Intesa San Paolo comunica al padre i movimenti bancari della figlia maggiorenne: sanzione di 100.000,00 Euro

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Intesa San Paolo comunica al padre i movimenti bancari della figlia maggiorenne: sanzione di 100.000,00 Euro

Messaggio da Giancarlo Favero »

Eh si, quando un figlio (in questo caso una figlia) diventa maggiorenne... diventa maggiorenne!!!! E quindi il padre, non esercitando più la facoltà parentale/genitoriale, diventa a tutti gli effetti un "terzo estraneo", anche e soprattutto per quanto riguarda la comunicazione dei dati personali.

La vicenda coinvolge un addetto di Intesa San Paolo, che ha comunicato al padre l'elenco dei movimenti bancari della figlia, che però nel frattempo era divenatata maggiorenne. Quindi a tutti gli effetti la banca ha comunicato i moviemnti bancari della figlia ad un soggetto terzo, estraneo, al quale non avrebbe dovuto comunicarli. Ergo, la banca ha compiuto un illecito trattamento (un queso caso una illecita comunicazione) di dati personali.

La figlia si è rivolta al Garante per la protezione dei dati personali, e come conseguenza il Garante ha sanzionato Intesa San Paolo con una multa di 100.000,00 Euro, che anche per Intesa San Paolo non sono poi due bruscolini!

Quelli di Intesa San Paolo sono comunque recidivi, perché già a marzo del 2021 avevano ricevuto una multa di 200.000,00 Euro:

https://www.garanteprivacy.it/web/guest ... eb/9718112

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9784626

Grazie e buona lettura,

Giancarlo Favero

Ordinanza ingiunzione nei confronti di Intesa Sanpaolo S.p.A. - 26 maggio 2022

Registro dei provvedimenti
n. 202 del 26 maggio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dalla sig.ra XX in data 06/07/2020 ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Intesa Sanpaolo S.p.A.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Con il reclamo presentato a questa Autorità in data 06/07/2020, la sig.ra XX tramite il proprio legale Avv. XX, lamentava l’illiceità del trattamento dei dati personali che la riguardano posto in essere da Intesa Sanpaolo S.p.A. –filiale di Bari-, consistente nella indebita comunicazione a terzi non autorizzati (nella fattispecie al proprio genitore) di dati riferiti ai rapporti bancari intrattenuti dalla stessa con l’istituto di credito.

Tali dati venivano prodotti in un giudizio pendente dinanzi al Tribunale di Bari con la dicitura “ad uso interno”.

Con la nota del 27/11/2020 (prot. n. 45200), l’Ufficio invitava la Banca a fornire informazioni e chiarimenti in merito a quanto rappresentato nel reclamo.

La Banca, con nota dell’11/12/2020, comunicava di aver effettuato accertamenti all’esito dei quali era risultato che:

- “un dipendente della Filiale aveva dato positivo seguito alla richiesta di copia della movimentazione del conto formulata per le vie brevi dal signor XX, in precedenza facoltizzato ad operare sul rapporto in qualità di esercente la potestà parentale (genitore) fino al raggiungimento della maggiore età dell’interessata”;

- “La conoscenza personale del signor XX, peraltro appartenente al Personale in quiescenza della Banca, aveva indotto in buona fede il dipendente a considerare ancora facoltizzato il signor XX ad accedere ai dati di natura contabile della figlia, senza una puntuale verifica dell’attualità di tale facoltà”.

L’Ufficio, pertanto, provvedeva a notificare alla Banca l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 5, par. 1, lett. a) e f), e 6 del Regolamento (prot. n. 1624 del 12/01/2021).

La Banca, in data 09/02/2021, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui ribadiva che:

- “il non corretto comportamento dell’Operatore di Filiale [è] avvenuto in buona fede, quale conseguenza della consolidata e protratta nel tempo operatività dell’esercente la potestà parentale nell’interesse della signora XX, che lo ha erroneamente indotto a non verificare (…) il permanere della facoltà del genitore di accedere ai dati (…)”;

- “La conoscenza personale del signor XX, peraltro appartenente al Personale in quiescenza della Banca, aveva indotto in buona fede il dipendente a considerare ancora facoltizzato il signor XX ad accedere ai dati di natura contabile della figlia, senza una puntuale verifica dell’attualità di tale facoltà”;

- “la Banca, per promuovere e far interiorizzare i basilari principi per il corretto trattamento e la protezione dei dati personali, richiede ai propri collaboratori di seguire obbligatoriamente un piano di formazione in materia di Data Protection (…).

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Banca, tramite un proprio dipendente, ha effettuato un accesso ai dati bancari della reclamante comunicandoli a un terzo non autorizzato, in assenza del consenso o di un altro presupposto di legittimità. Pertanto, il trattamento in questione, risulta illecito in quanto posto in essere in violazione dei principi generali in materia di protezione dei dati personali, di cui agli artt. 5, par. 1, lett. a) e f), e 6 del Regolamento.

Contrariamente a quanto argomentato, inoltre, si ritiene non applicabile al caso di specie l’esimente della buona fede, che, in base a un costante orientamento giurisprudenziale (v. Cass. civ. sez. II, 17/12/2019 n. 33441; Cassazione civile sez. VI, 13/05/2019, n.12629) rileva come causa di esclusione della responsabilità, solo quando esso risulti inevitabile, occorrendo a tal proposito la sussistenza di elementi positivi, estranei all’autore dell’infrazione, idonei ad ingenerare in lui la convinzione della liceità della sua condotta e, soprattutto, che l’autore dell’infrazione abbia fatto tutto il possibile per osservare la legge, cosicché nessun rimprovero possa essergli mosso, neppure sotto il profilo della negligenza omissiva.

3. Conclusioni: illiceità dei trattamenti effettuati.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali in materia di trattamento di dati personali;

-la Banca è stata recentemente destinataria di un provvedimento correttivo (n. 270 adottato dall’Autorità in data 27/05/2021, doc. web 9718112) in relazione all’accertamento, da parte dell’Autorità e a seguito di un reclamo presentato da un’interessata, di un’analoga violazione da parte del proprio personale. Tale circostanza mette in evidenza la necessità di un supplemento di attenzione, da parte del titolare del trattamento, rispetto al corretto assolvimento delle istruzioni da parte delle persone autorizzate al trattamento dei dati, in particolare quando, come nel caso di specie e in quello oggetto del precedente provvedimento sopra citato, le richieste di accesso ai dati provengono da personale che ha prestato (o presta tuttora) servizio presso la Banca;

- nel procedimento, riguardante avente comunque carattere episodico e isolato, la Banca non ha adeguatamente comprovato, nel rispetto del principio di responsabilizzazione (accountability) previsto degli artt. 5, par. 2 e 24 del Regolamento, di aver adottato o anche solo avviato un’adeguata riflessione riguardo alle istruzioni fornite al personale in ordine alle richieste di accesso ai dati bancari, limitandosi a richiamare le attività formative genericamente erogate;

- la natura dei dati trattati che, pur non rientrando nella tipologia di dati cd. particolari di cui all’art. 9 del Regolamento, deve considerarsi comunque di particolare delicatezza.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2020.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 100.000,00 (centomila) per la violazione degli artt. 5, par. 1, lett. a) e f) e 6 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e f) e 6 del Regolamento;

ORDINA

a Intesa Sanpaolo S.p.A, in persona del legale rappresentante pro-tempore, con sede legale in Torino, Piazza San Carlo, 156, P.I. 11991500015, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 100.000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Banca di pagare la somma di euro 100.000,00 (centomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi

Rispondi