Provvedimento del 23 aprile 2020 [9426302]
Provvedimento del 23 aprile 2020 [9426302]
Condividi[doc. web n. 9426302]
Provvedimento del 23 aprile 2020
Registro dei provvedimenti
n. 76 del 23 aprile 2020
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato al Garante ai sensi dell’art. 77 del Regolamento in data 22 marzo 2019 da XX, nei confronti di ChiantiBanca Credito Cooperativo s.c. (di seguito, “la banca”), con il quale sono state lamentate presunte violazioni del Regolamento con riferimento al diritto di accesso dell’interessato ai dati personali che lo riguardano detenuti dalla banca, in particolare “ai risultati della indagine interna” effettuata dall’Organismo di vigilanza “in relazione alla segnalazione effettuata” dal reclamante e alle “verbalizzazioni delle interviste dei due colleghi presenti e dell’esito di tale accertamento effettuato, contenenti i dati personali di tipo identificativo od oggettivo e che riguardano i fatti riconducibili direttamente e/o indirettamente al ricorrente in quella sede”;
VISTO, in particolare, che il reclamante ha rappresentato di aver inviato alla banca, in data 6 dicembre 2018, istanza di accesso ai dati suddetti per “poter azionare il diritto di difesa, in relazione all’impugnazione del verbale di conciliazione ex art. 2113 c.c.” e di non aver ricevuto alcun riscontro da parte della banca;
VISTA la nota del 17 maggio 2019 con la quale l’Autorità ha invitato la banca a fornire riscontro sui fatti oggetto di reclamo;
VISTA la nota di riscontro del 6 giugno 2019 con la quale la società ha dichiarato che:
- "dalle verifiche effettuate nella documentazione prodotta [dall’Organismo di vigilanza], ed in particolare relativamente a presunti «risultati dell’indagine interna effettuata dall’Organismo di vigilanza», non sono stati rinvenuti dati personali riferibili al reclamante” (v. nota del 6.6.2019 cit., p.1);
- svolgendo le ricerche necessarie “è emerso che nel corso di un’attività di controllo interno svolto dalla funzione organizzativa «Audit» sono state raccolte informazioni, nell’ambito delle […] attività di auditing, rilasciate da alcuni dipendenti della [banca] che, indirettamente, contengono riferimenti al reclamante” (v. nota cit., p. 1);
- “la documentazione [oggetto di istanza di accesso], nello specifico i contenuti delle dichiarazioni acquisite presso alcuni dipendenti, è già stata fornita al [reclamante] mediante inoltro a mezzo PEC, in data 16/02/2015 […] e riporta quanto emerso nell’ambito delle verifiche condotte a fronte delle […] segnalazioni aventi ad oggetto comportamenti tenuti dal […] segnalante nell’ambito delle attività allo stesso affidate nella veste di dipendente della [banca]” (v. nota cit., p. 1, 2);
- “con successiva PEC del 18/02/2015 […] su richiesta del [reclamante], la banca ha provveduto ad inviare, tra l’altro, anche copia integrale del verbale della Funzione di Audit […] contenente le dichiarazioni citate” (v. nota cit., p. 2);
- “la documentazione [oggetto di istanza di accesso] potrebbe ben essere considerata non rientrante nel perimetro delle informazioni, ovvero dei dati personali, per i quali sia esperibile il diritto di accesso, anche avendo a riferimento le previsioni del Regolamento 2016/679/UE” (v. nota cit., p. 2);
l’istanza relativa al diritto di accesso presentata dal reclamante “in data 6/12/2018 […] per un disguido tecnico non è stata riscontrata come previsto dalle procedure interne della Banca adottate per dare adempimento alle prescrizioni del Regolamento 2016/679/UE” (v. nota cit., p. 2);
RILEVATO che la banca ha allegato alla nota di riscontro copia della lettera di contestazione di addebiti del 16 febbraio 2015 inviata dalla banca al reclamante, nonché copia della comunicazione inviata a mezzo mail dal reclamante alla direzione della banca in data 13 febbraio 2015 e la pratica relativa a due clienti e il verbale internal auditing;
VISTO che il 5 novembre 2019 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione al titolare del trattamento delle presunte violazioni del Regolamento riscontrate;
VISTO, altresì, che con nota del 4 dicembre 2019 la banca ha rappresentato che:
- "all’epoca della ricezione della richiesta di accesso erano in vigore per tutto il personale della banca il «Regolamento processo privacy» […] e la «Policy per la protezione dei dati personali» […], che prevedevano espressamente che «nel caso in cui si ritenga di non dovere (o non potere, ove possibile) rispondere positivamente alla richiesta, è comunque necessario fornire motivata risposta all’interessato»” (v. nota del 4.12.2019, p. 1);
- con riferimento alle ragioni in base alle quali non è stato dato riscontro all’istanza di accesso presentata dal reclamante si precisa che “apparendo la richiesta ripetitiva rispetto a quella già evasa nel febbraio 2015, si era ritenuto di trovarsi nella fattispecie di legittimo rifiuto di cui all’art. 12, comma 5 del Regolamento e di non essere neppure tenuti, per quel motivo, ad un ulteriore riscontro formale. Tale secondo profilo non è comunque coerente con la regolamentazione interna” (v. nota cit., p. 1);
- per quanto riguarda “la comunicazione degli esiti delle indagini svolte dall’ODV della Banca, il disguido è stato originato dal fatto che la ricerca non aveva evidenziato l’esistenza di alcuna indagine che avesse ad oggetto i fatti di interesse del richiedente e si era ritenuto che il riscontro dovesse essere inviato solo in caso positivo” (v. nota cit., p. 1);
- con l’espressione “disguido tecnico” utilizzata per spiegare il mancato riscontro all’istanza di accesso presentata dal reclamante “si intendeva sottolineare il fatto che non vi era stata una violazione sostanziale dei diritti di accesso dei dati del soggetto interessato, ma un mero difetto negli adempimenti comunicativi previsti per casi come quello in esame” (v. nota cit., p.1);
- “con nota del 6/06/2019 formulata in risposta alle richieste di questa Autorità, inviata per debita conoscenza anche al [reclamante], la […] banca ha nuovamente allegato i dati richiesti dal reclamante, aderendo così spontaneamente, in detta sede, alla sua richiesta di accesso; si ritiene che il suddetto mancato tempestivo riscontro non abbia comportato danni per l’interessato, in quanto il medesimo, al momento della richiesta datata 6/12/2018, era già in possesso di tutti i dati richiesti; l’erroneo mancato riscontro oggetto del reclamo del [reclamante] costituisce caso eccezionale e isolato considerato che dall’entrata in vigore del Regolamento UE 2016/679 questa banca non ha ricevuto ulteriori contestazioni o lamentele inerenti l’esercizio dei diritti” (v. nota cit., p. 2);
- “sono stati approvati e implementati la «Politica di Gruppo per la protezione dei dati personali» […] e il relativo «Allegato 5» contenente le «Linee guida per la gestione dei diritti degli interessati» […], che […] definiscono con maggiore dettaglio gli adempimenti che il personale della banca è tenuto a porre in essere per la corretta e tempestiva gestione delle richieste di esercizio dei diritti” (v. nota cit., p.2);
- “la banca ha inoltre avviato l’implementazione di una «norma di processo» ancor più dettagliata per la gestione delle richieste di esercizio dei diritti […] e ha preventivato di completare entro il 2019, ulteriori attività di formazione, integrative di quelle tenutesi nel 2018” (v. nota cit. p.2);
- “la banca aveva posto in essere specifiche direttive scritte sul comportamento da tenere nel caso di specie e […] l’evento è dipeso unicamente dall’imprevedibile difforme condotta tenuta dal personale coinvolto” (v. nota cit., p.2);
- si sottolineano “la particolare tenuità del fatto […] la condotta cooperativa della banca e [le] ulteriori misure implementate e in corso di implementazione a rafforzamento delle procedure di gestione delle richieste degli interessati” (v. nota cit., p. 2);
CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;
RILEVATO che, in base alle risultanze dell’istruttoria, è emerso che la banca non ha dato alcun riscontro all’istanza di accesso presentata in data 6.12.2018 dal reclamante tramite Pec avente per oggetto i “risultati della indagine interna” effettuata dall’Organismo di vigilanza “in relazione alla segnalazione effettuata” dal reclamante e alle “verbalizzazioni delle interviste dei due colleghi presenti e dell’esito di tale accertamento effettuato” in quanto “la richiesta appar[iva] ripetitiva rispetto a quella già evasa nel febbraio 2015 [e per questo] si era ritenuto di trovarsi nella fattispecie di legittimo rifiuto di cui all’art. 12, comma 5 del Regolamento e di non essere neppure tenuti, per quel motivo, ad un ulteriore riscontro formale”;
RITENUTO, inoltre, che in base alla costante giurisprudenza di legittimità, il diritto di accesso “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza […] atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14.12.2018, n. 32533);
RILEVATO che l’art. 5, par. 1, lett. a), del Regolamento enuncia i principi di liceità, correttezza e trasparenza del trattamento dei dati dell’interessato;
RILEVATO che in base all’art. 15 del Regolamento a seguito di un’istanza di accesso presentata dall’interessato “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento” e che “in caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi”;
RILEVATO, altresì, che l’art. 12, par. 3, del Regolamento statuisce che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta stessa” e che il paragrafo 4 del medesimo articolo precisa, inoltre, che “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;
PRESO ATTO, con riguardo alla richiesta del reclamante di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento e/o di conformare i trattamenti alle disposizioni vigenti in materia anche nei confronti del responsabile del trattamento […]”, che la banca, aderendo alle richieste dell’interessato, seppure successivamente alla presentazione del reclamo all’Autorità, ha allegato alla nota del 6 giugno 2019, inviata in copia anche al reclamante, la documentazione richiesta nell’istanza di accesso;
RITENUTO pertanto che, relativamente a tale istanza, considerata pure l’assenza di controdeduzioni del reclamante sul punto, non vi siano i presupposti per l’adozione di provvedimenti da parte dell’Autorità;
RITENUTO infatti che, sebbene si ravvisi una violazione degli artt. 5, par. 1, lett. a), 12, par. 3 e 4, 15 del Regolamento, in relazione alla mancanza di un tempestivo riscontro all’interessato, le richiamate circostanze inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento;
RITENUTO che, in relazione alla richiesta di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento” non vi siano i presupposti per l’adozione di provvedimenti correttivi da parte dell’Autorità;
VISTO che, in base a quanto dichiarato all’Autorità, la banca, allo stato, ha approvato ed adottato documenti interni che “definiscono con maggiore dettaglio gli adempimenti che il personale della banca è tenuto a porre in essere per la corretta e tempestiva gestione delle richieste di esercizio dei diritti”;
RITENUTO, tuttavia che, relativamente al caso in esame occorra ammonire il titolare del trattamento, ai sensi degli artt. 57, par. 1, lett. f), e 58, par. 2, lett. b), del Regolamento, sulla necessità di fornire riscontro ed agevolare l’esercizio dei diritti degli interessati riconosciuti in materia di protezione dei dati personali come sopra rappresentato;
RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
TUTTO CIÒ PREMESSO, IL GARANTE
a. ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta da ChiantiBanca Credito Cooperativo s.c. e descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a), 12, par. 3 e 4, 15 del Regolamento in relazione al mancato riscontro da parte della banca medesima all’istanza di accesso presentata dal reclamante ai sensi dell’art. 15 del Regolamento;
b. ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce ChiantiBanca Credito Cooperativo s.c. sulla necessità di fornire riscontro ed agevolare l’esercizio dei diritti degli interessati riconosciuti in materia di protezione dei dati personali come rappresentato in motivazione;
c. ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 23 aprile 2020
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia
