propriamente dedicata all’esercizio dei diritti in materia di protezione dei dati personali), si rammenta che le “Guidelines 01/2022 on data subject rights - Right of access”, adottate dall’EDPB il 18 gennaio 2022, chiariscono che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso (v. Guidelines 01/2022 cit., punto 52 “the GDPR does not impose any requirements on data subjects regarding the form of the request for access to the personal data. Therefore, there are in principle no requirements under the GDPR that the data subjectsmust observe when choosing a communication channel through which they enter into contact with the controller” trad. non ufficiale “il Regolamento generale sulla protezione dei dati non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Pertanto, in linea di principio, non vi sono requisiti che l'interessato sia tenuto a rispettare al momento di scegliere un canale di comunicazione attraverso il quale entrare in contatto con il titolare del trattamento dei dati”).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2 del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nelle memorie difensive - della cui veridicità si può essere chiamati a rispondere ai sensi del citato art. 168 del Codice - seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

L’omesso tempestivo riscontro all’istanza di accesso ai dati personali riferiti al figlio minore avanzata dal reclamante risulta infatti illecito, nei termini su esposti, per violazione dell’art. 12, par. 3 e 4 del Regolamento; d’altro lato, relativamente alla richiesta di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento”, considerato che la Banca, non appena ricevuta la comunicazione dell’Autorità e accertato il disguido, ha provveduto a fornire al reclamante le informazioni richieste (anche trasmettendo copia della documentazione bancaria successivamente richiesta ex art. 119, comma 4, del d lgs. n. 385/1993 - T.U.B. senza l’applicazione delle spese normativamente previste), non sussiste il presupposto per l’adozione di un provvedimento ingiuntivo da parte dell’Autorità medesima (art. 58, par. 2, lett. c) e d)).

Pertanto, il reclamo presentato ai sensi dell’art. 77 del Regolamento deve ritenersi fondato e questa Autorità, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

5. Ordinanza di ingiunzione.

La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. b), del Regolamento.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

a) la rilevante natura della violazione, che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati;

b) il grado di responsabilità del titolare che risulta attenuato in quanto lo stesso, non appena avuta contezza della violazione, ha provveduto a fornire all’interessato le informazioni richieste;

c) le misure adottate dal titolare per attenuare le conseguenze negative derivanti dall’illecito, tra cui la consegna a titolo gratuito della documentazione bancaria successivamente richiesta dall’interessato ai sensi dell’art. 119 del Testo unico bancario;

d) la collaborazione con l’Autorità nel corso del procedimento;

e) l’esiguo numero di interessati coinvolti (uno);

f) le misure organizzative apprestate dal titolare al fine di evitare la mancata presa in carico di una istanza di esercizio dei diritti che pervenga a una struttura diversa da quella avente diretta competenza;

g) il fatto che il titolare è già stato destinatario di precedenti provvedimenti di cui all’art. 58 del Regolamento.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti riferiti al bilancio d’esercizio per l’anno 2022 ed è stato, altresì, considerato che il titolare è già stato destinatario di provvedimenti di cui all’art.  58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 42.000 (quarantaduemila) per la violazione dell’art. 12, par. 3 e 4, del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione dell’art.12, par. 3 e 4, del Regolamento.

ORDINA

a Intesa Sanpaolo S.p.a., con sede legale in legale in Torino, Piazza San Carlo, 156, P.I. 11991500015, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 42.000 (quarantaduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Intesa Sanpaolo S.p.a. di pagare la somma di euro 42.000 (quarantaduemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 settembre 2023

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi