g-docweb-display Portlet

Provvedimento del 13 aprile 2023 [9888457]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 26 maggio 2023

 

[doc. web n. 9888457]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 129 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTO il reclamo dell’11 maggio 2021 presentato ai sensi dell’articolo 77 del Regolamento dal sig. XX rappresentato ai fini del presente procedimento dall’avv. Elena Olivetti, nei confronti di BPER Banca S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

Con il reclamo presentato a questa Autorità in data 11 maggio 2021, il sig. XX ha lamentato che, a seguito di una richiesta di finanziamento dallo stesso avanzata a BPER Banca -istituto di credito presso il quale è cliente da diversi anni-, era stato contattato dal personale della filiale che “gli suggeriva di non procedere nella richiesta di prestito poiché la stessa sarebbe stata presumibilmente rifiutata dalla Banca, ciò a motivo che la Banca […], era in possesso di dati relativi […al cliente], aventi connotazione “negativa” poiché qualificanti lo stesso quale soggetto a rischio di riciclaggio”.

Per tale motivo, l’interessato presentava alla Banca delle richieste di accesso ai dati, ai sensi dell’art. 15 del Regolamento, in relazione alle quali non riceveva un completo riscontro.

La Banca, infatti, si limitava a comunicargli i dati anagrafici e i rapporti bancari, senza alcun riferimento alle ulteriori informazioni “aventi connotazione negativa”, di cui il reclamante aveva avuto notizia nel corso di colloqui informali con il personale della Banca e per le quali gli erano state anche inibite alcune operazioni bancarie, poiché il suo conto risultava bloccato per la presenza di alcuni alert.

2. L’attività istruttoria.

In riscontro alla richiesta di invito ad aderire formulata da questo Ufficio 1 (prot. n. 37962 del 19 luglio 2021), la Banca, con nota del 5 agosto 2021 (inviata anche a questa Autorità), informava il reclamante della facoltà di avvalersi di quanto previsto dall’art. 2-undecies comma 3 del Codice, che gli consentiva di esercitare “il diritto di accesso ai dati ai sensi dell’art. 15 del regolamento (UE) 2016/679, tramite l’Autorità per la Protezione dei dati Personali con le modalità di cui all’art. 160 del citato Codice Privacy”.

Con note del 9 agosto e del 20 ottobre 2021 (quest’ultima in riscontro all’ulteriore richiesta di informazioni formulata dall’Ufficio - prot. n. 49300 del 1° ottobre 2021), la Banca ha dichiarato:

- di avere adempiuto agli obblighi normativi posti a carico del titolare del trattamento ai sensi dell’art. 15 del Regolamento, inviando all’interessato i dovuti riscontri e, in ultimo, rispondendo all’invito ad aderire formulato dall’Autorità;

- di essersi avvalsa, nella formulazione dei riscontri forniti all’interessato, della facoltà di limitazione ai diritti degli interessati, prevista dalla disciplina in materia di protezione dei dati personali, ritenendo che dalla “disclosure” delle ulteriori informazioni negative a carico dell’interessato potesse derivare “un pregiudizio effettivo agli interessi tutelati dalle disposizioni antiriciclaggio; in coerenza con tale linea di pensiero la stessa comunicazione motivata all’interessato circa la limitazione operata sulle informazioni trasmesse è parsa compromettere la finalità stessa della limitazione”;

- che le informazioni provengono da fonti accessibili al pubblico, in particolare, da organi di stampa che riportavano la notizia di una denuncia nei confronti dell’interessato “per falso, truffa aggravata ai danni dello Stato, false attestazioni e certificazioni” e dalla banca dati giurisprudenziale, accessibile dal sito internet della Corte di Cassazione, da cui era stata estratta la sentenza che confermava la condanna, di primo e secondo grado, nei confronti dell’interessato, per la commissione dei reati di cui agli artt. 81 e 640, c. 2, n. 1 del Codice Penale e art. 55 del d.lgs. n. 165/2001 (Cass. pen., sez. 2, 14 maggio 2019 n. 25234);

- che l’aggiornamento delle informazioni è “proceduralmente monitorato nel continuo”, infatti, “le informazioni associate all’interessato, reperite in tempi diversi, hanno garantito l’attualità del relativo profilo di rischio”;

- che il trattamento delle informazioni relative all’interessato è avvenuto nel rispetto dei principi di minimizzazione e di esattezza dei dati (trattandosi si informazioni reperite da fonti pubbliche e quotidiani regolarmente registrati), nonché di limitazione della conservazione ai sensi dell’art. 31, comma 3, d.lgs. n. 231/2007;

- di avere ritenuto di avvalersi del principio di limitazione ai diritti degli interessati (ai sensi degli artt. 23 del Regolamento e 2-undecies del Codice, al fine di conformarsi all’art. 39 del d.lgs. n. 231/2007 che vieta di dare comunicazione al cliente interessato o a terzi dell’esistenza o probabilità di indagini in materia di riciclaggio e finanziamento al terrorismo. “Tale disposizione rileva, nel caso di specie, alla luce dell’art. 35, co. 1 del medesimo decreto, a mente del quale i presupposti per una segnalazione di operazione sospetta (SOS) prendono le mosse dalla comparazione nel continuo tra l’operatività del cliente e le informazioni a esso relative, raccolte e manutenute dalla Banca nell’ambito del processo di adeguata verifica. Le componenti del profilo di rischio riciclaggio su cui può basarsi un SOS rimangono perciò attratte nel regime di riservatezza che la legge impone con riguardo a quest’ultima”;
Il 16 febbraio 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notifica alla Banca delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett.re a) e c) e 23 del Regolamento, 2-undecies del Codice.

Con memorie difensive del 15 marzo 2022, la Banca, dopo avere evidenziato, in via preliminare, come il presente reclamo “abbia fatto riemergere la necessità di discutere in maniera approfondita e allargata a livello di ecosistema bancario (ABI; Autorità di Vigilanza, gli operatori di settore etc.) il rapporto e la corretta integrazione tra la normativa in materia di protezione dei dati personali e quella antiriciclaggio”, con riferimento a quanto contestato nella notifica delle violazioni, ha rappresentato:

- di avere fornito riscontro alle richieste avanzate dall’interessato, sia oralmente presso la filiale della Banca dove, nel rispetto dei limiti previsti dall’art. 39 d.lgs. 231/2007 e 2-undecies, comma 3 del Codice “il riscontro fornito […] ha incluso […] le ragioni motivate che avrebbero portato ad un rischio dell’operazione di finanziamento”, sia, successivamente, in forma scritta, con l’invio di note all’interessato;

- che, alla data dei riscontri forniti al reclamante (settembre-ottobre 2020), non erano ancora disponibili le Linee guida n. 10 del 15 dicembre 2020 adottate dallo European Data Protection Board sulle restrizioni ai sensi dell'articolo 23 del Regolamento, attraverso le quali è stata fornita un’interpretazione dell’articolo;

- di avere fondato le proprie valutazioni, sull’art. 2-undecies del Codice che consente l’applicazione del principio di limitazione dei diritti sulla base di pregiudizi “agli interessi tutelati in base alle disposizioni in materia di riciclaggio” e sulla normativa settoriale contenuta nel d.lgs. 231/2007, che contiene “misur[e] legislativ[e] chiar[e] e precis[e]” in tema di raccolta delle informazioni, (art. 35), di conservazione dei documenti, dei dati e delle informazioni acquisite (art. 31, comma 3), nonché riguardo al divieto di procedere a comunicazioni verso gli interessati che siano inerenti alle segnalazioni di operazioni sospette (art. 39);

- di avere ritenuto necessario applicare inizialmente il principio di limitazione e, successivamente, quello di esclusione “conformemente a quanto previsto dagli artt. 23 del Regolamento e 2-undecies del Codice per effetto della lettura combinata degli artt. 35 e 39 del d.lgs. n. 231/2007”; in particolare, l’applicazione del principio di limitazione ha tenuto conto della ratio complessiva della normativa antiriciclaggio che mira a scongiurare il pericolo che “il soggetto cui è riferita l’operazione”, venga informato della presenza a suo carico di indici di anomalia e modifichi il suo comportamento “vanificando di fatto la possibilità che i fatti di riciclaggio siano scoperti”;

- che “non è tanto l’esistenza di un procedimento penale in corso ad essere coperto dalla previsione di cui all’art.2-undecies del Codice Privacy -notizia che non era riservata in quanto presente sulla stampa-ma l’analisi effettuata -a giudizio insindacabile dalla Banca- sulla rilevanza che tale informazione potesse rilevare quale indice di anomalia da considerare per effettuare una segnalazione di operazione sospetta”;

- che la sentenza di condanna emessa dalla Corte di Cassazione in capo all’interessato rafforza la presenza degli indici di anomalia “facendo sorgere la protezione di cui all’art. 2-undecies del Codice Privacy. […infatti] ciò che deve essere tutelato non è il segreto circa l’esistenza di indagini penali o procedimenti penali a carico, bensì l’esistenza a suo carico di indici di anomalia” e il mero passaggio in giudicato della sentenza “non determina il venir meno del rischio di ostacolare il sistema giudiziario”, ciò ancor più considerato che “la norma (art. 35, d.lgs. n. 231/2007) non prevede il passaggio in giudicato tra i criteri di conservazione”;

- che le valutazioni negative di un cliente, ricavate, a titolo esemplificativo, da organi di stampa o informazioni processuali, sono oggetto di una valutazione interna che conduce all’attribuzione di “punteggi” in merito al profilo di rischio di riciclaggio, ponendo “una questione di riservatezza distinta da quella intrinseca alla singola informazione […] in quanto direttamente espressiva dell’autonoma valutazione del rischio di riciclaggio associato a ciascun cliente; detta valutazione […] rientra, a sua volta, nel processo di elaborazione del “sospetto” alla base dell’attività di segnalazione all’Unità di informazione finanziaria per l’Italia delle operazioni di riciclaggio e finanziamento del terrorismo ai sensi degli artt. 35 e ss. del D. Lgs. 231/2007. La relazione logica tra la valutazione del cliente e l’attività segnalatoria attrarrebbe la prima nel campo coperto dal divieto di comunicazioni inerenti alle segnalazioni sospette di cui all’art. 39 del medesimo decreto”;

- che la valutazione della Banca se procedere alla segnalazione di un soggetto che ha posto in essere operazioni sospette, sebbene debba tenere conto del dettato normativo in materia di antiriciclaggio, dovrebbe essere rimessa alla discrezionalità della stessa Banca, “così come allo stesso modo” discrezionale” dovrebbe essere la scelta se rivelare le informazioni che la stessa ha tenuto in considerazione nel concedere o negare un servizio […] in quanto rivelerebbe le proprie strategie di gestione del rischio”.

3. Il quadro normativo in tema di limitazioni ai diritti dell’interessato.

La Carta fondamentale dei diritti dell’UE agli art. 7 e 8, tutela, rispettivamente, il rispetto della vita privata e familiare e la protezione dei dati di carattere personale.

In particolare, l’art. 8 precisa che “Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”. In relazione alla possibilità di limitare tali diritti la stessa Carta, all’art. 52, fissa i criteri che devono essere rispettati nell’applicare tali limitazioni, precisando che “Eventuali limitazioni all'esercizio dei diritti e delle libertà riconosciuti dalla […] Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui”.

Il rispetto del principio di proporzionalità presente nell’articolo in esame, quale criterio essenziale, insieme a quello di necessità, nella valutazione, da parte del titolare del trattamento, circa l’applicabilità delle limitazioni, è richiamato anche nel Regolamento (UE) 2016/679.

In particolare il legislatore europeo ha disciplinato il tema delle limitazioni ai diritti degli interessati nell’art. 23 del Regolamento, il quale recita: “Il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all'articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22”.

Tali limitazioni devono essere applicate nel rispetto dei diritti e delle libertà fondamentali, nonché in misura necessaria e proporzionata in una società democratica per garantire la salvaguardia di interessi generali (v. anche Cons. 73 del Regolamento).

Un’analisi approfondita dell’art. 23 del Regolamento è contenuta nelle “Linee Guida n. 10/2020 sulle restrizioni ai sensi dell’art 23 GDPR”, adottate il 13 ottobre 2021 dal Comitato europeo per la protezione dei dati (EDPB), che, nell’evidenziare che qualsiasi restrizione al diritto fondamentale alla protezione dei dati deve avvenire nel rispetto del richiamato art. 52 della Carta, rappresenta che le limitazioni richiedono una valutazione della proporzionalità in modo che siano limitate a quanto strettamente necessario e che possono ritenersi legittime solo qualora, dall’esercizio dei diritti degli interessati che si intendono circoscrivere, possa derivare un “pregiudizio effettivo e concreto” agli “interessi tutelati in base alle disposizioni in materia di riciclaggio”, senza, tuttavia, comprimerli in modo eccedente rispetto alle reali necessità perseguite.

Le stesse Linee guida, nell’evidenziare la necessità di un nesso di causalità tra le restrizioni previste e l'obiettivo perseguito, riportano, tra i casi nei quali, ai sensi dell’art. 23, par. 1 del Regolamento tale limitazione può trovare applicazione, quello di salvaguardare “la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla sicurezza pubblica”.

Al riguardo rappresenta che, in alcuni casi come ad esempio nel caso dell’antiriciclaggio, la limitazione ai diritti potrebbe essere necessaria, laddove, fornire informazioni ad interessati sottoposti ad indagine, potrebbe compromettere il successo dell’indagine stessa.

In conformità alle indicazioni della Corte di giustizia dell’Unione europea (Parere 1/15 della Corte di giustizia dell’Unione europea relativo allo schema di accordo tra il Canada e l’Unione europea sul PNR, del 26 luglio 2017, paragrafi 220-224), le informazioni omesse dovrebbero però essere fornite, non appena la loro comunicazione non può più pregiudicare l'indagine in corso (punti 24 e 25 delle Linee guida cit.).

A tal riguardo, le Linee Guida, nel richiamare il diritto degli interessati ad essere informati della limitazione, a meno ciò che non possa essere pregiudizievole per lo scopo della limitazione, rappresentano che “in circostanze straordinarie, ad esempio nelle fasi molto preliminari di un'indagine, se l'interessato che richiede informazioni è indagato, il responsabile del trattamento potrebbe decidere di non fornire tali informazioni in quel momento - se questa restrizione è lecita e strettamente necessaria nel caso specifico a ciò che sarebbe pregiudizievole allo scopo della restrizione […] In una fase successiva, ad esempio, dopo il completamento della fase preliminare dell'indagine o dell'inchiesta, gli interessati dovrebbero ricevere una (specifica) informativa sulla protezione dei dati. È ancora possibile in questa fase che alcuni diritti continuino ad essere limitati, come il diritto di accesso alle informazioni sull'apertura di un'indagine […]. Questo fatto dovrebbe essere indicato nell'informativa sulla protezione dei dati insieme all'indicazione di un periodo entro il quale i diritti saranno pienamente ripristinati, se possibile” (punti 66 e 67 Linee guida cit.).

Il legislatore europeo, pertanto, in relazione al profilo della limitazione dei diritti ha definito, in maniera chiara, l’ambito all’interno del quale può trovare applicazione tale misura, che contraendo i diritti riconosciuti all’interessato, trova la sua giustificazione solo in una situazione eccezionale e deve essere idonea al conseguimento degli obiettivi legittimi perseguiti dalla normativa, e, pertanto, non può eccedere i limiti di quanto è opportuno e necessario per conseguirli.

L’applicazione della limitazione deve, inoltre, rispondere ai principi di necessità e proporzionalità, in ragione dei quali il diritto dell’interessato a ricevere le informazioni che lo riguardano non può essere eliminato, ma eventualmente rimandato ad un momento successivo.

Gli stessi concetti sono stati ripresi dal legislatore nazionale con l’art, 2-undecies del Codice che, nel disporre in merito alle “Limitazioni dei diritti dell’interessato”, precisa che “i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare o al responsabile del trattamento ovvero con reclamo ai sensi dell’art. 77 del Regolamento, qualora possa derivarne un pregiudizio effettivo e concreto” ed elenca, tra gli interessi giuridici meritevoli di particolare protezione in ragione della loro rilevanza, anche “gli interessi tutelati in base alle disposizioni vigenti in materia di riciclaggio”.

L’articolo prevede, secondo un criterio di gradualità, la possibilità per il titolare del trattamento di ritardare, limitare e, in ultima istanza, escludere l’esercizio dei diritti degli interessati.

Lo stesso articolo, nel richiamare i principi di necessità e proporzionalità, presenti nelle disposizioni del regolamento europeo sopra riportate, dispone che gli interessati devono essere resi edotti della limitazione “con una comunicazione motivata e resa senza ritardo […] a meno che la comunicazione possa compromettere le finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare gli interessi” tutelati attraverso le limitazioni.

Il titolare è inoltre tenuto a informare l’interessato della facoltà, allo stesso riconosciuta, di esercitare tali diritti anche tramite il Garante, con le modalità di cui all’art. 160 del Codice, affinché siano effettuati gli opportuni accertamenti, all’esito dei quali “il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale”.

La necessità di conciliare le disposizioni sopra richiamate in materia di protezione dei dati personali con quelle contenute nel decreto legislativo 21 novembre 2007, n. 231 (“Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo”) è affermata anche dall’esplicito rinvio, all’art. 2-undecies, contenuto nel d.lgs. n. 231/2007, all’art. 39 (“Divieto di comunicazioni inerenti le segnalazioni di operazioni sospette”).

Al riguardo si rappresenta che il citato d.lgs. n. 231/2007, è stato, nel tempo, oggetto di modifiche e integrazioni determinate dal recepimento delle direttive che si sono succedute nel tempo, quali espressione dell’evoluzione della normativa europea in tale ambito.

La disciplina dell’antiriciclaggio è stata inoltre ripetutamente oggetto di attenzione da parte dell’Autorità che, stante i diversi profili in essa presenti che incidono sul trattamento dei dati personali degli interessati, ha reso pareri sui decreti di recepimento delle direttive europee nell’ordinamento nazionale (v. da ultimo, il “Parere sullo schema di decreto legislativo recante modifiche ed integrazioni ai d.lgs. 25 maggio 2017 n. 90 e 92 concernenti la prevenzione dell'utilizzo del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo” Provv. n. 150 del 24 luglio 2019 - doc. web n. 9126288).

Il Garante, nell’esprimere il proprio parere sullo schema di decreto sopra indicato, ha ritenuto opportuno, proprio con riferimento alle modifiche da apportare al citato art. 39, d.lgs. 231/2007, che fosse inserito uno specifico rinvio alla normativa di protezione dei dati personali, nei seguenti termini: “In relazione al trattamento di dati personali connesso alle attività di segnalazione e comunicazione di cui al presente comma, i diritti di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, si esercitano nei limiti previsti dall’articolo 2-undecies del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni.”. Ciò proprio al fine di assicurare maggiore chiarezza alla disposizione ed effettività, anche in questo ambito particolare, ai diritti degli interessati.

Ciò proprio a rimarcare l’esigenza di assicurare maggiore chiarezza alla disposizione ed effettività, anche in questo ambito particolare, ai diritti degli interessati.

L’art. 39 -inserito al capo III del d.lgs. n. 231/2007 che riguarda “gli obblighi di segnalazione”- dispone il “divieto ai soggetti tenuti alla segnalazione di un'operazione sospetta e a chiunque ne sia comunque a conoscenza, di dare comunicazione al cliente interessato o a terzi dell'avvenuta segnalazione, dell'invio di ulteriori informazioni richieste dalla UIF o dell'esistenza ovvero della probabilità di indagini o approfondimenti in materia di riciclaggio o di finanziamento del terrorismo”, e, in ragione della modifica sopra descritta, riporta anche l’esplicito rinvio alla normativa in materia di protezione dei dati personali, in caso di esercizio dei diritti da parte degli interessati.

Da quanto sopra esposto emerge, in tale ambito, un complesso quadro giuridico, all’interno del quale gli operatori, chiamati ad applicarlo, devono porre in essere un giusto bilanciamento che garantisca da una parte, il rispetto del principio di proporzionalità della misura applicata, così da limitare la restrizione al periodo di tempo effettivamente necessario, dall’altra gli interessi generali che la limitazione mira a salvaguardare, affinché non siano compromessi dalla comunicazione all’interessato.

4. Il contenuto dell’istruttoria.

In via preliminare, si rappresenta che, salvo che il fatto non costituisca reato più grave, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, all’esito dell’esame della documentazione agli atti e delle dichiarazioni rese nel corso del procedimento, è stato accertato che la Banca, verificata la posizione dell’interessato, ha ritenuto di non fornire completo riscontro all’istanza di esercizio dei diritti dallo stesso presentata, limitandosi a comunicare i dati personali, ma non le “ulteriori informazioni negative a carico del cliente interessato nell’ambito delle procedure di analisi e monitoraggio continuativo antiriciclaggio” ritenendo che da tale comunicazione potesse derivare un pregiudizio effettivo agli interessi tutelati dalle disposizioni in materia di antiriciclaggio. 

La scelta della Banca di “limitare prima e […] escludere poi il diritto di accesso”, deriva da un’analisi complessiva della normativa in relazione alla quale, secondo quanto dalla stessa sostenuto, non sarebbe rilevante tanto la pendenza di un procedimento penale in corso o una sentenza emessa nei confronti dell’interessato, quanto la valutazione, effettuata “a giudizio insindacabile della Banca”, della rilevanza che tale informazione può avere come indice di anomalia ai fini della segnalazione di operazione sospetta.

A tal riguardo, si osserva che la decisione della Banca circa l’applicabilità della limitazione dei diritti degli interessati deve essere effettuata in relazione al caso concreto e, benché rimessa alla discrezionalità del titolare del trattamento, non può prescindere dalla considerazione che la limitazione sia una misura necessaria e proporzionata in relazione agli interessi che si intendono salvaguardare.

Nel caso in esame, limitare i diritti dell’interessato, nella forma dell’esclusione dell’accesso a suoi dati personali, si ritiene sia una misura sproporzionata rispetto alla natura delle informazioni oggetto di tale decisione.

Le “ulteriori informazioni” -che la Banca ha ritenuto di non comunicare all’interessato- attenevano infatti ad articoli pubblicati su quotidiani nazionali che riportavano la notizia di indagini in corso e di una denuncia a carico dell’interessato, nonché alla successiva sentenza definitiva di condanna, emessa dalla Corte di Cassazione.

Trattandosi, quindi, di informazioni provenienti da testate giornalistiche, accessibili a chiunque e dalla banca dati della Corte di Cassazione, anch’essa liberamente accessibile online, e note all’interessato, la relativa comunicazione non avrebbe certamente comportato un disvelamento di informazioni la cui conoscenza avrebbe determinato quel pregiudizio effettivo e concreto all’interesse generale tutelato dalle disposizioni in materia di riciclaggio, richiesto dalla norma (art. 2-undecies del Codice) a giustificazione della limitazione del diritto.

Peraltro, non tutte le informazioni raccolte per finalità antiriciclaggio devono necessariamente, essere oggetto di limitazione ai diritti degli interessati, ma è necessario effettuare una valutazione circa la natura delle stesse e le conseguenze che, nel caso concreto, potrebbero derivare dalla loro comunicazione all’interessato.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimento correttivo ex art. 58, par. 2 del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le argomentazioni addotte da BPER Banca nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano, pertanto, inidonee a consentirne l’archiviazione, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In particolare, è emerso che la Banca, solo a seguito dell’invito ad aderire formulato da questo Ufficio, ha fornito riscontro all’istanza di accesso avanzata dal reclamante. In tale riscontro nel richiamare quanto previsto dall’art. 2-undecies, par. 3 del Codice, ha informato lo stesso reclamante circa la possibilità di esercitare i propri diritti tramite il Garante con le modalità di cui all’art. 160 del Codice.

Alla luce delle considerazioni sopra riportate, il reclamo promosso dal sig. Lorenzo XX risulta, pertanto, fondato ravvisandosi, a carico di BPER Banca che ha erroneamente ritenuto che ricorresse uno dei casi di limitazione al diritto di accesso previsti dall’art. 2-undecies del Codice (in attuazione dell’art. 23 del Regolamento), un inidoneo riscontro alle richieste di accesso formulate dall’interessato, in violazione degli artt. 5, par. 1, lett.re a) e c) e 15 e del Regolamento.

La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett.re a) e b) del Regolamento.

Al riguardo, con riferimento agli elementi da prendere in considerazione in relazione alla sanzione da applicare, occorre tenere presente che il profilo della limitazione dei diritti degli interessati, nell’ambito della normativa antiriciclaggio è caratterizzato da un’elevata complessità del quadro giuridico di riferimento.

La materia, infatti, è disciplinata sia dalla specifica normativa di settore che prevede espressamente il divieto ai soggetti tenuti alla segnalazione delle operazioni sospette, di fornire informazioni al cliente interessato o a terzi (art. 39 del d.lgs. n. 231/2007), sia dalle disposizioni contenute nella normativa europea e nazionale in materia di protezione dei dati personali (artt. 23 del Regolamento e. 2-undecies del Codice), nonché dalle citate Linee guida 10/2020 (secondo le quali le restrizioni sono lecite solo in quanto configurino una misura necessaria e proporzionata in relazione all’interesse generale perseguito), può dunque comportare un’incertezza interpretativa e applicativa delle norme da parte degli operatori di settore.

Si rileva, inoltre, l’assenza di precedenti pronunce, da parte dell’Autorità, in merito a questo specifico tema.

Ai fini della valutazione rileva anche l’assenza di precedenti violazione della Banca in tale ambito, nonché l’attività di collaborazione con l’Autorità, dimostrata dalla stessa Banca che, nel corso dell’istruttoria, ha rappresentato gli elementi volti a chiarire la vicenda e la propria posizione, nonché fornito rassicurazioni circa l’implementazione di processi interni volti ad una gestione corretta e tempestiva delle richieste di esercizio dei diritti presentate dalla clientela, stabilendo regole volte a disciplinare le diverse fasi della procedura, nonché i ruoli e le responsabilità dei diversi organi e delle funzioni preposte alla gestione delle richieste.

In considerazione degli elementi sopra richiamati, si ritiene di ammonire BPER Banca S.p.A., ai sensi de gli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per la violazione delle sopra citate disposizioni in materia di protezione dei dati personali.

Si rileva che ricorrano i presupposti per l’annotazione del provvedimento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento e dall’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si informa, infine, che come da disposizioni normative e regolamentari dell’Ufficio (art. 154-bis, comma 3, del Codice; art. 37 del Regolamento del Garante n. 1/2019), copia del presente provvedimento verrà pubblicata sul sito web del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a. dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, l’illiceità del trattamento effettuato da BPER Banca S.p.A. con sede in Modena, via San Carlo, 8/20, Partita IVA nr. 03830780361, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett.re a) e c) e 15 e del Regolamento;

b. ai sensi del Considerando 148 e dell’art. 58, par. 2, lett. b), del Regolamento (UE) 2016/679 ammonisce BPER Banca S.p.A. per aver omesso di fornire tempestivo e completo riscontro all’istanza di accesso presentata dal reclamante in violazione dell’art.15 del Regolamento;

c. in conformità all’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione della violazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 

Scheda

Doc-Web
9888457
Data
13/04/23

Argomenti


Tipologie

Ammonimento

Vedi anche (10)