I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-01-28 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96273' · pdf

Ordinanza ingiunzione nei confronti di Intesa Sanpaolo S.p.a.. 20 ottobre 2022 [9825689]

abstract:



Documento annotato il 28.01.2023 Fonte: GPDP
Link: https://www.garanteprivacy.it/web/guest/home/docwe




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:

Indice

  • Ordinanza ingiunzione nei confronti di I
  • IL GARANTE PER LA PROTEZIONE DEI DATI PE
  • PREMESSO
  • 1. Il reclamo e l’attività istruttori
  • 2. L’avvio del procedimento per l’ad
  • 3. L’esito dell’istruttoria
  • 4. Conclusioni: dichiarazione di illicei
  • 5. Ordinanza di ingiunzione.
  • TUTTO CIÒ PREMESSO, IL GARANTE
  • ORDINA
  • INGIUNGE
  • DISPONE



testo:

E

estimated reading time: 28 min

[doc. web n. 9825689]

Ordinanza ingiunzione nei confronti di Intesa Sanpaolo S.p.a.. - 20 ottobre 2022

Registro dei provvedimentin. 347 del 20 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal Sig. XX in data 24/10/2019 ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei Dati personali da parte di Intesa Sanpaolo S.p.a. (ex Veneto Banca S.c.p.a.);

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Con il reclamo presentato a questa Autorità il 24/10/2019, il Sig. XX ha lamentato di non avere ottenuto riscontro, da parte di Intesa Sanpaolo S.p.a. (di seguito, “ISP” o “la banca” o “l’istituto”), all’istanza di accesso avanzata ai sensi dell’art. 15 del Regolamento in data 23/09/2019; tale richiesta, era volta, in particolare, ad avere accesso ai dati riferiti a quattro operazioni in derivati che risultano essere state aperte “a suo nome e a sua completa insaputa” da Veneto Banca S.c.p.a. (di seguito “Veneto Banca”) nella giornata di sabato 3/10/2015 (quindi in un giorno prefestivo, quando la filiale non era operativa) e chiuse il 13/11/2017 (come da documento prodotto in allegato al reclamo) da Intesa Sanpaolo S.p.a., nel frattempo subentrata a Veneto Banca in base a contratto di cessione del 26/6/2017.

A seguito dell’invito formulato da questo Ufficio a fornire osservazioni in ordine a quanto esposto nel reclamo, con nota pervenuta il 16/01/2020, Intesa Sanpaolo S.p.a., nell’affermare di avere fornito riscontro all’interessato con lettera del 28/10/2019 (recante in allegato una tabella riepilogativa di alcuni Dati personali allo stesso riferiti), ha altresì precisato che, per quanto riguarda le operazioni di negoziazione su derivati, “la Direzione della filiale di Cassola resta a Sua disposizione per fornirle la necessaria assistenza”; ciò in quanto le citate operazioni “non evidenziano aspetti di competenza di questa struttura”.

Con successiva nota del 30/01/2020, a seguito di una richiesta di chiarimenti avanzata dall’Ufficio, l’istituto di credito ha ulteriormente precisato che:

rispetto alle operazioni di negoziazione su derivati, nessun Trattamento è stato effettuato da Intesa Sanpaolo poiché “non si trattava di veri rapporti contrattuali ma, verosimilmente, di linee tecniche non collegate ad alcuna operatività in corso”; invero, il 9 ottobre 2017, “in vista della migrazione informatica prevista per il successivo 11 dicembre”, ISP “si è limitata a segnalare al reclamante l’esistenza di tali linee/rapporti nei sistemi di Veneto Banca evidenziando l’impossibilità di procedere alla migrazione degli stessi nei propri sistemi”, salvo “ricontrattualizzazione dei rapporti” qualora lo stesso avesse voluto “intraprendere una nuova operatività con ISP”; tale ri-contrattualizzazione tuttavia non è mai avvenuta;

“tali rapporti/linee tecniche vennero accese presso Veneto Banca in bonis molto tempo prima del contratto di cessione con cui ISP acquisì da Veneto Banca in liquidazione coatta amministrativa determinate attività, passività e rapporti giuridici costituenti il c.d. Insieme Aggregato”;

il documento allegato al reclamo e oggetto di doglianza è uno “screenshot di applicativi di Veneto Banca ed utilizzato per la difesa in giudizio di ISP (…)”;

“Veneto Banca in liquidazione coatta amministrativa era ed è l’unico Titolare del trattamento” cui il reclamante dovrebbe rivolgersi per ottenere “chiarimenti in merito alle modalità di apertura dei rapporti/linee” in questione.

In relazione a quanto sopra riportato il reclamante, con le note del 5, 6 e 19 febbraio 2020, nonché nel corso dell’audizione tenutasi presso l’Autorità in data 15/07/2020, ha formulato le seguenti considerazioni:

con riferimento alle operazioni in questione, nelle risposte all’Autorità, per la prima volta, Intesa Sanpaolo ha utilizzato il termine “linee tecniche”; in precedenza, le stesse erano state identificate come “mere linee operative accese in data 3 ottobre 2015 dall’allora Veneto Banca S.c.p.a.” (cfr. note indirizzate all’interessato in data 13/9/2019 e 10/12/2019) e quindi quali rapporti contrattuali che necessitano della sottoscrizione delle parti;

l’interlocutore, e quindi il Titolare del trattamento, non può che essere ISP (che ha acquisito attività e rapporti di Veneto Banca) ed è infatti ISP che ha provveduto alla chiusura delle stesse in data 13.11.2017;

Veneto Banca, a cui l’interessato si è rivolto come suggerito da ISP, con missiva del 25/2/2020 ha affermato che “in base al contratto di cessione sottoscritto il 26 giugno 2017 sulla scorta delle previsioni di cui al DM n. 186 del 25.6.2017, i documenti da Lei sollecitati sono in possesso di ISP che evaderà nel più breve tempo possibile la richiesta”; peraltro, in data 13/11/2017 il reclamante ha ricevuto una comunicazione (“Trasparenza bancaria”) avente ad oggetto “termini/derivati…rapporto n. 1904/94” nella quale, sopra il logo VENETO BANCA, appare scritto “Intesa Sanpaolo S.p.a. ai sensi del decreto legge 99/2017 convertito in legge 121/2017”: è evidente che una tale dicitura riconduce la comunicazione medesima a Intesa Sanpaolo, banca cessionaria;

quanto, poi, alla citata nota del 9 ottobre 2017 (recante in oggetto “recesso dal contratto quadro che disciplina l’acquisto/vendita a termine di divisa estera”), con la stessa, ISP non avrebbe segnalato “l’esistenza di tali linee/rapporti” bensì “l’impossibilità di far migrare il contratto quadro oggetto della raccomandata nella nuova realtà di Intesa”; con la stessa l’istituto di credito avrebbe quindi affermato di avere acquisito i rapporti da Veneto Banca e di voler recedere dal contratto quadro esistente (recesso esercitato a far data dall’11.12.2017, con ciò ammettendo l’esistenza di un rapporto contrattuale e di conseguenza del Trattamento dei dati personali).

A seguito di una ulteriore richiesta di chiarimenti formulata dall’Ufficio il 17/09/2020, Intesa Sanpaolo, con nota del 1/10/2020, ha precisato che:

l’operazione che si è realizzata con la stipula del contratto di cessione il 26 giugno 2017 tra ISP e le due banche venete (Veneto banca S.p.a. e Banca popolare di Vicenza S.p.a.) è stata caratterizzata da “un carattere di eccezionale urgenza che non ha consentito alla nostra banca di effettuare i controlli preliminari sul compendio di rapporti, attività e passività evidenziati nei sistemi delle due banche poste in LCA e trasferitele massivamente”; così, “prima della migrazione dei rapporti ceduti sui sistemi di ISP, avvenuta all’inizio del dicembre 2017, non è stato quindi possibile individuare con immediatezza la presenza di eventuali dati non pertinenti in quanto relativi a posizioni estranee a quelle ricomprese nell’Insieme Aggregati”;

nel contesto anzi descritto, “le evidenze contabili afferenti operazioni in derivati riferibili al Sig. XX sono risultate non pertinenti all’Insieme Aggregato trasferito a ISP; la banca quindi non ha e non può avere contezza delle ragioni che hanno generato tali evidenze presso Veneto Banca prima del menzionato contratto di cessione”; in relazione alle stesse ISP, “in vista delle complesse attività prodromiche alla migrazione sui propri sistemi informatici dei dati relativi all’Insieme Aggregato, prevista per il successivo 11 dicembre 2017, si è limitata a segnalarne al Sig. XX l’esistenza nei sistemi di Veneto Banca in LCA, evidenziando da un lato l’impossibilità di procedere alla loro migrazione nei sistemi di ISP e, dall’altro, invitandolo a valutare un’apposita contrattualizzazione dei rapporti con ISP laddove avesse voluto intraprendere una nuova operatività in derivati (contrattualizzazione che non è mai avvenuta)”;

la “lettera di ISP del 9 ottobre 2017 relativa al recesso dal contratto quadro (…) è frutto di un mero disguido operativo, nel contesto delle comunicazioni massive inviate dalla banca prima della migrazione informatica (…). Infatti, come si è poi appurato, non vi era alcun contratto quadro in essere tra Veneto banca e il Sig. XX, ma residuavano esclusivamente le linee tecniche indicate (intese come mere evidenze contabili) non collegate ad alcuna operatività corrente”;

per quanto concerne la richiesta di precisare a chi debba imputarsi l’operazione di chiusura del 13 novembre 2017, ISP ha dichiarato che in quella data, “nell’ambito delle operazioni di “bonifica” dell’archivio propedeutiche alla migrazione dei soli rapporti ricompresi nell’Insieme Aggregato, dette evidenze sono state “congelate” (non cancellate) tenuto conto dell’esistenza di un contenzioso giudiziale in essere” tra la banca e il reclamante (che, il “19.12.2017 ha riassunto nei confronti di ISP il giudizio civile già instaurato nei confronti di Veneto Banca in bonis e interrotto a seguito della messa in LCA; nell’ambito di tale giudizio (…) ISP ha prodotto la “videata” dei rapporti intercorsi tra il Sig. XX e Veneto Banca per provare la propria estraneità alla causa (…) vertendo la controversia su rapporti già estinti prima della cessione (…)”.

L’Ufficio, pertanto, sulla base degli elementi acquisiti e tenuto conto di alcune incongruenze emerse nel corso del procedimento, ha chiesto agli istituti di credito coinvolti di pronunciarsi in modo definitivo in ordine all’esistenza o meno, nei rispettivi archivi (cartacei o informatici), delle informazioni richieste dal reclamante.

Con nota datata 27/04/2021, Veneto Banca ha dichiarato che:

“(…) i rapporti del Sig. XX, - così come l’operatività in derivati - risultano essere stati estinti nel 2010, diversi anni prima della messa in liquidazione della Veneto Banca S.p.a.”;

le “asserite operazioni in derivati (identificate con i numeri 1904/94, 1918/94, 1932/94 e 1946/94) non hanno alcuna nuova operatività bancaria, bensì trattasi di mere evidenze anagrafiche riferite a rapporti estinti nel 2010”; i predetti “identificativi rappresentano meri codici interni che l’allora Veneto Banca S.p.a. – tramite una manovra procedurale informatica massiva – aveva assegnato a tutti i clienti che avevano operato in derivati, senza distinguere le specificità delle singole posizioni”;

“negli archivi di Veneto Banca Spa in LCA non è stata rinvenuta la documentazione richiesta dal Sig. XX, in quanto inesistente per le sopra richiamate ragioni”.

Intesa Sanpaolo, d’altra parte, con nota del 28/04/2021 ha affermato che:

sui propri sistemi “non sono presenti dati relativi alle evidenze concernenti operazioni in derivati oggetto del presente reclamo”; queste sarebbero evidenze contabili, che “non hanno mai trovato corrispondenza in effettive operazioni in derivati del Sig. XX cedute a ISP con l’Insieme Aggregato e che, di conseguenza, tali dati non sono mai stati utilizzati dalla nostra banca per compiere in proprio operazioni bancarie con controparti sconosciute imputandole al Sig. XX”;

tali evidenze contabili sono state “chiuse” da ISP “nell’ambito delle attività di bonifica di dati non pertinenti confluiti sui propri sistemi a seguito della migrazione informatica”;

i dati delle suddette evidenze contabili, oggetto del reclamo, sono stati utilizzati da ISP esclusivamente per difendersi in un contenzioso giudiziale promosso dal Sig. XX “in relazione ad altre e diverse operazioni dal medesimo poste in essere presso la ex Veneto banca e chiuse prima della cessione dell’Insieme Aggregato, per dimostrare al giudice la propria totale estraneità ai fatti di causa”.

All’esito dell’esame della documentazione acquisita, considerato il permanere di elementi contraddittori, l’Ufficio ha delegato il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza ad acquisire, direttamente presso la filiale di Cassola, eventuali ulteriori elementi di valutazione.

Nel corso dell’accertamento ispettivo del 24/03/2022 - di cui è stato redatto apposito verbale - ad integrazione di quanto già dichiarato nella nota del 28/4/2021 sopra citata, ISP ha fornito le seguenti ulteriori specificazioni, riservandosi di inviare successivamente alcuni documenti a supporto (cfr. oltre):

la “videata” allegata al reclamo e oggetto di contestazione è stata estratta dal sistema informatico di Veneto Banca S.c.p.a. (denominato SEC), in data 14/6/2018, da una funzionaria - ex dipendente della predetta banca - in possesso della relativa abilitazione “ai fini di difendere ISP nel giudizio riassunto in suo danno dal reclamante, pendente alla data del 26/6/2017 e promosso in danno di Veneto banca in bonis”; al fine di verificare la veridicità di tale dichiarazione, il Nucleo ha chiesto alla predetta funzionaria di effettuare nuovamente l’accesso al citato SEC da cui è emerso che, alla data del 26 giugno 2017, il reclamante non aveva rapporti attivi con l’allora Veneto Banca;

secondo quanto dichiarato in atti, l’utilizzo dell’espressione “linee tecniche” (in luogo di “linee operative”) sta ad indicare che “trattasi di linee non legate ad una operatività specifica in ragione del fatto che, come rilevabile dagli screenshot prodotti, i rapporti di conto corrente e dossier titoli essenziali per una qualunque operatività in derivati risultano chiusi nel 2010”;

circa i trattamenti effettuati sui dati relativi al reclamante e concernenti la chiusura delle operazioni in derivati, avvenuta il 13/11/2017, la parte ha rappresentato che “a seguito della cessione avvenuta il 26 giugno 2017 e prima della migrazione informatica di dati nel sistema informatico ISP è stata effettuata un’attività di bonifica dei dati per correttamente individuare i rapporti che avrebbero dovuto essere oggetto di cessione. Nel caso specifico la bonifica ha evidenziato la presenza delle tre linee tecniche oggetto di reclamo. Quest’ultime sono state chiuse massivamente in data 13 novembre 2017 e pertanto nessun dato del Sig. XX collegato alle linee tecniche oggetto di reclamo, attivate da Veneto Banca S.c.p.a. è migrato sui sistemi di ISP. Le informazioni relative alle linee tecniche in derivati possono essere prodotte, motivate e fornite solo da Veneto Banca S.c.p.a. in qualità di, allora, Titolare del trattamento”;

in ordine alla richiesta di fornire chiarimenti circa il contenuto della nota inviata all’interessato il 9/10/2017 (“recesso dal contratto quadro”), di specificare il numero di contratto quadro a cui la stessa fa riferimento e di precisare quali trattamenti di Dati personali del reclamante siano stati effettuati in ragione di tale recesso, in sede di ispezione è stato dichiarato: 1) “che non esiste nessun tipo di contratto quadro sottoscritto da ISP con il Sig. XX”; 2) di non essere a conoscenza di eventuali contratti stipulati dallo stesso con la precedente banca, in quanto la posizione dell’interessato, in precedenza detenuta presso Veneto Banca S.c.p.a., non è stata oggetto di cessione a ISP. Di conseguenza la comunicazione inviata il 9/10/2017, per quanto imputabile a ISP quale Titolare del trattamento, “è stata un mero errore operativo (…), non è congruente con la realtà dei fatti e generato plausibilmente dalla mera lettura delle evidenze allora presenti relative alle linee tecniche a sistema e provenienti da Veneto Banca S.c.p.a.;

circa il documento denominato “lettera sulla trasparenza” datata 13.11.2017 e inviata al reclamante, il personale della banca che ha partecipato alle operazioni ha dichiarato di non esserne a conoscenza e di ignorare, altresì, le ragioni per le quali, a seguito della richiesta di accesso ai Dati personali avanzata dal Sig. XX, “il Sig. (…), in delega del dpo della ISP” abbia invitato lo stesso “a rivolgersi alla Direzione della filiale di Cassola per la fornitura dell’assistenza per quanto riguarda le operazioni di negoziazione su derivati in parola in quanto non evidenziano aspetti di competenza della struttura scrivente”.

Con successiva nota datata 4/4/2022, Intesa Sanpaolo, nel sottolineare come l’operazione “banche venete” si sia realizzata in una situazione di “straordinaria complessità ed urgenza” che non ha consentito alla banca di svolgere alcuna attività di due diligence preventivamente alla stipulazione del contratto di cessione, ha trasmesso copia della documentazione richiesta dal Nucleo, tra cui, in particolare, la circolare n. 440/2017 del 29/8/2017, concernente le istruzioni operative per l’evasione, tra l’altro, delle “richieste [anche di accesso ai dati, cfr. Circ. punto 2] presentate dagli ex clienti o azionisti di Veneto Banca S.p.a. aventi ad oggetto documentazione (…) relativa ad attività o rapporti esclusi dalla cessione a Intesa Sanpaolo” in qualità di custode dei documenti medesimi e ferma restando la piena titolarità dei predetti rapporti in capo a Veneto Banca in L.C.A.. 

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni dell’Istituto di credito.

Sulla base dell’insieme degli elementi acquisiti nell’ambito dell’istruttoria, il 25/05/2022 l’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, ha notificato all’Istituto di credito le violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento, invitando la Società a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

Con nota pervenuta il 23/06/2022, ISP ha presentato la propria memoria difensiva con la quale ha chiesto l’archiviazione del procedimento ovvero, in subordine, l’emissione di un provvedimento di ammonimento (con relativo oscuramento della denominazione Intesa Sanpaolo S.p.a. “al fine di evitare pregiudizi reputazionali”) sulla base delle considerazioni sotto riportate:

“ISP è da sempre impegnato a garantire, a favore degli interessati, il più alto rispetto di tutte le previsioni normative attinenti all’esercizio dei diritti così come previsti dagli articoli da 15 a 22 del Regolamento (UE) 2016/679 (“Regolamento”). Tale impegno si sostanzia non soltanto nel cercare di assicurare il rispetto delle precise tempistiche previste dalla normativa in materia per fornire il riscontro nei confronti del soggetto Interessato ma, anche e soprattutto, nel cercare di formulare le risposte nel modo più comprensibile possibile avendo, quindi, cura di adeguare il contenuto del riscontro stesso alle specifiche tematiche trattate ed agli interlocutori, di volta in volta, interfacciati”;

è stato evidenziato che nonostante “nel biennio 2019-2020 (ovvero il biennio successivo all’anno di entrata in vigore del GDPR), Intesa Sanpaolo S.p.A. [abbia] gestito circa 600 richieste [di accesso ai Dati personali ex articolo 15 del Regolamento]” non si ha “evidenza di altri casi per i quali sia stata notificata da questa spettabile Autorità una violazione per evasione della richiesta oltre i 30 giorni previsti dalle disposizioni in materia vigenti; (…) l’istituto ha infatti adottato esplicite soluzioni organizzative in grado di garantire il massimo rispetto delle previsioni normative, con particolare riferimento alle tempistiche per l’evasione delle richieste ricevute. In primo luogo, si consideri che gli specifici “canali” di ingresso delle richieste (prevalentemente ricevute tramite email e/o P.E.C.) messi a disposizione degli interessati, sempre disponibili nella sezione privacy del sito internet della Società e nell’Informativa resa ai sensi dell’art. 13 e 14 del Regolamento, sono quotidianamente presidiati da Risorse dedicate (la cui programmazione delle assenze è effettuata in maniera coordinata ed alternativa) al fine di evitare la possibile “dimenticanza” di un richiesta pervenuta. Grazie a questo presidio costante, una volta identificata una richiesta di esercizio dei diritti, la stessa viene registrata in apposito repository, con conseguente attribuzione di relativo protocollo, dell’Addetto incaricato all’evasione e della data di scadenza (in ragione del momento di ricezione della richiesta presso la Banca). In secondo luogo, quotidianamente, tramite dedicata dashboard di monitoraggio disponibile nel repository citato, viene visualizzato lo stato di lavorazione dei “Protocolli ancora in gestione” (ovvero le richieste in carico da evadere) con ripartizione in tre categorie, contraddistinte da specifici colori per favorire l’immediata percezione dello stato di avanzamento delle lavorazioni. Questo monitoraggio giornaliero, effettuato prevalentemente dal Responsabile della struttura incaricata dell’evasione delle richieste di esercizio dei diritti pervenute, mira a garantire il pieno rispetto delle tempistiche previste dalla normativa vigente, in considerazione del fatto che le posizioni per le quali si approssima la scadenza vengono sollecitate al singolo Addetto incaricato. In ogni caso, settimanalmente, in occasione degli incontri di allineamento effettuati all’interno della struttura citata, viene fornita evidenza dello stato di avanzamento della lavorazione delle pratiche (con specifica estrazione di quelle più vicine alla rispettiva scadenza) allo scopo che nessuno degli Addetti incaricati all’evasione non possa essere informato circa le eventuali pratiche urgenti da definire”;

il caso specifico, tuttavia, “rivestiva un carattere particolare, attesa, in generale, la complessità, la straordinarietà e l’urgenza che ha caratterizzato l’operazione societaria (…) collegata al Piano di intervento per la soluzione della crisi della ex Banca Popolare di Vicenza e della ex Veneto Banca e, più nel concreto, l’ambito dei prodotti derivati che, certamente, sono caratterizzati da una loro intrinseca complessità e, conseguentemente, da una maggiore cultura finanziaria da parte dei clienti che li acquistano. Quanto sopra ha determinato, da un lato, una oggettiva difficoltà nella ricostruzione della vicenda e, dall’altro, l’utilizzo nel riscontro all’interessato di tecnicismi conseguenti alla estrema sofisticazione dell’operazione, circostanze queste che andrebbero, a parere della scrivente, attentamente considerate nella valutazione di conformità del comportamento della Banca al dettato normativo, con particolare riferimento al contenuto dell’articolo 12, comma 1 del Regolamento ed, in generale, allo “spirito” proprio dell’esercizio dei diritti degli interessati”;

“(…). In ogni caso, come più volte ampiamente ribadito, il 26 giugno 2017, attraverso la formalizzazione del Contratto di Cessione ed in attuazione del DL n. 99/2017, sono state trasferite, senza soluzione di continuità, a Intesa Sanpaolo S.p.A. solo alcune “attività, passività e rapporti giuridici” facenti riferimento, nel caso specifico, a Veneto Banca in L.C.A.. Tra questi non rientravano, certamente, rapporti (di alcun genere o natura) riferibili al sig. XX in quanto estinti molto tempo prima della formalizzazione della nota operazione societaria”;

infine, con riferimento alle contestazioni avanzate dal reclamante, “sembra di potersi affermare che tutto quanto rappresentato dall’Interessato, direttamente e/o per tramite del proprio legale, abbia una differente finalità rispetto a quelle proprie della giusta tutela dei diritti riconosciuti agli Interessati dal Regolamento, ovvero quella di sostenere la propria tesi accusatoria nei confronti di Intesa Sanpaolo S.p.A., quale soggetto legittimato passivamente, nell’ambito del giudizio civile, quello sì afferente l’operatività in derivati, avviato nei confronti dell’allora ex Veneto Banca S.p.A. (in bonis) ed impropriamente riassunto nei confronti di Intesa Sanpaolo S.p.A., il 19.12.2017 (ovvero dopo l’operazione societaria di salvataggio delle ex Banche Venete), in considerazione dell’interruzione di tale giudizio a seguito della messa in liquidazione coatta amministrativa di Veneto Banca S.p.A., vertendo tale controversia su rapporti già estinti prima della cessione”.

3. L’esito dell’istruttoria

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, risulta accertato che Intesa Sanpaolo S.p.a., in qualità di titolare, ha effettuato un Trattamento di Dati personali riferiti al reclamante non conforme alla disciplina in materia di protezione dei dati personali, con specifico riferimento al tardivo e inidoneo riscontro all’istanza di accesso avanzata dall’interessato ai sensi dell’art. 15 del Regolamento.

Al riguardo si evidenzia che l’art. 12 del Regolamento dispone che “il Titolare del Trattamento adotta misure appropriate per fornire all’interessato (…) le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al Trattamento in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro (…)” (par. 1) e che “il Titolare del Trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2).

Il paragrafo 3 dell’articolo citato prevede, inoltre, che “il Titolare del Trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare del Trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”.

Il paragrafo 4 del medesimo articolo dispone, poi, che il Titolare del trattamento, qualora non ottemperi all’istanza ricevuta, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Se le richieste dell'interessato “sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il Titolare del Trattamento può […] b) rifiutare di soddisfare la richiesta. Incombe al Titolare del Trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta”. (art. 12, par. 5, del Regolamento).

In base alla disciplina vigente (v. art. 15 Regolamento), inoltre, “L’interessato ha il diritto […] di ottenere l’accesso ai dati personali” nonché informazioni specifiche sul Trattamento effettuato. Il Trattamento dei Dati personali deve essere comunque effettuato nel rispetto dei princìpi generali di cui all’art. 5 del Regolamento secondo cui i Dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)” (art. 5, par. 1, lett. a) del Regolamento).

Dagli elementi acquisiti nel corso della complessa attività istruttoria è emerso che l’Istituto di credito non ha fornito tempestivo riscontro alla richiesta di accesso ai dati personali, formulata dal reclamante in data 23/9/2019, in violazione dell’art. 12, par. 3 e 4 del Regolamento medesimo.

Risulta infatti accertato che ISP ha provveduto con un primo parziale riscontro (il 28/10/2019) oltre il termine di trenta giorni previsto dalla disposizione anzi citata (benché in data antecedente all’invito ad aderire formulato da questa Autorità), senza fornire all’istante alcuna informazione circa i motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale.

Per quanto poi attiene il contenuto del riscontro anzidetto - nonché di quelli successivamente acquisiti dall’Autorità nel corso del procedimento - lo stesso risulta inidoneo, in quanto non risponde ai criteri e ai principi di cui al combinato disposto degli  art. 12, par. 1, 15 e 5, par. 1, lett. a) del Regolamento, in base ai quali l’interessato deve essere messo in condizione di conoscere in modo agevole, qualora lo chieda, il Trattamento che viene effettuato sui suoi dati e le modalità del Trattamento medesimo.

Nel caso di specie infatti, le informazioni fornite all’interessato, oltre a non essere esaustive rispetto a quanto specificamente richiesto (i dati riferiti alle operazioni in derivati aperte il 3 ottobre 2015 e chiuse il 13.11.2017), risultano caratterizzate da una scarsa trasparenza e intellegibilità; ciò in quanto, sia prima della presentazione del reclamo che nei riscontri acquisiti dall’Autorità nel corso del procedimento, sono state rese indicazioni n qualche modo equivoche, talvolta contraddittorie (anche attraverso l’utilizzo di una terminologia tecnica di difficile comprensione) tali da non consentire all’interessato, tenuto conto della particolarità e della complessità della vicenda che ha coinvolto Intesa Sanpaolo e Veneto Banca, di individuare, rispetto alle informazioni richieste, il Titolare del Trattamento (ovvero l’effettivo soggetto cui compete la custodia delle informazioni medesime e, di conseguenza, il riscontro all’esercizio dei diritti) e, quindi, di ottenere in modo corretto e trasparente informazioni sul Trattamento effettuato.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2 del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal Titolare del Trattamento nel corso della complessa e articolata istruttoria - per la quale si è ritenuto necessario disporre anche un accertamento ispettivo in loco al fine di chiarire in modo definitivo i profili di criticità e di incongruenza sopra esposti (cfr. par. 1) -  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino inidonee a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Il tardivo ed inidoneo riscontro dell’istituto di credito all’istanza di accesso presentata dal reclamante risulta infatti illecito, nei termini su esposti, per violazione degli artt. 12 e 5, par. 1, lett. a) del Regolamento.

Pertanto, il reclamo presentato ai sensi dell’art. 77 del Regolamento deve ritenersi fondato e questa Autorità, nell’esercizio dei poteri correttivi che le sono attribuiti ai sensi dell’art. 58, par. 2, del Regolamento, dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

5. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al Trattamento dei Dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

a) con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione, che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati e i princìpi generali di liceità, correttezza e trasparenza nel Trattamento dei dati personali;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del Titolare è stata presa in considerazione la condotta dell’Istituto di credito e il grado di responsabilità dello stesso che non si è conformato alla disciplina in materia di protezione dei dati con riferimento agli artt. 12 e 5, par. 1, lett. a) del Regolamento, fornendo all’interessato informazioni parziali e talvolta incongruenti rispetto a quanto richiesto;

c) con riferimento a precedenti violazioni pertinenti commesse dal Titolare del trattamento, rilevano i provvedimenti n. 270 del 27/5/2021 (doc. web n. 9718112), n. 202 del 26/5/2002 (doc. web n. 9784626), n. 272 del 28/7/2022 (doc. web n. 9812423);

d) con riferimento ad altri fattori aggravanti, rileva inoltre la circostanza che la mancata chiarezza ed esaustività nelle comunicazioni inviate all’interessato - e all’Autorità - ha reso particolarmente lungo e complesso l’accertamento dei fatti;

e) con riferimento ad eventuali fattori attenuanti applicabili alle circostanze del caso concreto, è stata considerata la circostanza che:

la violazione accertata ha leso la sfera giuridica di un singolo cliente;

la stessa ha avuto origine nel contesto della complessa vicenda relativa alla transizione tra l’ex Banca Popolare di Vicenza e della ex Veneto Banca e Intesa Sanpaolo S.p.a., coinvolgendo i predetti istituti.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 40.000 (quarantamila) per la violazione degli artt. 12 e 5, par. 1, lett. a) del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del Trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt.12 e 5, par. 1, lett. a), del Regolamento.

ORDINA

a Intesa Sanpaolo S.p.a., con sede in Torino, Piazza San Carlo n. 156, P.I. 11991500015, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 40.000 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Intesa Sanpaolo S.p.a. di pagare la somma di euro 40.000 (quarantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 ottobre 2022

IL PRESIDENTEStanzione

IL RELATORECerrina Feroni

IL VICE SEGRETARIO GENERALEFilippi


Link: https://www.garanteprivacy.it/web/guest/home/docwe

Testo del 2023-01-28 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Ordinanza ingiunzione nei confronti di Intesa Sanpaolo S.p.a.. 20 ottobre 2022 [9825689] e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza