g-docweb-display Portlet

Provvedimento del 13 aprile 2023 [9888438]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 26 maggio 2023

 

[doc. web n. 9888438]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 128 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTO il reclamo del 14 gennaio 2021 presentato ai sensi dell’art. 77 del Regolamento dal Sig. XX, rappresentato ai fini del presente procedimento dall’avv. Elena Olivetti, nei confronti di Banco BPM S.p.A.

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo.

Con reclamo presentato in data 14 gennaio 2021, il Sig. XX, ha rappresentato di essere titolare, da diversi anni, di un rapporto di conto corrente bancario presso Banco BPM (di seguito, Banca) sul quale, nel mese di giugno 2020, su sua richiesta, gli era stata rilasciata una carta di credito.

Poiché a distanza di un mese veniva contattato dalla Banca che lo invitava a restituire la suddetta carta, essendo “venuta in possesso di dati e informazioni sulla sua persona che avrebbero avuto come conseguenza l’interruzione dei rapporti in essere”, il reclamante, al fine di conoscere tali informazioni, presentava, in data 24 luglio 2020, una richiesta volta a conoscere la motivazione sottostante alla richiesta di restituzione della carta di credito e ad ottenere, ai sensi della disciplina in materia di protezione dei dati personali, i dati e le informazioni che lo riguardavano.

La Banca, con comunicazione dell’11 agosto 2020, ribadiva l’invito a restituire la carta di credito, precisando che tale richiesta era dovuta a “insindacabili valutazioni di natura commerciale esperite successivamente la concessione di siffatto servizio”, ma non forniva riscontro in merito alla richiesta di accesso ai dati.

Nel corso di colloqui con il personale della Banca, l’interessato veniva a conoscenza che si trattava di una “problematica ad altissimo rischio […] emersa a seguito di un fatto che era successo qualche anno fa” e di cui l’Ufficio Controlli della Banca era venuto a conoscenza da notizie di stampa. Si trattava di informazioni riferite al cliente “rilevanti ai fini dell’affidamento”, rispetto alle quali la Banca non era a conoscenza dell’eventuale esito legale delle stesse. In particolare, nel corso di un incontro alcuni funzionari confermavano che le informazioni in loro possesso non riguardavano l’affidabilità creditizia e la solvibilità del cliente, “ma che si trattava di altri dati, di “dati sensibili” che non vengono comunicati al cliente […], di informazioni acquisite dalla banca che la stessa non è tenuta a comunicare”.

In ragione di tali affermazioni, il reclamante formulava, in data 22 settembre 2020, una nuova richiesta di accesso ai dati, ai sensi dell’art. 15 del Regolamento e, successivamente, dato che nel frattempo gli era stato comunicato anche il recesso dal contratto di conto corrente, “proponeva un reclamo formale alla Banca contestando, tra l’altro, anche la mancata risposta alla richiesta di accesso ai dati” (v. all.15, Reclamo alla Banca dell’8 novembre 2020).

La Banca evadeva la richiesta comunicando i dati anagrafici del cliente, quelli relativi alla sua attività professionale e ai rapporti in essere con la Banca, ma “non […] i dati particolari che i […] funzionari […], avevano dichiarato essere in possesso della Banca e in base ai quali […] aveva assunto la decisione di revocare la carta di credito”.

2. L’attività istruttoria e l’avvio del procedimento.

In riscontro all’invito ad aderire formulato da questo Ufficio (prot. 37776 del 16 luglio 2021), la Banca, con nota del 2 agosto 2021 indirizzata all’interessato e, per conoscenza, anche a questa Autorità, nel ricostruire la vicenda, ha rappresentato:

- di essere venuta a conoscenza, in data 3 luglio 2020, nell’ambito di verifiche effettuate dalla funzione Antiriciclaggio della Banca, di notizie di stampa “(rinvenute sul web)” riferite all’interessato “relative ad un’indagine condotta dalla Guardia di Finanza a carico del Cliente e conclusasi con la denuncia per falso, truffa aggravata ai danni di un ente pubblico, false attestazioni e certificazioni; come da policy interna in materia di antiriciclaggio, la Filiale e l’Area Affari Bergamo hanno quindi svolto le opportune riflessioni per concordare se mantenere i rapporti in essere con il cliente in questione”;

- che all’esito di valutazioni interne, la Banca contattava “per le vie brevi” il cliente chiedendogli la restituzione della carta di credito consegnatagli poco tempo prima, stante la presenza di “notizie negative” a suo carico, non collegate a valutazioni attinenti all’affidabilità creditizia;

- di ritenere di avere evaso l’istanza di esercizio dei diritti avanzata dall’interessato avendogli fornito i dati personali oggetto di trattamento da parte della Banca.

Al fine di una compiuta valutazione del caso, l’Ufficio ha ritenuto di inviare alla Banca una richiesta di chiarimenti volta a conoscere l’origine delle informazioni relative al reclamante, nonché le modalità di raccolta e trattamento delle stesse (prot. n. 49298 del 1° ottobre 2021).

La Banca, con nota del 19 ottobre 2020, ha rappresentato:

- di avvalersi, “tra gli altri, dei servizi delle banche dati gestite dal provider SGR COMPLIANCE SA e, nello specifico, della banca dati SGR DAILY CONTROL. Tale banca dati è utilizzata da numerosi soggetti obbligati ex D.Lgs. 231/07 per adempiere agli obblighi normativi che impongono il monitoraggio continuo della clientela per finalità connesse alla prevenzione dei crimini finanziari legati al riciclaggio di denaro e al terrorismo. Il database attinge dati e notizie da fonti pubbliche ritenute affidabili. Un eventuale matching positivo va a incidere sul profilo di rischio antiriciclaggio del Cliente ex D.Lgs. 231/07, necessario per attivare e mantenere i rafforzamenti di presidio imposti, in primis, dallo stesso D.Lgs. 231/07”;

- che, nel caso di specie, dall’interrogazione della banca dati è emersa una notizia, pubblicata sull’Eco di Bergamo, che riferiva di un’indagine effettuata dalla Guardia di finanza a carico del reclamante che si era conclusa con la denuncia per falso, truffa aggravata ai danni di un ente pubblico, false attestazioni e certificazioni. “Tutti reati potenzialmente presupposto del delitto di riciclaggio ed autoriciclaggio e, in quanto tali, intercettati dalla suddetta banca dati”;

- che “dalle ricerche in internet effettuate dalla Banca in sede di istruttoria del presente riscontro è emerso che le pubblicazioni di cronaca relative alla notizia di reato risultano oggi epurate da ogni riferimento al nominativo del Cliente che, invece, è reperibile nella sentenza di condanna confermata dalla Cassazione”.

Con nota del 16 febbraio 2022 (prot. n. 10722), l’Ufficio, sulla base degli elementi acquisiti, ha notificato alla Banca, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).

Con la citata nota, l’Ufficio ha rilevato che la Banca ha fornito un riscontro incompleto alle richieste avanzate dall’interessato ai sensi dell’art. 15 del Regolamento, non informandolo adeguatamente dei motivi per i quali non intendeva ottemperare alla richiesta di accesso ai dati in funzione dei quali la stessa aveva proceduto a revocare la carta di credito richiesta dal cliente.

Con nota del 18 marzo 2022 (prot. n. 15982), la Banca ha presentato la propria memoria difensiva con contestuale richiesta di audizione, con la quale, dopo aver ripercorso le fasi della vicenda, ha evidenziato:

- di avere sempre agito nel rispetto del principio di trasparenza rispetto al trattamento dei dati degli interessati predisponendo idonee informative, secondo quanto previsto dall’art. 13 del Regolamento, con le quali i clienti vengono informati anche sulla possibilità che la Banca effettui specifiche verifiche per “assolvere disposizioni di legge in materia civilistica, penale, fiscale, di normativa comunitaria e di vigilanza, nonché di norme, codici, procedure approvati da Autorità e altre Istituzioni competenti ([…] accertamenti fiscali e tributari, antiriciclaggio)”. Le informative sono messe a disposizione dei clienti sia al momento dell’instaurazione del rapporto contrattuale, sia attraverso la pubblicazione sul sito internet. Nel caso di specie, la Banca ha fornito nuovamente l’informativa all’interessato, in occasione del riscontro all’istanza di accesso dallo stesso presentata;

- di avere sempre fornito riscontro al cliente, fin dalla prima istanza presentata il 24 luglio 2020, con la quale chiedeva la “motivazione sottostante alla richiesta di restituzione della carta di credito e, in ogni caso, i dati e le informazioni […in possesso della Banca] sulla base delle quali […] sono state date le comunicazioni”; in tale occasione fu chiarito all’interessato che ciò era dovuto ad “insindacabili valutazioni di natura commerciale esperite successivamente la concessione di siffatto servizio” che esulavano dal trattamento di evidenze negative attinenti al merito creditizio del cliente. “In ogni caso, […le] argomentazioni non potevano essere di maggior dettaglio alla luce dei limiti imposti dalla normativa antiriciclaggio”;

- che la normativa antiriciclaggio si basa su principi generali la cui applicazione è rimessa alla valutazione in concreto da parte dei soggetti obbligati. In particolare l’art. 2, par. 2, del d. lgs. 231/2007 prevede che le misure adottate per conformarsi con la normativa antiriciclaggio siano “proporzionate al rischio in relazione al tipo di cliente, al rapporto continuativo, alla prestazione professionale, al prodotto o alla transazione e la loro applicazione tiene conto della peculiarità dell'attività, delle dimensioni e della complessità proprie dei soggetti obbligati che adempiono agli obblighi previsti a loro carico […] tenendo conto dei dati e delle informazioni acquisiti o posseduti nell'esercizio della propria attività istituzionale o professionale”. La Banca ha, pertanto, deciso di non procedere alla comunicazione della notizia pubblicata sulla stampa, in linea con la ratio che è sottesa alla normativa antiriciclaggio, avvalorata anche in ragione delle limitate informazioni rispetto ai reati contestati all’interessato. Non poteva infatti essere escluso che la condotta contestata al reclamante si inserisse in una più complessa attività criminosa e che dalla comunicazione all’interessato “potesse derivare un pregiudizio effettivo e concreto agli interessi tutelati in base alle disposizioni vigenti in materia di riciclaggio”;

- la Banca è venuta a conoscenza della sentenza di condanna adottata dalla Corte di Cassazione nei confronti dell’interessato solo nel mese di ottobre 2021, pertanto, “non conoscendo all’epoca della richiesta di accesso agli atti […] il reale stato delle circostanze oggetto del procedimento penale nei […suoi] confronti, Banco BPM ben poteva ritenere legittimo – nel rispetto degli obblighi a cui Banco BPM è soggetto ai sensi della normativa antiriciclaggio – non comunicare la notizia sulle indagini in capo […all’interessato] di cui Banco BPM era venuto a conoscenza, seppur notizia pubblica, in quanto utilizzata ai fini antiriciclaggio”;

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data 7 giugno 2022 (verbale prot. n. 33119 del 20 giugno 2022), la Banca, nel riportarsi a quanto già dichiarato nelle memorie difensive del 18 marzo 2022, ha voluto, in particolare, evidenziare:

- di avere sempre agito in conformità al principio di trasparenza ai sensi dell’art. 5, par. 1, lett. a) del Regolamento e improntato il proprio comportamento al rispetto degli obblighi previsti dalla normativa antiriciclaggio, nonché di avere assunto le conseguenti determinazioni nell’ambito della discrezionalità riconosciuta alle banche, in conformità a quanto stabilito dall’art. 39 del d. lgs. n. 231/2007;

- di avere deciso di approfondire ulteriormente i corsi di formazione relativi agli obblighi dettati dalla normativa sul trattamento dei dati personali a cui il proprio personale è soggetto, i criteri e le modalità operative da seguire nella gestione delle richieste di esercizio dei diritti degli interessati;

- che avrebbe sensibilizzato i fornitori delle banche dati affinché fosse garantito l’aggiornamento più puntuale delle informazioni in esse contenute “al fine di raggiungere un più elevato grado di ragionevole certezza che i dati a disposizione sugli interessati siano aggiornati”.

3. Il quadro normativo in tema di limitazioni ai diritti dell’interessato.

La Carta fondamentale dei diritti dell’UE agli art. 7 e 8, tutela, rispettivamente, il rispetto della vita privata e familiare e la protezione dei dati di carattere personale.

In particolare, l’art. 8 precisa che “Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”.

In relazione alla possibilità di limitare tali diritti, la stessa carta, all’art. 52, fissa i criteri che devono essere rispettati nell’applicare tali limitazioni, precisando che “Eventuali limitazioni all'esercizio dei diritti e delle libertà riconosciuti dalla […] Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui”.

Il rispetto del principio di proporzionalità presente nell’articolo in esame, quale criterio essenziale, insieme a quello di necessità, nella valutazione, da parte del titolare del trattamento, circa l’applicabilità delle limitazioni, è richiamato anche nel Regolamento (UE) 2016/679.

In particolare il legislatore europeo ha disciplinato il tema delle limitazioni ai diritti degli interessati nell’art. 23 del Regolamento, il quale recita: “Il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all'articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22”.

Tali limitazioni devono essere applicate, nel rispetto dei diritti e delle libertà fondamentali, nonché in misura necessaria e proporzionata in una società democratica per garantire la salvaguardia di interessi generali (v. anche Cons. 73 del Regolamento).

Un’analisi approfondita dell’art. 23 del Regolamento è contenuta nelle “Linee Guida n. 10/2020 sulle restrizioni ai sensi dell’art 23 GDPR”, adottate il 13 ottobre 2021 dal Comitato europeo per la protezione dei dati (EDPB), che, nell’evidenziare che qualsiasi restrizione al diritto fondamentale alla protezione dei dati deve avvenire nel rispetto del richiamato art. 52 della Carta, rappresenta che le limitazioni richiedono una valutazione della proporzionalità in modo che siano limitate a quanto strettamente necessario e che possono ritenersi legittime solo qualora, dall’esercizio dei diritti degli interessati che si intendono circoscrivere, possa derivare un “pregiudizio effettivo e concreto” agli “interessi tutelati in base alle disposizioni in materia di riciclaggio”, senza, tuttavia, comprimerli in modo eccedente rispetto alle reali necessità perseguite.

Le stesse Linee guida, nell’evidenziare la necessità di un nesso di causalità tra le restrizioni previste e l'obiettivo perseguito, riportano, tra i casi nei quali, ai sensi dell’art. 23, par. 1 del Regolamento, tale limitazione può trovare applicazione quello di salvaguardare “la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla sicurezza pubblica”.

Al riguardo rappresenta che, in alcuni casi come ad esempio nel caso dell’antiriciclaggio, la limitazione ai diritti potrebbe essere necessaria, laddove fornire informazioni ad interessati sottoposti ad indagine, potrebbe compromettere il successo dell’indagine stessa.

In conformità alle indicazioni della Corte di giustizia dell’Unione europea (Parere 1/15 della Corte di giustizia dell’Unione europea relativo allo schema di accordo tra il Canada e l’Unione europea sul PNR, del 26 luglio 2017, paragrafi 220-224), le informazioni omesse dovrebbero però essere fornite, non appena la loro comunicazione non può più pregiudicare l'indagine in corso (punti 24 e 25 delle Linee guida cit.).

A tal riguardo, le Linee Guida, nel richiamare il diritto degli interessati ad essere informati della limitazione, a meno ciò che non possa essere pregiudizievole per lo scopo della limitazione, rappresentano che “in circostanze straordinarie, ad esempio nelle fasi molto preliminari di un'indagine, se l'interessato che richiede informazioni è indagato, il responsabile del trattamento potrebbe decidere di non fornire tali informazioni in quel momento - se questa restrizione è lecita e strettamente necessaria nel caso specifico a ciò che sarebbe pregiudizievole allo scopo della restrizione […] In una fase successiva, ad esempio, dopo il completamento della fase preliminare dell'indagine o dell'inchiesta, gli interessati dovrebbero ricevere una (specifica) informativa sulla protezione dei dati. È ancora possibile in questa fase che alcuni diritti continuino ad essere limitati, come il diritto di accesso alle informazioni sull'apertura di un'indagine […]. Questo fatto dovrebbe essere indicato nell'informativa sulla protezione dei dati insieme all'indicazione di un periodo entro il quale i diritti saranno pienamente ripristinati, se possibile” (punti 66 e 67 Linee guida cit.).

Il legislatore europeo, pertanto, in relazione al profilo della limitazione dei diritti ha definito, in maniera chiara, l’ambito all’interno del quale può trovare applicazione tale misura, che contraendo i diritti riconosciuti all’interessato, trova la sua giustificazione solo in una situazione eccezionale e deve essere idonea al conseguimento degli obiettivi legittimi perseguiti dalla normativa, e, pertanto, non può eccedere i limiti di quanto è opportuno e necessario per conseguirli.

L’applicazione della limitazione deve, inoltre, rispondere ai principi di necessità e proporzionalità, in ragione dei quali il diritto dell’interessato a ricevere le informazioni che lo riguardano non può essere eliminato, ma eventualmente rimandato ad un momento successivo.

Gli stessi concetti sono stati ripresi dal legislatore nazionale con l’art, 2-undecies del Codice che, nel disporre in merito alle “Limitazioni dei diritti dell’interessato”, precisa che “i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare o al responsabile del trattamento ovvero con reclamo ai sensi dell’art. 77 del Regolamento, qualora possa derivarne un pregiudizio effettivo e concreto” ed elenca, tra gli interessi giuridici meritevoli di particolare protezione in ragione della loro rilevanza, anche “gli interessi tutelati in base alle disposizioni vigenti in materia di riciclaggio”.

L’articolo prevede, secondo un criterio di gradualità, la possibilità per il titolare del trattamento di ritardare, limitare e, in ultima istanza, escludere l’esercizio dei diritti degli interessati.

Lo stesso articolo, nel richiamare i principi di necessità e proporzionalità, presenti nelle disposizioni del regolamento europeo sopra riportate, dispone che gli interessati devono essere resi edotti della limitazione “con una comunicazione motivata e resa senza ritardo […] a meno che la comunicazione possa compromettere le finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare gli interessi” tutelati attraverso le limitazioni.

Il titolare è inoltre tenuto a informare l’interessato della facoltà, allo stesso riconosciuta, di esercitare tali diritti anche tramite il Garante, con le modalità di cui all’art. 160 del Codice, affinché siano effettuati gli opportuni accertamenti, all’esito dei quali “il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale”.

La necessità di conciliare le disposizioni sopra richiamate in materia di protezione dei dati personali con quelle contenute nel decreto legislativo 21 novembre 2007, n. 231 (“Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo”) è affermata anche dall’esplicito rinvio, all’art. 2-undecies, contenuto nel d.lgs. n. 231/2007, all’art. 39 (“Divieto di comunicazioni inerenti le segnalazioni di operazioni sospette”).

Al riguardo si rappresenta che il citato d.lgs. n. 231/2007, è stato, nel tempo, oggetto di modifiche e integrazioni determinate dal recepimento delle direttive che si sono succedute nel tempo, quali espressione dell’evoluzione della normativa europea in tale ambito.

La disciplina dell’antiriciclaggio è stata inoltre ripetutamente oggetto di attenzione da parte dell’Autorità che, stante i diversi profili in essa presenti che incidono sul trattamento dei dati personali degli interessati, ha reso pareri sui decreti di recepimento delle direttive europee nell’ordinamento nazionale (v. da ultimo, il “Parere sullo schema di decreto legislativo recante modifiche ed integrazioni ai d.lgs. 25 maggio 2017 n. 90 e 92 concernenti la prevenzione dell'utilizzo del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo” Provv. n. 150 del 24 luglio 2019 - doc. web n. 9126288).

Il Garante, nell’esprimere il proprio parere sullo schema di decreto sopra indicato, ha ritenuto opportuno, proprio con riferimento alle modifiche da apportare al citato art. 39, d.lgs. 231/2007, che fosse inserito uno specifico rinvio alla normativa di protezione dei dati personali, nei seguenti termini: “In relazione al trattamento di dati personali connesso alle attività di segnalazione e comunicazione di cui al presente comma, i diritti di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, si esercitano nei limiti previsti dall’articolo 2-undecies del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni”.

Ciò proprio a rimarcare l’esigenza di assicurare maggiore chiarezza alla disposizione ed effettività, anche in questo ambito particolare, ai diritti degli interessati.

L’art. 39 -inserito al capo III del d.lgs. n. 231/2007 che riguarda “gli obblighi di segnalazione”- prevede il “divieto ai soggetti tenuti alla segnalazione di un'operazione sospetta e a chiunque ne sia comunque a conoscenza, di dare comunicazione al cliente interessato o a terzi dell'avvenuta segnalazione, dell'invio di ulteriori informazioni richieste dalla UIF o dell'esistenza ovvero della probabilità di indagini o approfondimenti in materia di riciclaggio o di finanziamento del terrorismo”, e, in ragione della modifica sopra descritta, riporta anche l’esplicito rinvio alla normativa in materia di protezione dei dati personali, in caso di esercizio dei diritti da parte degli interessati.

Da quanto sopra esposto, emerge un complesso quadro giuridico, all’interno del quale gli operatori devono porre in essere un delicato bilanciamento che garantisca un’applicazione proporzionata della limitazione, così da limitare la stessa al periodo di tempo effettivamente necessario a salvaguardare gli interessi generali che potrebbero essere compromessi dalla comunicazione all’interessato.

4. Esiti dell’istruttoria.

In via preliminare, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Tanto doverosamente premesso, all’esito dell’esame della documentazione agli atti e delle dichiarazioni rese nel corso del procedimento, risulta stato accertato che la Banca, verificata la posizione dell’interessato, ha ritenuto di non fornire completo riscontro all’istanza di esercizio dei diritti dallo stesso presentata, “al fine di preservare la riservatezza dell’utilizzo delle informazioni oggetto di valutazione ai fini antiriciclaggio”.

La scelta di avvalersi della facoltà concessa dall’art. 2-undecies del Regolamento (UE) 2016/679 “Limitazioni ai diritti dell’interessato” ha tenuto conto del fatto che “la normativa antiriciclaggio si basa su principi generali la cui applicazione è rimessa alla valutazione in concreto da parte dei soggetti obbligati”, pertanto, in ragione “della rilevanza dei reati contestati”, la Banca “non poteva escludere che, a prescindere dalla sentenza definitiva (circostanza comunque non nota alla Banca all’epoca del riscontro al cliente), dalla comunicazione all’interessato potesse derivare un pregiudizio effettivo e concreto agli interessi tutelati in base alle disposizioni vigenti in materia di riciclaggio”

A tal riguardo, si osserva che la decisione della Banca circa l’applicabilità della limitazione dei diritti degli interessati deve essere effettuata in relazione al caso concreto e, benché rimessa alla discrezionalità del titolare del trattamento, non può prescindere dalla considerazione che la limitazione sia una misura necessaria e proporzionata in relazione agli interessi che si intendono salvaguardare.

Nel caso in esame, limitare in tal modo i diritti dell’interessato, si ritiene sia una misura sproporzionata rispetto alla natura delle informazioni oggetto di tale decisione. Le informazioni che la Banca ha ritenuto di non comunicare all’interessato attenevano, infatti, esclusivamente ad articoli pubblicati su quotidiani nazionali che riportavano la notizia di indagini in corso e di una denuncia a carico dello stesso.

Trattandosi di informazioni provenienti da testate giornalistiche, accessibili a chiunque e note allo stesso interessato, la relativa comunicazione non avrebbe certamente comportato un disvelamento di informazioni la cui conoscenza avrebbe determinato quel pregiudizio effettivo e concreto all’interesse generale tutelato dalle disposizioni in materia di riciclaggio, richiesto dalla norma (art. 2-undecies del Codice) a giustificazione della limitazione del diritto.

Peraltro, non tutte le informazioni raccolte per finalità antiriciclaggio devono necessariamente, essere oggetto di limitazione ai diritti degli interessati, ma è necessario effettuare una valutazione circa la natura delle stesse e le conseguenze che, nel caso concreto, potrebbero derivare dalla loro comunicazione all’interessato.

In relazione all’utilizzo, da parte di BPM, dei dati contenuti nella banca dati “SGR Daily Control” si rileva che quest’ultima fa parte delle cd. banche dati reputazionali che operano sul mercato mondiale, alimentate da informazioni, acquisite da fonti pubbliche o pubblicamente accessibili, utilizzate per lo più da banche e istituti finanziari per svolgere l’attività di controllo sugli interessati, soprattutto al fine di prevenire e contrastare fenomeni legati al riciclaggio. 

Ciò premesso, fatto salvo, nel caso di specie, il trattamento effettuato da tali banche dati (tema all’attenzione delle Autorità europee di protezione dati, anche in ragione della delicatezza delle informazioni trattate riferite, in alcuni casi, a dati particolari e giudiziari), si evidenzia che le banche e gli istituti finanziari, nel momento in cui raccolgono e si avvalgono di tali informazioni, agiscono in qualità di autonomi titolari e, come tali, sono tenuti ad operare nel rispetto dei principi generali fissati dall’art. 5 del Regolamento, con particolare riguardo a quelli di “esattezza” e “minimizzazione” dei dati (art. 5, par.1, lett.re c) e d) del Regolamento). Spetta dunque alle banche verificare che le informazioni delle entrano in possesso siano esatte procedendo, se necessario, al relativo aggiornamento.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimento correttivo ex art. 58, par. 2 del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le argomentazioni addotte da Banco BPM nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano, pertanto, inidonee a consentirne l’archiviazione, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

All’esito dell’attività istruttoria è, infatti, emerso che, solo a seguito dell’invito ad aderire formulato da questo Ufficio, la Banca ha fornito riscontro alle istanze di accesso formulate dal reclamante, riferendogli dell’esistenza di articoli di stampa che riportavano notizie di indagini svolte nei suoi confronti.

Alla luce delle considerazioni sopra riportate, il reclamo promosso dal sig. XX risulta, pertanto, fondato ravvisandosi, a carico di Banco BPM che ha erroneamente ritenuto che ricorresse uno dei casi di limitazione al diritto di accesso previsti dall’art. 2-undecies del Codice (in attuazione dell’art. 23 del Regolamento), un inidoneo riscontro alle richieste di accesso formulate dall’interessato, in violazione degli artt. 5, par. 1, lett.re a) e c) e 15 e del Regolamento.

Al riguardo, con riferimento agli elementi da prendere in considerazione in relazione alla sanzione da applicare, si rappresenta che, con riferimento all’elemento soggettivo del trasgressore, occorre tenere presente che il profilo della limitazione dei diritti degli interessati in relazione alle operazioni sospette, nell’ambito della normativa antiriciclaggio è caratterizzato da un’elevata complessità del quadro giuridico di riferimento.

La materia, infatti, disciplinata sia dalla specifica normativa di settore che prevede espressamente il divieto ai soggetti tenuti alla segnalazione delle operazioni sospette, di dare comunicazione al cliente interessato o a terzi dell’avvenuta segnalazione (art. 39 del d.lgs. n. 231/2007), sia dalle disposizioni contenute nella normativa europea e nazionale in materia di protezione dei dati personali (artt. 23 del Regolamento e. 2-undecies del Codice), nonché dalle citate Linee guida 10/2020 (secondo le quali le restrizioni sono lecite solo in quanto configurino una misura necessaria e proporzionata in relazione all’interesse generale perseguito), può dunque comportare un’incertezza interpretativa e applicativa delle norme da parte degli operatori di settore.

Si evidenzia, inoltre, l’assenza di precedenti pronunce da parte dell’Autorità in merito a questo specifico tema.

Ai fini della valutazione rileva l’assenza di precedenti violazioni della Banca negli ambiti considerati e che la stessa Banca, nel corso del procedimento, ha dimostrato un comportamento collaborativo spiegando l’accaduto e precisando le ragioni alla base della propria posizione.

Ha, altresì, fornito rassicurazioni rappresentando:

- di avere provveduto all’implementazione di azioni correttive volte a revisionare la “gestione dei diritti degli interessati” dando più specifiche indicazioni ai propri dipendenti e collaboratori rispetto alle circostanze in cui può avvenire una limitazione dei diritti di accesso degli interessati, alla comunicazione da fornire, in caso sussista tale limitazione, nonché prevedendo una maggiore consultazione tra gli Uffici coinvolti in caso di richieste che, analogamente al caso in esame, comportino una valutazione circa l’applicabilità delle limitazioni;

- che agirà nei confronti dei fornitori delle banche dati affinché sia garantito un più puntuale aggiornamento delle informazioni ivi contenute ma, soprattutto, ha assicurato di porre in essere misure all’interno della stessa Banca volte anche a sensibilizzare i propri dipendenti “al fine di raggiungere un più elevato grado di ragionevole certezza che i dati a disposizione sugli interessati siano aggiornati”.

Si evidenzia, oltre a quanto sopra rappresentato, anche la volontà di cooperazione con l’Autorità, dimostrata dalla Banca nel corso del procedimento, volta a porre in essere misure che evitino in futuro il ripetersi di episodi analoghi e la circostanza che i fatti si sono svolti “durante il periodo di picco dell’emergenza sanitaria epidemiologica da Covid-19 che non ha consentito la normale operatività di Banco BPM”.

In considerazione degli elementi sopra richiamati, si ritiene di ammonire Banco BPM S.p.A., ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per la violazione delle sopra citate disposizioni in materia di protezione dei dati personali.

Ricorrono comunque i presupposti per l’annotazione del provvedimento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento e dall’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

Si informa, infine, che come da disposizioni normative e regolamentari dell’Ufficio (art. 154-bis, comma 3, del Codice; art. 37 del Regolamento del Garante n. 1/2019), copia del presente provvedimento verrà pubblicata sul sito web del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a. dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, l’illiceità del trattamento effettuato da Banco BPM S.p.A. con sede in Milano, Piazza Filippo Meda 4, Partita IVA 10537050964, nei termini di cui in motivazione, per la in violazione degli artt. 5, par. 1, lett.re a) e c) e 15 e del Regolamento;

b. ai sensi del Considerando 148 e dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce Banco BPM S.p.A. per aver omesso di fornire tempestivo e completo riscontro all’istanza di accesso presentata dal reclamante in violazione dell’art.15 del Regolamento, nonché per avere trattato i dati in violazione dei principi di esattezza e aggiornamento previsti dall’art. 5, par. 1, lett.d) del Regolamento;

c. in conformità all’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione della violazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento;

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Matte


Vedi anche (10)