g-docweb-display Portlet

Provvedimento del 23 marzo 2023 [9885177]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9885177]

Provvedimento del 23 marzo 2023

Registro dei provvedimenti
n. 92 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dalla sig.ra XX, per il tramite del suo avvocato, a questa Autorità nei confronti della Banca Rewire EU B.V.;

CONSIDERATA la procedura IMI di cooperazione ai sensi dell’art. 56 (n. 350195), aperta da questa Autorità relativamente al trattamento transfrontaliero di dati personali e comunicata alle altre Autorità di controllo europee in data 27 dicembre 2021;

CONSIDERATO che l’autorità olandese “Autoriteit Persoonsgegevens” ha dichiarato di essere autorità capofila nella procedura in esame in quanto il titolare del trattamento ha lo stabilimento principale nei Paesi Bassi;

VISTO il progetto di decisione (“Draft Decision”), nonché il progetto di decisione rivisto (“Revised Draft Decision”) trasmessi dall’autorità olandese e condivisi con le altre Autorità di controllo interessate (i.e., Francia, Land tedesco del Rhineland-Palatinate, Spagna) nel rispetto dei principi di cooperazione fissati dall’art. 60 del Regolamento;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria

In data 19 luglio 2021, la sig.ra XX, per il tramite del suo avvocato, ha proposto ai sensi dell’art. 77 del Regolamento un reclamo a questa Autorità con cui lamentava di essersi vista recapitare al proprio indirizzo fisico, il 19 febbraio 2021, due carte di credito Mastercard a suo nome, di cui una emessa ed inviata dalla Banca Rewire EU B.V. (di seguito, “Rewire”), pur non avendola mai richiesta, né avendo mai intrattenuto rapporti contrattuali con la suddetta banca. Inoltre, ha rappresentato che, alla richiesta di accesso ai dati ex art. 15 del Regolamento inviata via PEC in data 21 aprile 2021 e al successivo sollecito, la Rewire non avrebbe mai fornito riscontro.

Avendo Rewire, titolare del trattamento in questione, sede principale ad Amsterdam, nei Paesi Bassi, questa Autorità ha attivato il meccanismo di cooperazione con le altre autorità di controllo dello Spazio Economico Europeo come previsto dal Regolamento (art. 60 e ss.). Il Garante ha, dunque, trasmesso, il 27 dicembre 2021, il suddetto reclamo all’autorità olandese (“Autoriteit Persoongegevens”), che si è dichiarata autorità capofila ai sensi dell’art. 56 RGPD, in quanto tale, competente ad avviare l’istruttoria e verificare la legittimità del trattamento dei dati.

Il 12 settembre 2022 il titolare del trattamento ha fornito riscontro alla richiesta di informazioni inviata dall’autorità di controllo olandese in data 1° settembre 2022; tale riscontro è stato trasmesso a questa Autorità il 19 settembre 2022 unitamente alle valutazioni dell’autorità olandese.

In particolare, nel riscontro di Rewire è stato chiarito che:

a) il 30.1.2021 è stata ricevuta una richiesta di apertura di account Rewire a nome della reclamante; a distanza di una settimana (6.2.2021), all’esito della procedura di accertamento d’identità per finalità antifrode, lo stesso è stato segnalato come account fraudolento, legato a un possibile furto di identità;

b) di conseguenza l’account aperto a nome della reclamante è stato immediatamente bloccato e rimane tuttora bloccato;

c) durante la settimana in cui il conto risultava aperto è stata inviata una carta di credito intestata alla reclamante all’indirizzo indicato nell’account. La carta non è mai stata attivata e nessuna transazione ha avuto luogo;

d) infine, l’autorità di controllo olandese ha evidenziato come la stessa non possa fornire alcun contributo nel perseguire il responsabile dell’atto fraudolento, non essendo competente a riguardo.

Riguardo alla richiesta di accesso ai dati, formulata dall’interessata ex art. 15 del Regolamento, dall’indagine interna effettuata da Rewire nei propri sistemi, non è risultata alcuna istanza da parte della reclamante, né alcuna comunicazione tra questa e Rewire; al riguardo, l’autorità di controllo olandese ha chiesto a Rewire di effettuare la relativa verifica sulla base del nome della reclamante e del suo avvocato. L’autorità olandese ritiene che l’istanza della reclamante non sarebbe stata formulata come una vera e propria istanza di accesso, ai sensi dell’art. 15 del Regolamento; l’istanza a Rewire, datata 21 Aprile 2021, conteneva infatti una generica richiesta di comunicare i dettagli del proprietario e della persona responsabile del trattamento dei dati, con riserva di esperire azioni legali riguardo al trattamento illecito dei dati e diffidando la Società dall’utilizzo dei medesimi dati (“to communicate the details of the owner and the person responsible for the processing of personal data, reserving the right to take legal action regarding the unlawful processing of the same, warning you as of now not to use and/or disseminate the data of my client”) per cui non sarebbe configurabile neppure una violazione dell’art. 15 RGPD.

Sulla base dell’istruttoria condotta, considerate le circostanze del caso, l’autorità olandese è giunta pertanto alla conclusione che il titolare del trattamento ha fornito un adeguato riscontro alla richiesta di informazioni e che non risulta provata una violazione dell’art. 6, par.1 del Regolamento. Ad ogni modo, la stessa autorità olandese si è resa disponibile ad assistere l’interessata nell’eventuale richiesta di cancellazione dei suoi dati rivolta alla Rewire.

L’autorità olandese ha, quindi, condiviso con questa e con le altre autorità interessate la propria intenzione di chiudere il caso, non avendo ravvisato violazioni del Regolamento che giustifichino la prosecuzione del procedimento, archiviando il relativo reclamo.

Questa Autorità ha ritenuto di dover far proprie le conclusioni dell’autorità olandese, avendo peraltro deciso in maniera analoga sul reclamo inviato contestualmente, dalla stessa interessata e relativo ad altro titolare (istituto bancario con sede in Italia): infatti, come sopra evidenziato, non è stata ravvisata una violazione di dati personali da parte del titolare, quanto, piuttosto, la sussistenza di una truffa, che assorbe eventuali profili meramente legati al trattamento di dati personali e per la quale la stessa interessata ha fatto sapere di essersi già rivolta all’autorità giudiziaria (“in data 10.05.2021 ha provveduto a depositare denuncia querela contro ignoti”).

Con nota del 10 novembre 2022 sono stati comunicati all’interessata sia il riscontro del titolare Rewire che le prime valutazioni effettuate dall’autorità olandese e condivise da questa Autorità.

L’interessata, per il tramite del suo avvocato, ha confermato che un procedimento è in corso presso l’autorità giudiziaria italiana e, non contestando le valutazioni dell’autorità di controllo olandese, ha chiesto che questa si assicuri che Rewire conservi i dati personali della stessa per la sola durata delle indagini, al termine delle quali i dati dovranno essere cancellati; più precisamente: “considerate le attuali indagini in corso presso la Procura, in nome e per conto della signora XX, Vi invito a comunicare all’Autorità olandese che la mia cliente autorizza temporaneamente la REWIRE BANK a conservare i suoi dati, ma solo affinché gli stessi possano essere messi a disposizione della Procura della Repubblica italiana che si sta occupando delle indagini in corso. I dati della mia cliente, pertanto, non potranno essere utilizzati dalla Rewire Bank e/o trasmessi a terzi in nessun caso ma potranno essere trasmessi solo alle Autorità Giudiziarie italiane competenti per le indagini in corso. Al termine delle indagini preliminari la REWIRE BANK dovrà provvedere alla cancellazione dei dati della signora XX.”

Dopo aver ricevuto il riscontro dell’interessata trasmesso da questa autorità secondo la procedura di cooperazione, l’autorità di controllo olandese ha quindi predisposto un progetto di decisione (Draft Decision), che ha condiviso con le altre autorità di controllo interessate, in cui si dispone, in particolare che:

- a seguito dell'indagine sul reclamo contro Rewire l’autorità di controllo olandese non ha identificato una violazione delle norme di cui agli artt. 6, par. 1, e 15 del Regolamento; non essendo necessaria un’ulteriore prosecuzione del procedimento, ai sensi dell’art. 60, par.8, l’autorità rigetta il reclamo;

- inoltre, l’autorità di controllo olandese, come richiesto dall’interessata, ha assicurato che avrebbe chiesto alla Rewire di conservare i dati dell’interessata ai soli fini dell'indagine in corso da parte della Procura della Repubblica italiana, relativamente alla fattispecie di truffa, e di cancellarli una volta chiusa l'indagine.

Tale progetto - rivisto a seguito di un mero commento di questa Autorità (Revised Draft Decision) al fine di chiarire la richiesta pervenuta da ultimo da parte dell’interessata - è divenuto vincolante per tutte le autorità interessate, incluso il Garante, ai sensi dell’art. 60, para. 6 del Regolamento.

2. Valutazioni dell’Autorità e decisione

Alla luce dell’attività istruttoria e della valutazione trasmessa dall’autorità olandese, si ritiene di condividere il progetto di decisione.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 60, para. 8 del Regolamento, dell’art.143, comma 3, del Codice, nonché degli artt. 11, 14, comma 1 e 18, comma 5 del “regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali”, in qualità di autorità cui è stato proposto il reclamo e quindi competente ad adottare la decisione,

DICHIARA

il reclamo infondato per le ragioni summenzionate e ne dispone l’archiviazione.

Conformemente all’art. 60, par. 8, del Regolamento, il presente provvedimento è notificato alla reclamante, informandone il titolare del trattamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 23 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei