g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Intesa Sanpaolo S.p.a. - 28 luglio 2022 [9812423]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9812423]

Ordinanza ingiunzione nei confronti di Intesa Sanpaolo S.p.a. - 28 luglio 2022

Registro dei provvedimenti
n. 272 del 28 luglio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dalla Sig.ra XX in data 03/03/2021 ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Intesa Sanpaolo S.p.a.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Con il reclamo presentato a questa Autorità il 03/03/2021, la Sig.ra XX, rappresentata e difesa dal Movimento Difesa del cittadino Friuli V.G., ha lamentato l’illiceità del trattamento di dati personali che la riguardano posto in essere da Intesa Sanpaolo S.p.a. (di seguito, “ISP” o “la banca” o “l’istituto”); in particolare la reclamante, titolare di un conto corrente presso la filiale di Latisana (UD) -  “ex sportello Veneto Banca” - ha rappresentato che un dipendente della filiale medesima avrebbe effettuato accessi alle sue posizioni contabili, non giustificati da esigenze operative, con successivo utilizzo delle stesse ai fini di un procedimento giudiziario.

A seguito dell’invito formulato da questo Ufficio a fornire specifiche osservazioni in ordine a quanto esposto nel reclamo, con nota datata 30/03/2021, Intesa Sanpaolo S.p.a., nel fornire copia “delle rilevate non pertinenti interrogazioni effettuate nel periodo tra il 18 settembre 2018 ed il 29 ottobre 2018” dal dipendente in questione, ha illustrato le diverse tipologie di alert attivate dalla banca in ottemperanza alle prescrizioni contenute nel provvedimento del Garante n. 192 del 12 maggio 2011 per la rilevazione di comportamenti anomali o a rischio relativi alle operazioni di inquiry sui dati personali della clientela (cfr. par. 4.3.1 del citato provvedimento), precisando al contempo che:

1. nel 2018, a seguito della richiesta dell’attuale reclamante, “formulata verbalmente al direttore della filiale di Latisana, di inibire ad uno specifico dipendente di Intesa Sanpaolo, con il quale riferiva di aver avuto frequentazioni di carattere privato, l’accesso a qualsiasi informazione relativa ai propri rapporti con la Banca, la Funzione interna di controllo procedeva alle opportune verifiche sugli accessi ai dati personali della cliente. Tali verifiche facevano emergere interrogazioni di dati personali anche di natura contabile effettuate, nei mesi di settembre/ottobre 2018 in assenza di motivazioni professionali da parte del dipendente citato dalla Sig.ra XX, in contrasto anche con le disposizioni interne. In esito alle risultanze di tali verifiche, la competente Funzione di gestione del personale comminava nel corso dell’anno 2019 al dipendente individuato una sanzione disciplinare ai sensi dell’art. 7 della legge n. 300/1970”;

2. gli alert progressivamente implementati, che “fanno parte della normativa interna messa a disposizione del Personale della banca, operano sulla base di criteri di frequenza in ossequio alle disposizioni della legge 20 maggio 1970, n. 300 e la Funzione Interna di Controllo effettua con periodicità annuale le verifiche previste al punto 4.3.2 del Provvedimento n. 192/2011”; gli stessi sono relativi a:

a) tre specifiche tipologie di operazioni di trattamento effettuate, in assenza di specifiche condizioni, da un qualsiasi operatore della banca:

interrogazioni effettuate tramite l’applicazione “CRIF-GATE SISTEMA RISCHIO CLIENTE” (utilizzata per acquisire informazioni creditizie relative a clienti con finanziamenti in corso o che hanno richiesto un finanziamento);

interrogazioni che hanno a oggetto movimentazioni di carte di credito o di debito;

annullamento di operazioni di bonifico;

b) operazioni di interrogazione effettuate, nel corso di una settimana o del trimestre di riferimento del controllo, da un operatore della filiale online su un medesimo cliente;

c) “accessi a dati ed informazioni personali mediante consultazione degli strumenti di archiviazione documentale effettuati da Personale di filiale tradizionale od online, nel corso del trimestre di riferimento di controllo”;

d) “interrogazioni da parte di utenti di funzioni di Direzione Centrale effettuate su tutti i rapporti attivi nel mese precedente alla data di riferimento del controllo e relative a qualsiasi prodotto legato al rapporto interrogato”;

3. la banca conduce “da anni un’intensa, crescente attività di education nei confronti dei propri dipendenti (specie se addetti alla rete) per una sempre maggiore sensibilizzazione degli stessi – al di là della verifica di alert in caso di interrogazioni anomale o a rischio – sui temi della protezione dei dati personali della clientela”.

Con successiva nota del 25/05/2021, Intesa Sanpaolo, in riscontro a una specifica richiesta di chiarimenti formulata dall’Ufficio il 20/05/2021, ha altresì precisato che il dipendente in questione “all’epoca dei fatti ricopriva l’incarico di “addetto crediti” presso l’Unità Crediti della “Direzione Regionale Veneto, Friuli Venezia Giulia e Trentino Alto Adige, assegnato all’Ufficio Gestione Credito. Le mansioni affidate ai dipendenti con tale qualifica aziendale comportano la “Concessione e gestione di crediti, mutui e finanziamenti, indagini e valutazioni del rischio del credito” come evidenziato nell’allegato estratto dal “Funzionigramma delle Direzioni Regionali della Divisione Banca dei Territori””. 

Il successivo 04/10/2021, a seguito della richiesta di ulteriori elementi integrativi avanzata dall’Ufficio il 17/9/2021, ISP ha fornito copia dei log di accesso ai dati della reclamante “relativi al periodo ricompreso fra il luglio 2019 e dicembre 2020”, precisando che negli stessi “non risulta che la “User matricola” (…) corrispondente al dipendente Signor (…), abbia effettuato interrogazioni sui dati personali della signora XX”.

2. Le valutazioni dell’Ufficio e l’avvio del procedimento.

L’Ufficio, pertanto, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, con comunicazione del 26/01/2022, ha provveduto a notificare a Intesa Sanpaolo l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, in relazione alla violazione dei “principi di integrità e riservatezza” e di “sicurezza del trattamento” di cui agli artt. 5, par. 1, lett. f) e 32, par. 1, lett. b) e par. 2 del Regolamento, nonché del principio della “protezione dei dati fin dalla progettazione” di cui all’art. 25, par. 1 del Regolamento; nell’ambito di questi principi si collocano, in quanto compatibili con il nuovo quadro regolatorio (cfr. art. 22, comma 4 del d.lgs. n. 101/2018), le specifiche prescrizioni di cui al punto 4.3.1 del provvedimento del Garante n. 192 del 12 maggio 2011 “in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” (doc. web n. 1813953) concernenti l’attivazione, da parte degli istituti bancari di specifici alert volti a rilevare intrusioni o accessi anomali e abusivi ai sistemi informativi; l’attivazione di tali alert, già prescritta quale misura necessaria ai sensi dell’art. 154, comma 1, lett. c), del previgente Codice in materia di protezione dei dati personale, deve infatti essere considerata – allo stato - una misura che un titolare del trattamento è tenuto ad adottare in attuazione dei suindicati principi di “integrità e riservatezza” e di “sicurezza del trattamento” nonché di “protezione dei dati fin da dalla progettazione” di cui agli artt. 5, par. 1, lett. f), 32, par. 1, lett. b) e 25, par. 1 del Regolamento. Con il medesimo atto è stata altresì notificata la presunta violazione degli artt. 33 e 34 del Regolamento.

In data 25/02/2022 ISP ha fatto pervenire i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con i quali, nel formulare richiesta di audizione, ha chiesto l’archiviazione del procedimento ovvero in subordine l’emissione di un provvedimento di ammonimento (con relativo oscuramento della denominazione Intesa Sanpaolo S.p.a. “al fine di evitare pregiudizi reputazionali”) sulla base delle considerazioni sotto riportate:

a) “ISP è da sempre impegnato a favorire, nei confronti di tutti i collaboratori, la massima sensibilizzazione possibile con riferimento al generale tema del trattamento e protezione dei dati personali della clientela”. In particolare, “(…), in aggiunta al vasto catalogo formativo "obbligatorio" in merito erogato nei confronti del personale dipendente, periodicamente, nelle pagine intranet a più alta frequenza di visualizzazione e su tre diversi canali di comunicazione, vengono pubblicati specifici messaggi che richiamano quanto previsto nel provvedimento del Garante della Privacy n. 192 del 12 maggio 2011 ("Prescrizioni in tema di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie"), ribadendo l'assoluta necessità di effettuare interrogazioni di dati personali, anche di natura contabile, solo ed unicamente per scopi riconducibili all'attività lavorativa (allegati alla presente, per pronta evidenza, l'esempio dei due più recenti messaggi risalenti al 03.02.2022 ed al 17.12.2021)”;

b) “la portata e la gravità della presunta violazione è estremamente circoscritta”, considerato che:

“le interrogazioni effettuate dal dipendente individuato hanno riguardato i rapporti riconducibili alla Sig.ra XX (oltre ad altri due soggetti alla stessa collegati) e sono state effettuate in 5 giornate (18, 21, 25, 26 settembre 2018 e 29 ottobre 2018)”;

da quanto “riferito dallo stesso dipendente nel corso dei colloqui avvenuti con le competenti strutture di Risorse Umane, all’epoca delle interrogazioni contestate il dipendente era stato in tal senso autorizzato dalla Sig.ra XX, sua compagna, atteso che avevano deciso di intraprendere un progetto immobiliare che prevedeva l’acquisto di un terreno e la successiva costruzione di una unità abitativa. In quel progetto immobiliare, a detta del dipendente interessato, lo stesso aveva già investito somme significative. Solo successivamente il rapporto è deteriorato e si è aperto un contenzioso reciproco”;

“All'epoca dei fatti, erano già presenti specifici alert oggetto di successivo ulteriore affinamento. Anche a fronte, in ogni caso, dell’estensione del perimetro del personale ricompreso nella rilevazione, come implementato nelle più recenti release, alla luce della specifica operatività caratteristica delle figure professionali ("addetto crediti") quali quella ricoperta dal dipendente individuato, non sarebbe stato possibile intercettare le interrogazioni effettuate, in quanto non rappresentative di un potenziale comportamento anomalo in particolare per quella specifica figura professionale”;

nel caso di specie, inoltre, “si trattava di dati acquisiti dal dipendente di ISP che, “all'epoca dei fatti era compagno della reclamante, autorizzato dalla stessa alla consultazione dei propri dati bancari”;

“le competenti strutture di Audit e di Risorse Umane si sono prontamente attivate anche e solo sulla base di una iniziale segnalazione verbale da parte dell'interessata. Le verifiche e gli interventi gestionali posti in essere, hanno consentito di terminare i comportamenti agiti dal dipendente individuato, peraltro sanzionato sotto l'aspetto disciplinare”;

c) le interrogazioni poste in essere dal dipendente “rappresentano accessi ad applicativi del tutto usuali per la figura professionale quale quella ricoperta dal dipendente coinvolto […]. La funzione svolta dal dipendente in esame era infatti quella di valutare il merito creditizio, e per svolgere questa funzione è necessario disporre di molte più informazioni di quanto non sia necessario per una funzione bancaria di altro tipo. Si rendeva pertanto impossibile, per un Istituto bancario che gestisce milioni di accessi, ravvisare un'anomalia negli accessi in questione, o comunque intervenire prima della segnalazione dell'interessata. Tali considerazioni consentono di ritenere che la condotta di Intesa Sanpaolo S.p.A. sia esente dalla colpa, e a maggior ragione dal dolo, che costituiscono i presupposti soggettivi delle sanzioni previste in materia, dovendosi ascrivere ogni responsabilità in via esclusiva alla condotta del dipendente, già sanzionato disciplinarmente”;

d) con riferimento alla prospettata violazione degli artt. 33 e 34 del Regolamento, l’istituto ha sottolineato come “nel caso in esame, al momento in cui lo stesso veniva a conoscenza delle doglianze della Sig.ra XX, non emergeva alcun rischio [per i diritti e la libertà degli interessati], sia perché gli accessi si erano realizzati quando il dipendente era autorizzato dalla Sig.ra XX, sia perché la supposta violazione era ormai cessata dall’'immediata adozione delle misure quivi descritte (cfr. successivo punto 5) e 6)) da parte del titolare del trattamento”. Pertanto, Intesa Sanpaolo S.p.A., sulla base delle valutazioni di seguito riportate, svolte nell'immediatezza dei fatti, non riteneva necessario effettuare la notifica all'Autorità Garante ai sensi dell'articolo 33 del Regolamento, pur avendo effettuato, al suo interno, e in forma orale, la valutazione presupposta dal citato articolo 33”. Ciò in quanto:

- “con l'intervento delle preposte funzioni di Audit, la Banca si era prontamente attivata al fine di verificare l'effettivo fondamento delle richieste della Sig.ra XX, legata, per sua stessa ammissione, da una relazione sentimentale con il dipendente, dalla stessa autorizzato ad accedere alle proprie informazioni bancarie;

- le informazioni in possesso della Banca e fornite dal dipendente interessato con espressa dichiarazione firmata, attestavano che la Sig.ra XX — all’epoca dei fatti — fosse a conoscenza dell’operatività dell’allora compagno e l'avesse autorizzata;

- la successiva e conseguente attività di verifica ed approfondimento posta in essere, effettuata anche con il diretto coinvolgimento del dipendente interessato e l'adozione di un adeguato provvedimento disciplinare ai sensi dell'art. 7 della Legge n. 300/1970, come rilevabile dalle ulteriori verifiche dei log relative a periodi successivi a quello individuato (da 18.09.2018 a 29.10.2018), hanno dimostrato l'efficacia degli interventi correttivi posti in essere, atteso che non sono state rilevate ulteriori interrogazioni sui rapporti della Sig.ra XX da parte del dipendente in questione, sancendo la definitiva interruzione dei comportamenti anomali segnalati”;

e)  per quanto attiene alle misure tecniche e organizzative messe in atto ai sensi degli articoli 25 e 32 del Regolamento e, in particolare, “all'implementazione di idonei alert atti ad individuare comportamenti anomali o a rischio relativi alle operazioni di inquiry eseguite dal Personale”, la banca ha rappresentato che, “in aggiunta a quanto già indicato nella nostra comunicazione del 30 marzo 2021, a partire dalla rilevazione del mese di gennaio 2022, è stato rilasciato un ulteriore potenziamento di tali sistemi di rilevazione (denominato "alert ALL") in grado di intercettare, su base mensile, consultazioni con quantità elevate e concentrate su un Cliente, cogliendo tutte le interrogazioni fatte su ogni applicativo (che traccia accessi a dati bancari) a disposizione degli autorizzati al trattamento dei dati della Banca (quindi, con coinvolgimento del personale della rete commerciale, della Filiale OnLine, della Filiale Remota, dei consulenti finanziari e delle Direzioni Centrali, ad eccezione del personale facente riferimento a strutture di controllo, es. Audit).

La logica dei controlli effettuati dal nuovo sistema di alert consente di evidenziare tutte le Interrogazioni effettuate dal Personale della Banca, sulla base della chiave ID Dipendente/Codice Identificativo Cliente che rispondono, contemporaneamente, a tutte le seguenti condizioni:

siano effettuate su qualsiasi rapporto del Codice Identificativo Cliente interrogato (attivo, chiuso o scaduto);

siano relative a qualsiasi applicativo che contiene dati personali bancari e quindi oggetto di log;

siano effettuate in quantità elevata nell'arco di un mese solare e concentrate sul Codice Identificativo Cliente prevalente rispetto a tutti i Codici Identificativi Cliente interrogati, nel mese, dal Dipendente”.

Quindi, “tenuto conto del complesso delle interrogazioni effettuate dal Personale della Banca, sicuramente rilevante ma necessario per lo svolgimento della normale attività operativa, i controlli sopra descritti mirano, di conseguenza, a identificare come "comportamento anomalo" quello posto in essere dal dipendente che, nel periodo di riferimento (mese solare), effettua non solo un numero apparentemente elevato di interrogazioni ma pone in essere anche altre evidenze comportamentali anomale, ovvero concentra tali interrogazioni (rispetto al complesso di quelle effettuate nel periodo di riferimento) su uno specifico Cliente. Tale implementazione, ci sembra di poter affermare, copre i punti di debolezza che questa spettabile Autorità ha rilevato con riferimento agli alert descritti nella nostra precedente comunicazione (che non riguardavano, appunto, tutti i soggetti Autorizzati al trattamento dalla Banca)”;

f) all’epoca dei fatti, il dipendente in questione svolgeva le mansioni di “addetto crediti”; al riguardo ISP ha sottolineato come la stessa osservanza delle “Disposizioni di vigilanza per le banche” (di cui alla Circolare Banca d’Italia n. 285/2013 e successivi aggiornamenti ed integrazioni) comporti, “per le figure professionali più direttamente coinvolte (quale quella di "addetto crediti"), un numero elevato di interrogazioni, anche concentrate sullo stesso cliente, con conseguente maggiore difficoltà (o impossibilità) di intercettare, nonostante il costante aggiornamento dei sistemi di alert, comportamenti potenzialmente anomali e non allineati alle precise disposizioni interne impartite al Personale della Banca”. D’altra parte, “in coerenza con le previsioni dell'Autorità di Vigilanza” anzi citate, “anche la specifica normativa aziendale prevede, a carico delle figure professionali maggiormente coinvolte nel processo di erogazione del credito, un complesso di attività che non può essere espletato senza effettuare, necessariamente, attraverso l'utilizzo di vari applicativi, un significativo numero di accessi a dati e/o informazioni riferite alla controparte in analisi. […]. Alle considerazioni sopra svolte occorre ulteriormente rilevare che la disciplina normativa in materia di prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, consacrata nel d.lgs. 231 del 21 novembre 2007, obbliga l'intermediario finanziario a predisporre adeguati sistemi di verifica e monitoraggio delle operazioni sospette, tali da richiedere inevitabilmente attività di controllo delle operazioni dei propri clienti […]. Alla luce di quanto sopra rappresentato, a mero titolo di esemplificazione, considerando: - la rilevazione del solo mese di dicembre 2021 della base dati utilizzata per la raccolta dei log […]; - riferita alla Clientela (escluse le persone giuridiche) della Regione Friuli Venezia-Giulia e Regione Veneto, rappresentativa, quindi, di un tessuto socio-economico compatibile con la clientela gestita dal nostro dipendente all’'epoca dei fatti, si evidenzia quanto segue:

- 82 dipendenti "addetti crediti", in qualità di supporto tecnico nell'analisi/gestione delle linee di credito relative alla Clientela delle Regioni sopra specificate, hanno effettuato, attraverso utilizzo di un qualsiasi applicativo che contiene dati personali bancari oggetto di log, almeno una interrogazione di dati/informazioni riferite ad un singolo Cliente;

- gli 82 addetti crediti individuati hanno effettuato, nel periodo di riferimento, una media di 3.045 interrogazioni per addetto;
-    nel periodo di riferimento, gli 82 addetti crediti sopra individuati hanno interrogato dati personali bancari di una media — per difetto - di 130 Clienti;

- rispetto al perimetro di 82 addetti crediti individuato, nel mese di dicembre 2021, oltre il 60% di questi ha tenuto un "comportamento" analogo a quanto effettuato dal dipendente individuato con riferimento ai rapporti della Sig.ra XX. Infatti, tali addetti hanno compiuto interrogazioni su un singolo cliente in una settimana in numero pari o superiore al caso oggetto di attuale analisi”.

Da ciò, secondo la Banca, ne discende che , “nonostante l’'implementazione sopra descritta permetta, quindi, di affinare ulteriormente i sistemi di controllo in grado di rilevare comportamenti potenzialmente anomali, dimostrando lo sforzo nel continuo profuso da Intesa Sanpaolo S.p.A. sul tema, preme evidenziare in totale trasparenza che, in considerazione delle caratteristiche intrinseche, come meglio sopra rappresentato, della "normale" operatività quotidiana di alcune figure professionali

- quali quella di "addetto crediti"   le specifiche interrogazioni effettuate nella vicenda in analisi, non avrebbero potuto, in ogni caso, essere intercettate e rilevate, atteso che una significativa percentuale di operatori appartenenti a tale categoria professionale effettua, abitualmente, un numero superiore di interrogazioni con utilizzo di molteplici applicativi”; si ribadisce peraltro che - come dimostrano le esemplificazioni numeriche sopra riportate -  “in assenza di criteri aggiuntivi rispetto al mero valore assoluto degli inquiry effettuati da un dipendente nei confronti di un cliente, si rischierebbe di evidenziare come potenzialmente "anomale" un volume di interrogazioni talmente ampio da non essere concretamente analizzabile e soprattutto, relativo alla raccolta di dati/informazioni assolutamente giustificata, necessaria e legittima per il corretto espletamento delle mansioni in capo ai Dipendenti della Banca, con particolare e specifico riferimento ad alcune figure professionali, tenuto anche conto delle previsioni normative e di vigilanza relative a tali attività”.

Nella medesima memoria, infine, l’Istituto di credito ha sottolineato come, “a conferma dell’impegno profuso da Intesa Sanpaolo S.p.A., anche sul fronte informatico, finalizzato ad incrementare i segnali di attenzione in presenza di comportamenti, da parte dei propri collaboratori, potenzialmente non allineati con le previsioni del Garante e/o con la normativa interna applicabile, anche alla luce dei rilievi e delle sanzioni comminate con il provvedimento adottato in data 27 maggio 2021, reg. n. 270 (riferita, peraltro, a vicenda avvenuta in periodo temporale successivo a quello di interesse per la vicenda in esame), si evidenzia l'avvio di un ulteriore alert (denominato "NC999") avente a riferimento l'operatività posta in essere dal Personale delle Filiali tradizionali, Filiale Online e Filiale Remota al fine di individuare potenziali comportamenti anomali relativi ad accessi effettuati, mediante apposito applicativo, a dati ed informazioni presenti sui conti correnti e depositi a risparmio. I controlli su questa tipologia di accesso ai dati personali permettono di individuare potenziali comportamenti sospetti nel caso di consultazioni, di per sé giustificate nell'ambito della normale attività aziendale ma quantitativamente rilevanti, ripetute nel tempo e concentrate su alcuni clienti”.

In data 22/03/2022 si è svolta l’audizione richiesta da Intesa Sanpaolo S.p.a. ai sensi dell’art. 166, comma 6, del Codice. Nel corso della stessa, l’istituto di credito, nel riportarsi integralmente a quanto già dichiarato negli scritti difensivi, ha illustrato le funzioni svolte dagli addetti ai crediti anche con l’ausilio di un documento esplicativo allegato al verbale di audizione.

In particolare, è stato ulteriormente evidenziato che “gli “addetti ai crediti, per le loro competenze specifiche, sono tenuti a visionare un range di informazioni molto vasto e di difficile predeterminazione” e che “il numero di interrogazioni effettuate nel caso qui esaminato è solo “apparentemente spropositato” in quanto il sistema è costruito in modo tale che una sola interrogazione implichi la registrazione di decine di accessi (ad esempio il semplice scrollo di una pagina risulta come un accesso)”.

Si tratta di un “ruolo caratterizzato da una elevata trasversalità, che comporta necessariamente un’attività di consultazione delle informazioni della clientela ripetuta nel tempo e che si sostanzia in interrogazioni effettuate su oltre trenta procedure (Centrale rischi, Eurisk, camerale, mople, ecc.) […] tanto che, prendendo a riferimento il mese di dicembre 2021, gli 82 addetti al credito attualmente operativi nelle regioni Veneto e Friuli Venezia Giulia hanno effettuato, ciascuno, circa 3000 consultazioni e il 60% degli stessi ha tenuto comportamenti analoghi al caso oggetto delle doglianze della reclamante”.

La Banca ha quindi ribadito di avere comunque provveduto, nel tempo, a diverse implementazioni dei sistemi di alert di cui al provvedimento del Garante n. 192/2011 e che recentemente, a seguito del provvedimento con cui l’Autorità ha deciso un caso analogo a quello qui analizzato e riferito a fatti successivi a quelli ora in esame, è stato introdotto un nuovo efficiente meccanismo denominato “Catch all” il quale peraltro non sarebbe stato comunque in grado di intercettare il caso di specie proprio in ragione della doverosità e dell’ordinarietà delle inquiry effettuate.

Nel corso dell’audizione, infine, la Banca ha precisato che la valutazione di cui all’art. 33, par. 1 del Regolamento, ovvero quella relativa alla probabilità che la violazione ei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, è stata effettata solo informalmente e che non si è provveduto ad alcuna documentazione della violazione dei dati personali come previsto dall’art. 33, par. 5.

Al riguardo è stato rappresentato che di recente è stato implementato uno strumento elettronico di valutazione della gravità dei data breach che comporta anche il tracciamento delle valutazioni effettuate.

3. L’esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese dal titolare del trattamento nel corso del procedimento (della cui veridicità l’autore risponde ai sensi e per gli effetti di cui all’art. 168 del Codice), nonché della documentazione acquisita agli atti, questa Autorità formula le seguenti considerazioni.

Risulta accertato che, nel caso in esame, Intesa Sanpaolo S.p.a. - precedentemente alla presentazione del reclamo a questa Autorità e a seguito della richiesta formulata dall’interessata di inibire ad uno specifico dipendente l’accesso a qualsiasi informazione relativa ai propri rapporti bancari - all’esito di verifiche condotte dalla Funzione Interna di controllo, avesse accertato il non corretto trattamento di dati personali della reclamante posto in essere dal dipendente in questione; quest’ultimo infatti nel periodo compreso tra il 18 settembre 2018 e il 29 ottobre 2018, avvalendosi delle abilitazioni informatiche necessarie per lo svolgimento delle proprie mansioni aveva effettuato accessi ai dati bancari della reclamante in assenza di motivazioni professionali; per tale ragione il dipendente medesimo è stato sottoposto a procedimento disciplinare e “nel corso del 2019” e gli è stata applicata una sanzione, ai sensi dell’art. 7 della legge n. 300/1970.

Dall’analisi tecnica della documentazione acquisita agli atti del procedimento (alert attivati e log degli accessi eseguiti dal dipendente), è emerso inoltre che:

a) all’epoca dei fatti oggetto del reclamo, gli alert attivati dall’istituto di credito operavano esclusivamente su alcune specifiche tipologie di operazioni, ovvero sulle operazioni di interrogazione effettuate da una particolare categoria di soggetti autorizzati al trattamento. In particolare, gli alert sopra descritti (v. par. 1, punto 2), b)) erano volti a rilevare esclusivamente i comportamenti anomali o a rischio assunti dagli operatori della filiale online, mentre quelli di cui al par. 1, punto 2), lett. c) riguardano esclusivamente i comportamenti anomali o a rischio assunti dagli operatori della filiale online o tradizionale;

b) nella settimana del 18 settembre 2018 il dipendente ha effettuato numerosi accessi ai dati bancari della reclamante (34 accessi), alcuni dei quali concernenti operazioni risalenti nel tempo (2004 e 2017) e, presumibilmente, non disponibili in linea e accessibili quindi mediante strumenti di archiviazione documentale; risultano inoltre due accessi alla centrale rischi che non avrebbero dovuto generare un alert, solo in presenza delle condizioni indicate dall’Istituto; 

c) gli accessi anzidetti, benché numerosi, rispetto a un ristretto arco temporale e relativi anche ad operazioni risalenti, non hanno invece generato alcun alert; ciò è avvenuto per le ragioni rappresentate alla lett. a); in particolare, la Banca aveva predisposto la rilevazione dei comportamenti anomali esclusivamente nei confronti del personale operante presso la filiale on line o, nel caso di consultazione degli strumenti di archiviazione documentale, del solo personale operante presso la filiale on line e tradizionale, sebbene, evidentemente, numerose funzioni aziendali possano accedere, per l’espletamento della propria attività lavorativa, ai dati personali e bancari della clientela.

Da quanto sopra esposto risulta quindi che, all’epoca dei fatti oggetto del presente reclamo, ISP non aveva adeguatamente implementato alert idonei a rilevare, in modo compiuto, comportamenti anomali o a rischio relativi alle operazioni di inquiry eseguite dal personale che, a diverso titolo, può accedere ai dati personali della clientela.

La mancata adozione di tali alert, prescritti dal citato provvedimento n. 192 del 12 maggio 2011 (cfr. punto 4.3.1 e punto 1), lett. d), punto i) del dispositivo) configura, per quanto sopra espresso (v. par. 2), violazione del “principio di integrità e riservatezza” e della “sicurezza del trattamento” di cui agli artt. 5, par. 1, lett. f) e 32, par. 1 e 2 del Regolamento, nonché del principio della “protezione dei dati fin dalla progettazione” di cui all’art. 25, par. 1 del Regolamento.

Al riguardo si rileva che le violazioni anzidette hanno già formato oggetto di valutazione, anche sotto il profilo sanzionatorio, da parte di questa Autorità che, con riferimento a una fattispecie analoga concernente fatti accaduti in un momento temporale successivo a quelli qui esaminati, nell’esercizio dei poteri di cui all’art. 58, par. 2 del Regolamento, ha infatti adottato un provvedimento correttivo e sanzionatorio nei confronti di Intesa Sanpaolo S.p.a. (cfr. provv. n. 270 del 27/05/2021 doc. web 9718112).

Sotto questo profilo quindi, pur riconfermando la valutazione negativa dell’Autorità nei confronti delle misure al tempo adottate dalla Banca, non si ritiene di esercitare al riguardo i poteri correttivi previsti dall’art. 58, atteso peraltro che ISP ha dato atto, con nota del 12/11/2021 - e successiva integrazione – nonché nell’ambito degli scritti difensivi inviati in relazione al presente procedimento, di avere adeguatamente provveduto a implementare il sistema degli alert.

Con riferimento invece alla contestata violazione degli artt. 33 e 34 del Regolamento, risulta accertato che la Banca, nel momento in cui ha appreso che il dipendente in questione aveva effettuato accessi illeciti alle posizioni contabili della reclamante (su segnalazione di quest’ultima) ha avviato le verifiche e posto in essere interventi gestionali tali da determinare l’interruzione della condotta illecita del dipendente che, peraltro, è stato sanzionato sotto l’aspetto disciplinare. In questo ambito non ha ritenuto di effettuare una comunicazione all’interessata dell’accertata violazione ai sensi dell’art. 34 del Regolamento, in quanto la stessa era già a conoscenza della violazione tanto da avere richiesto all’Istituto di credito di inibire al dipendente l’accesso alle sue posizioni contabili.

Al riguardo occorre rilevare che l’art. 33, par. 1 del Regolamento lascia al titolare del trattamento la valutazione circa la probabilità che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Al riguardo si condivide la valutazione effettuata dalla Banca.

Anche quando, in relazione al caso specifico, il titolare del trattamento ritenga di non procedere a notificare la violazione all’autorità di controllo competente, lo stesso è tuttavia tenuto a documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati e a tenere questa documentazione a disposizione dell’autorità competente al fine di consentire la verifica del rispetto delle procedure, in conformità al principio di accountability previsto dall’art. 5, par. 2 e dall’art. 24 del Regolamento.

Nel caso di specie, dagli accertamenti è emerso invece che la Banca non ha provveduto, essendovi tenuta, a documentare la violazione dei dati personali relativi alla reclamante in conformità a quanto previsto dall’art. 35, par. 5 del Regolamento.

4. Conclusioni: illiceità dei trattamenti effettuati.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi - della cui veridicità si può essere chiamati a rispondere ai sensi del citato art. 168 del Codice - non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Considerato infatti che il titolare del trattamento, già responsabile di una violazione attinente alla medesima tipologia di trattamento e destinatario del provvedimento correttivo e sanzionatorio dell’Autorità n. 270/2021 sopra citato, nel corso del 2021 ha ottemperato all’ordine ivi contenuto, implementando i sistemi di alert atti ad individuare comportamenti anomali o a rischio relativi alle operazioni di inquiry eseguite dal personale della banca e sensibilizzando gli stessi al rispetto delle istruzioni loro impartite, anche ulteriormente potenziando i sistemi medesimi nei primi mesi del 2022, si ritiene non ricorrano i presupposti per l’adozione, al riguardo, di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4 e 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito alla reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

a) con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione, che ha riguardato i princìpi generali di liceità nel trattamento dei dati personali nonché la circostanza che il titolare ha avuto contezza della violazione solo a seguito della segnalazione dell’interessata;

b) la Banca, non appena avuta contezza della violazione, ha immediatamente provveduto a inibire l’accesso del dipendente ai dati contabili della reclamante ma ha omesso di documentare l’avvenuta violazione nei modi indicati dall’art. 35, par. 5 del Regolamento;

c) l’Istituto di credito è stato recentemente destinatario del provvedimento correttivo sopra citato in relazione all’accertamento, da parte dell’Autorità e a seguito di un reclamo presentato da un’interessata, di un’analoga violazione da parte di un dipendente (nel caso di specie, come nella fattispecie già esaminata, si trattava di soggetti legati da un rapporto coniugale o di convivenza con il/la reclamante). Il ripetersi di queste violazioni mette in evidenza la necessità di un supplemento di riflessione, da parte del titolare del trattamento, rispetto all’adeguatezza delle procedure volte a verificare il corretto assolvimento delle istruzioni da parte delle persone designate al trattamento dei dati;

d) la circostanza che l’Istituto di credito ha cooperato attivamente con l’Autorità nel corso del procedimento, illustrando dettagliatamente l’efficacia dei sistemi di alert adottati e segnalandone, d’altra parte, i relativi limiti in considerazione delle caratteristiche intrinseche della normale operatività quotidiana di alcune figure professionali;

e) la circostanza che i dati personali interessati dalla violazione sono dati bancari, quindi dati di particolare delicatezza seppure non appartenenti alla tipologia di dati cd. particolari di cui all’art. 9 del Regolamento;

f) con riferimento ad eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso concreto (art. 83, par. 2, lett. k)), è stato considerato quale elemento attenuante la circostanza che la violazione accertata ha riguardato un singolo cliente.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 100.000 (centomila) per la violazione degli artt. 5, par. 1, lett. f), 32, par. 1, lett. b), 25, par. 1 e 33, par. 5 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. f), 32, par. 1, lett. b), 25, par. 1 e 33, par. 5 del Regolamento.

ORDINA

a Intesa Sanpaolo S.p.a., con sede in Torino, Corso Inghilterra 3, P.I. 01111200505, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 100.000 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Intesa Sanpaolo S.p.a. di pagare la somma di euro 100.000 (centomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 luglio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei