Provvedimento del 23 marzo 2023 [9888188] - omessa risposta a richiesta di accesso

estimated reading time: 18 min

[doc. web n. 9888188]

Provvedimento del 23 marzo 2023

Registro dei provvedimentin. 90 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 23 maggio 2022, con il quale la Sig.ra XX, quale procuratrice del Sig. XX e rappresentata e difesa nel presente procedimento dall’avv. XX, ha lamentato una presunta violazione del Regolamento, con specifico riferimento al mancato riscontro alla richiesta di accesso ai Dati personali della defunta madre formulata ai sensi degli artt. 15 del Regolamento e 2-terdecies del d.lgs. 196/2003 (Codice in materia di protezione dei dati personali, come aggiornato dal d.lgs. 101/2018) nei confronti di Fideuram - Intesa Sanpaolo Private Banking S.p.a.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Con il reclamo presentato a questa Autorità il 23/05/2022, la Signora XX, quale procuratrice del Sig. XX, ha lamentato di non aver ottenuto riscontro, da parte di Fideuram - Intesa Sanpaolo Private Banking S.p.a. (di seguito “Fideuram S.p.a.” o “la Società”), a una richiesta di accesso ai Dati personali formulata ai sensi degli artt. 15 del Regolamento e 2-terdecies del Codice quale erede della defunta madre.

A seguito dell’invito formulato dall’Ufficio a fornire osservazioni in ordine ai fatti oggetto del reclamo nonché ad aderire spontaneamente alle istanze formulate dall’istante, la Società, con nota del 29/11/2022, nell’esprimere rammarico per il mancato riscontro alla richiesta di accesso ai Dati personali del de cuius dovuto ad “un mero disguido operativo”, ha comunicato i dati richiesti precisando che la documentazione trasmessa contiene “l’estrazione dei Dati personali di natura contabile della defunta signora (…) e trattati dalla Banca relativamente ai rapporti e contratti in essa riportati (…), è limitata a non oltre la data del decesso ed oscurata degli eventuali dati riferibili ad altre persone fisiche, in conformità agli obblighi di protezione dei Dati personali disposti dal d. lgs. n. 196/2003 e dal Regolamento (UE) 2016/679”. Nella medesima nota la banca ha altresì dichiarato che qualora “il signor XX intendesse esercitare, nella sua qualità di erede, l’accesso ad atti e documenti ai sensi dell’articolo 119, comma 4 del d.lgs. 385/1993 (attesa la differenza, appunto, tra il diritto di accesso ai dati personali, esercitabile ai sensi della normativa in materia di protezione dei Dati personali ed il diritto di accesso agli atti/documenti, riconosciuto dalle normative di settore, quale il T.U.B.), lo stesso potrà prendere contatto con la Struttura preposta Quality Center Fideuram (e-mail: informazioni@fideuram.it – PEC: qualitycenterfideuram@pec.fideuram.it) che potrà darvi seguito in base alla normativa applicabile, assicurandovi fin d’ora, la disponibilità da parte della Banca a non applicare nessun costo, seppur previsto da tale normativa”.

Con nota del 23/12/2022, l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare al Titolare del Trattamento l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla presunta violazione dell’art. 12, parr. 3 e 4 del Regolamento.

Con la medesima nota la Società è stata invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

Con nota del 20/01/2023, Fideuram S.p.a. ha fatto pervenire i propri scritti difensivi, che qui integralmente si richiamano, con i quali, nell’evidenziare di “essere da sempre impegnata a garantire, a favore degli interessati, il rispetto di tutte le previsioni normative attinenti all’esercizio dei diritti (…)” - tanto che, “dal 2020, la Banca ha ricevuto 2291 richieste di esercizio dei diritti (…) tutte regolarmente evase ed in merito alle quali non risultano, ad oggi, pervenute lamentele circa l’omesso o incompleto riscontro fornito agli Interessati” - ha fornito alcune precisazioni e chiarimenti.

In particolare ha evidenziato che:

a) “le attività in materia di tutela dei dati personali” sono state affidate “alla Capogruppo Intesa Sanpaolo S.p.A. in esecuzione di appositi contratti di servizio. In particolare, per la gestione delle richieste di esercizio dei diritti degli Interessati, in forza del contratto di servizio in essere, è previsto il coinvolgimento della funzione privacy facente parte della Direzione Centrale Compliance Governance, privacy e Controlli, a sua volta allocata nell’Area di Governo Chief Compliance Officer della Capogruppo Intesa Sanpaolo S.p.A.”;

b) per la gestione delle richieste di esercizio dei diritti avanzate dagli interessati, la Società ha adottato una serie di presidi specifici; si tratta di “procedure interne e istruzioni operative per il Personale in merito al Trattamento dei Dati personali in generale” nonché una “Guida Operativa esercizio dei diritti dell'Interessato che riepiloga, con elevato grado di dettaglio, le attività previste e le modalità da applicare per la corretta gestione delle richieste di esercizio dei diritti (…)” (allegata in copia); quest’ultima, in particolare, contiene – a pag. 2 -  uno specifico riferimento “al fatto che le richieste di cui trattasi (…) potrebbero anche avere come oggetto parole quali “Regolamento UE 2016/679” “Autorità Garante”, “Privacy”, “GDPR” o “trattamento dei dati personali”. Tale istruzione è finalizzata a sottoporre alla funzione specialistica preposta ogni e qualsiasi comunicazione pervenuta alla Banca avente anche solo un richiamo alla normativa in materia di tutela dei Dati personali ed evitare, in tal modo, che una gestione parziale della comunicazione, ovvero una errata lettura della stessa, possa comportare il mancato riscontro, anche se involontario, all’esercizio di un diritto da parte degli Interessati”;

c) con riferimento al caso specifico “è stato appurato che l’omessa risposta alla richiesta del 14 ottobre 2021 è stata causata da un involontario disguido operativo di una struttura della Banca. Infatti, l’originaria richiesta, inviata all’indirizzo P.E.C. reclami@pec.fideuram.it e correttamente ricevuta dalla Banca, è stata inoltrata, per il relativo seguito, dalla struttura “Legale - Reclami” (competente al presidio dei reclami e che monitora anche il citato indirizzo P.E.C.) alla struttura “Business Operational Support - Anagrafe, Successioni e Prodotti” cui compete, tra l’altro, gestire le richieste collegate a pratiche successorie”; infatti, “in merito al decesso della sig.ra (…), presso la Banca era già aperta una pratica di successione, attivata dalla sorella dell’Interessato. Di conseguenza, in ragione della pratica attiva, della motivazione riportata nella richiesta formulata dall’avv. XX “…al fine di ricostruire documentalmente gli elementi positivi dei beni caduti in successione, di appurare la consistenza patrimoniale del defunto e di poter conseguentemente far valere i propri diritti in giudizio, anche ove occorresse esperendo l’azione di petizione ereditaria...” e, non ultimo, della dichiarata qualità di erede del soggetto (…) per conto del quale la richiesta era formulata, è stata individuata come struttura competente per l’evasione quella sopra indicata, non interessando, di conseguenza, la funzione privacy di Intesa Sanpaolo S.p.A.. La struttura “Business Operational Support - Anagrafe, Successioni e Prodotti”, presa in carico la richiesta, ha rilevato la mancanza, tra la documentazione allegata, della Dichiarazione sostitutiva di atto di notorietà, necessaria per la corretta identificazione del richiedente quale erede, non provvedendo tuttavia a riscontrare in tal senso l’avv. XX e procedendo alla chiusura dell’evidenza”; d’altra parte, “il contenuto della richiesta non presenta[va] dei precisi elementi di chiara ed immediata identificazione come accesso ai Dati personali della defunta e [poteva] essere considerata, in realtà, rivolta all’ottenimento di specifiche evidenze documentali, normate da differenti disposizioni che giustificano il coinvolgimento della struttura già indicata”. Infatti, per quanto la richiesta formulata dall’interessato contenesse un riferimento alla normativa in materia di protezione dei Dati personali (seppure risultassero citati articoli del Codice ormai formalmente abrogati) e andasse intesa come formulata ex art. 15 del Regolamento ed ex art. 2-terdecies del Codice, “la stessa non specifica[va] “… espressamente che essa è formulata ai sensi dell'art. 15 del Regolamento UE 2016/679 (…), giustificando anche una differente lettura della stessa”; non a caso, aggiunge la società, “a fronte del riscontro fornito il 29 novembre 2022 (…) redatto secondo le previsioni della normativa in materia di protezione dei dati personali, l’avv. XX ha fatto seguito, in data 7 dicembre 2022, con una richiesta ex art. 119 T.U.B. per ottenere, correttamente, informazioni e documentazione relative ad alcune operazioni eseguite sui rapporti riferibili alla defunta (…). A conferma della massima collaborazione offerta da Fideuram S.p.A. nella vicenda in analisi, la richiesta sopra indicata è stata evasa in data 9 gennaio 2023, senza applicazione dei costi normativamente previsti e ben in anticipo rispetto ai termini temporali previsti per il riscontro dal T.U.B”;

d) inoltre, come anzi detto, la richiesta in questione “(…) non è stata posta facendo riferimento alla competente funzione privacy tramite gli appositi indirizzi espressamente resi disponibili ma, al contrario, è stata inviata ad una casella P.E.C. formalmente (e chiaramente descritta come tale) destinata ad una finalità differente (invio lamentele o reclami). Un corretto invio avrebbe certamente facilitato, nell’interesse del richiedente stesso, il pronto esame della richiesta, il suo corretto inquadramento e la redazione del relativo riscontro secondo le previsioni normative in essere”;

e) a seguito dell’accaduto, la Società ha posto in essere un’attività di sensibilizzazione delle diverse strutture della Banca che possono risultare destinatarie di richieste di esercizio dei diritti, anche prevedendo “un apposito presidio al fine di evitare la possibile mancata presa in carico di una comunicazione pervenuta indipendentemente dalla diretta competenza nella gestione delle stessa”; inoltre, “quale ulteriore azione di mitigazione è stata prevista la pubblicazione, su base bimestrale, nelle “News” della intranet accessibile dal Personale di Fideuram S.p.A., di un messaggio volto a ricordare gli elementi essenziali per la gestione delle richieste di esercizio dei diritti da parte degli Interessati (normativa esterna e interna di riferimento, tempi, indirizzi e-mail della struttura specialistica incaricata dell’analisi e relativa gestione della richiesta)”;

f) la Banca è, altresì, “in procinto di avviare:

- l’aggiornamento dei processi e delle procedure tenendo adeguatamente conto anche del numero di richieste di dati e documenti (i) ai sensi del Regolamento, (ii) ai sensi dell’art. 119 T.U.B., (iii) ai sensi di diverse - e a volte antitetiche - normative esterne;

- una specifica attività di formazione indirizzata ai colleghi che gestiscono operativamente le richieste di dati e di documenti pervenute alla Banca;

- l’aggiornamento delle procedure di gestione delle varie caselle di posta elettronica che sono deputate alla ricezione di tali richieste;

- l’esecuzione di controlli a campione sul rispetto dei termini di evasione delle richieste”.

2. La normativa in materia di protezione dei dati personali.

L’art. 12 del Regolamento dispone che “il Titolare del Trattamento adotta misure appropriate per fornire all’interessato tutte […] le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento” (par. 1) e che “il Titolare del Trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2).

Il paragrafo 3 del medesimo articolo precisa che “il Titolare del Trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due 6 mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare del Trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.

In base al paragrafo 4 del medesimo articolo il Titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

L’art. 15, par. 1, del Regolamento dispone altresì che “l’interessato ha il diritto di ottenere dal Titolare del Trattamento la conferma che sia o meno in corso un Trattamento di Dati personali che lo riguardano e in tal caso di ottenere l’accesso ai Dati personali e alle […] informazioni [indicate nello stesso articolo 15];

L’art. 2-terdecies, comma 1, del Codice, infine, prevede che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai Dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

3. L’esito dell’istruttoria.

All’esito della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che, nel caso in esame, Fideuram S.p.a. non ha fornito riscontro alla richiesta di accesso ai Dati personali formulata dal reclamante entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”), né ha provveduto ad informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4 del Regolamento).

Solo a seguito della presentazione del reclamo e dell’apertura dell’istruttoria, infatti, la Società ha fornito all’interessato le informazioni richieste, illustrando al contempo, in modo dettagliato, le circostanze che hanno determinato il suddetto ritardo.

In particolare, con riferimento ai motivi, individuati dalla Società come cause della propria condotta (generico riferimento alla normativa in materia di protezione dei Dati personali nell’istanza presentata dall’interessato e mancato utilizzo dell’indirizzo pec appositamente dedicato alle istanze di esercizio dei diritti) si evidenzia che, come recentemente chiarito anche dalle Guidelines 01/2022 on data subject rights - Right of access, adottate dall’EDPB il 18 gennaio 2022 (sottoposte a consultazione pubblica conclusa l’11 marzo 2022), non grava sugli interessati l’onere di specificare la base giuridica della richiesta, tanto che - qualora il Titolare del Trattamento abbia dei dubbi in merito al diritto che l’interessato intende esercitare - deve chiedere all’interessato stesso di specificarne l’oggetto (v. Guidelines 01/2022 cit., punto 47 “Data subjects are not required to specify the legal basis in their request” trad. non ufficiale “Gli interessati non sono tenuti a specificare la base giuridica nella loro richiesta”, e punto 48 “If the controller has doubts as to which right the data subject wishes to exercise, it is recommended to ask the data subject making the request to explain the subject matter of the request” trad. non ufficiale “Se il Titolare del Trattamento nutre dubbi sul diritto che l'interessato intende esercitare, si raccomanda di chiedere all'interessato che presenta la richiesta di spiegarne l'oggetto”).

Inoltre, con riferimento all’avvenuto invio dell’istanza di accesso a una casella pec diversa da quella propriamente dedicata all’esercizio dei diritti in materia di protezione dei dati personali, si rammenta che, le medesime Guidelines 01/2022 anzi citate hanno chiarito che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso (v. Guidelines 01/2022 cit., punto 52 “the GDPR does not impose any requirements on data subjects regarding the form of the request for access to the personal data. Therefore, there are in principle no requirements under the GDPR that the data subjectsmust observe when choosing a communication channel through which they enter into contact with the controller” trad. non ufficiale “il Regolamento generale sulla protezione dei dati non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Pertanto, in linea di principio, non vi sono requisiti che l'interessato sia tenuto a rispettare al momento di scegliere un canale di comunicazione attraverso il quale entrare in contatto con il Titolare del Trattamento dei dati”).

Il reclamo in esame, pertanto, risulta fondato, in quanto si ravvisa la violazione del sopra citato art. 12, par. 3 e 4 del Regolamento, per l’omesso tempestivo riscontro all’istanza di accesso formulata dall’interessato ai sensi dell’art. 2-terdecies del Codice; d’altro lato, relativamente alla richiesta di “ingiungere al Titolare del Trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento”, considerato che la Società, non appena ricevuta la comunicazione dell’Autorità e accertato il disguido, ha provveduto a fornire al reclamante le informazioni richieste (manifestando peraltro la propria disponibilità a trasmettere la documentazione bancaria eventualmente necessaria ex art. 119, comma 4, del d lgs. n. 385/1993 - T.U.B., senza l’applicazione dei costi normativamente previsti, come poi avvenuto in data 9 gennaio 2023), non sussiste il presupposto per l’adozione di un provvedimento ingiuntivo da parte dell’Autorità medesima (art. 58, par. 2, lett. c) e d)).

Si prende inoltre atto che la Società ha provveduto alla messa a punto delle misure organizzative per la gestione delle istanze relative all’esercizio dei diritti ex artt. 15-22 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal Titolare del Trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

L’omesso riscontro all’istanza di accesso presentata dal reclamante ai sensi dell’art. 2- terdecies del Codice, risulta infatti illecito, nei termini su esposti, in relazione all’art. 12 del Regolamento.

Purtuttavia, considerati tutti gli elementi acquisiti nell’ambito dell’istruttoria, si ritiene che la violazione accertata nei termini di cui in motivazione possa essere considerata “minore”, tenuto conto:

a) che la stessa è stata determinata dal convergere di due circostanze di fatto rispetto alle quali la banca ha fornito apprezzabili elementi di considerazione: l’istanza di accesso non è stata indirizzata alla casella pec della funzione privacy - benché quest’ultima fosse facilmente reperibile nell’informativa pubblicata sul sito della banca all’interno della sezione privacy – ed è stata erroneamente gestita dalla struttura che si occupa di pratiche successorie in quanto era all’epoca in trattazione, presso la banca, una pratica di successione riferita alla medesima de cuius;

b) delle misure adottate dal Titolare per attenuare le conseguenze negative derivanti dall’illecito, tra cui la consegna a titolo gratuito della documentazione bancaria ex art. 119 del TUB;

c) della collaborazione con l’Autorità nel corso del procedimento;

d) dell’esiguo numero di interessati coinvolti (uno);

e) delle misure organizzative apprestate al fine di evitare la possibile mancata presa in carico di una istanza di esercizio dei diritti pervenuta a una struttura diversa da quella avente diretta competenza;

f) dell’assenza di precedenti violazioni per la medesima fattispecie a carico di Fideuram - Intesa Sanpaolo Private Banking S.p.a. (v. art. 83, par. 2, e cons. 148 del Regolamento).

Si ritiene, quindi, che, relativamente al caso in esame, occorra ammonire il Titolare del trattamento, ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per la violazione delle disposizioni in materia di protezione dei dati personali, con specifico riferimento alla necessità di fornire effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità previste dall’art. 12 del Regolamento, agevolandone l’esercizio, se del caso, anche attraverso un costante monitoraggio delle misure già adottate dalla società.

Si rileva, inoltre, che ricorrono i presupposti per l’annotazione della violazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento (art. 17 del Regolamento del Garante n. 1/2019).

Si informa, infine, che come da disposizioni normative e regolamentari dell’Ufficio (art. 154-bis, comma 3, del Codice; art. 37 del Regolamento del Garante n. 1/2019), copia del presente provvedimento verrà pubblicata sul sito web del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, rileva l’illiceità del Trattamento effettuato da Fideuram - Intesa Sanpaolo Private Banking S.p.a., con sede legale in Piazza San Carlo n. 126 – Torino – P.I. 11991500015, descritto nei termini di cui in motivazione, per la violazione dell’art. 12 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento ammonisce Fideuram - Intesa Sanpaolo Private Banking S.p.a. per aver omesso di fornire tempestivo riscontro all’istanza di accesso avanzata dal reclamante ai Dati personali della defunta madre;

c) in conformità all’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione della violazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 23 marzo 2023

IL PRESIDENTEStanzione

IL RELATORECerrina Feroni

IL SEGRETARIO GENERALEMattei