Il Garante privacy nella nota del 26 maggio 2023 dice no alla limitazione del diritto di accesso ai dati, a maggior ragione se si tratta di informazioni di pubblico dominio apprese da ritagli di giornali, comunicati stampa e altre fonti note a tutti.
Capiamone il perché.
Indice degli argomenti
Diritto all’accesso ai propri dati sempre (o quasi)
Il diritto all’accesso ai propri dati personali deve essere quasi sempre consentito. A stabilirlo è il Garante della privacy con due provvedimenti resi noti recentemente nella nota su citata.
Il principio di diritto è semplice e di per sé banale: non è legittima una limitazione al diritto di accesso ai dati, specie se tali dati sono (stati resi) pubblici.
Il contesto in cui la nostra Autorità si è pronunciata, volendo scendere più nel dettaglio, si evince da due provvedimenti dello scorso 13 aprile 2023 (e rispettivamente il doc. web n. 9888438 e il doc. web n. 9888457) differenti in termini di vicenda fattuale, ma sostanzialmente identici nelle argomentazioni giuridiche, giungendo alla stessa conclusione. Il settore di riferimento è quello bancario e, nello specifico di compliance privacy/antiriciclaggio (D.lgs 231/2007). L’Autorità ha affermato a chiare lettere che il diritto di accesso non può essere limitato.
Nel merito delle due vicende come vedremo dopo, i relativi clienti/reclamanti lamentavano di non essere riusciti ad ottenere un completo riscontro alle richieste di accesso ai propri dati personali, sulla base di una valutazione insindacabile delle banche invocando la normativa in materia di antiriciclaggio.
Da qui, l’applicazione della misura di limitazione del diritto in questione (di accesso).
Il Garante, tuttavia, per le motivazioni che scandaglieremo dopo, ammonisce le banche affermando che le stesse avrebbero comunque dovuto concederlo, facendo un ragionamento peraltro condivisibile; non avendolo fatto, per l’effetto, hanno commesso un trattamento di dati illecito.
Antiriciclaggio e privacy: i due provvedimenti del Garante
Vediamo ora più nel dettaglio i due provvedimenti, entrambi del 13 aprile 2023 come anticipato, emessi nei confronti di due differenti istituti di credito (BPM e BPER) analizzando per ciascuno: fatti, difese, istruttoria con relativo esito, e conclusioni.
Il provvedimento nei confronti di Banco BPM: i fatti
Un correntista da anni del Banco BMP, nel giugno 2020, faceva richiesta di una carta di credito. La banca, as usual, la rilasciava, ma a distanza di un mese (dal rilascio) gliela richiedeva indietro, poiché venuta a conoscenza di circostanze “…che avrebbero avuto come conseguenza l’interruzione dei rapporti in essere”. Al che il cliente chiedeva ulteriori spiegazioni su tale ripensamento.
La banca gli rispondeva adducendo a motivo del diniego postumo e conseguente ritiro in concreto solamente una frase del tenore: per “… insindacabili valutazioni di natura commerciale”.
In realtà, nel merito della vicenda, intenso e articolato fu lo scambio tra le parti tant’è che “nel corso di colloqui con il personale della Banca, l’interessato veniva a conoscenza che si trattava di una “problematica ad altissimo rischio […] emersa a seguito di un fatto che era successo qualche anno fa” e di cui l’Ufficio Controlli della Banca era venuto a conoscenza da notizie di stampa […] “rilevanti ai fini dell’affidamento”.
La banca si difendeva asserendo che si trattasse di altri dati o, meglio, come si legge espressamente nel provvedimento, di “…dati sensibili che non vengono comunicati al cliente […], di informazioni acquisite dalla banca che la stessa non è tenuta a comunicare”.
Seguiva allora una seconda richiesta da parte del cliente di accesso (privacy) ai dati, ex art. 15 GDPR. A quel punto, la banca evadeva la richiesta comunicando sì i dati anagrafici del cliente, quelli relativi alla sua attività professionale e ai rapporti in essere con la Banca, ma non anche “… i dati particolari che i […] funzionari […], avevano dichiarato essere in possesso della Banca e in base ai quali […] aveva assunto la decisione di revocare la carta di credito”.
A quel punto, il cliente presentava nel gennaio 2021 un reclamo al Garante lamentando un’illegittima o quanto meno immotivata limitazione del diritto di accesso di dati che lo riguardavano.
La difesa della banca
La banca sostanzialmente si difendeva avanzando la tutela in materia di antiriciclaggio dichiarando (in riscontro ai chiarimenti richiesti dall’Autorità) di essersi avvalsa “tra gli altri, dei servizi delle banche dati gestite dal provider SGR COMPLIANCE SA e, nello specifico, della banca dati SGR DAILY CONTROL. Tale banca dati è utilizzata da numerosi soggetti obbligati ex D.Lgs. 231/07 per adempiere agli obblighi normativi che impongono il monitoraggio continuo della clientela per finalità connesse alla prevenzione dei crimini finanziari legati al riciclaggio di denaro e al terrorismo. Il database attinge dati e notizie da fonti pubbliche ritenute affidabili”.
In pratica, sfruttando il matching positivo delle nozioni reperite, l’esito di ciò aveva inciso direttamente e in modo automatico “sul profilo di rischio antiriciclaggio del Cliente ex D.Lgs. 231/07, necessario per attivare e mantenere i rafforzamenti di presidio imposti, in primis, dallo stesso D.Lgs. 231/07”.
L’avvio del procedimento da parte dell’Ufficio del Garante
A metà febbraio 2022, l’ufficio del Garante notificava l’avvio del procedimento nei confronti della banca rilevando che la stessa avesse fornito “un riscontro incompleto alle richieste avanzate dall’interessato ai sensi dell’art. 15 del Regolamento, non informandolo adeguatamente dei motivi per i quali non intendeva ottemperare alla richiesta di accesso ai dati in funzione dei quali la stessa aveva proceduto a revocare la carta di credito richiesta dal cliente”.
Seguiva il naturale iter procedurale, con quanto per conseguenza.
La dichiarazione di illiceità del trattamento e la sanzione
Dalle indagini svolte è emerso come la banca non abbia affatto e di fatto fornito un riscontro completo all’istanza di esercizio dei diritti dal cliente presentata, con la mera motivazione di “… preservare la riservatezza dell’utilizzo delle informazioni oggetto di valutazione ai fini antiriciclaggio”.
In altre parole, la banca ha mancato di bilanciare tale scelta, proporzionandola al caso concreto limitando per conseguenza un diritto fondamentale in maniera del tutto illegittima, anzi illecita.
Da qui, infatti le conclusioni con una palese declaratoria di illiceità del trattamento
Circa la sanzione da applicare, il Garante ha affermato che “con riferimento all’elemento soggettivo del trasgressore, occorre tenere presente che il profilo della limitazione dei diritti degli interessati in relazione alle operazioni sospette, nell’ambito della normativa antiriciclaggio è caratterizzato da un’elevata complessità del quadro giuridico di riferimento”.
Al riguardo, l’Autorità argomenta che la materia soggiace alle implicazioni di diverse normative e cioè quella di settore che prevede espressamente “il divieto ai soggetti tenuti alla segnalazione delle operazioni sospette, di dare comunicazione al cliente interessato o a terzi dell’avvenuta segnalazione (art. 39 del d.lgs. n. 231/2007)”, quella in materia di protezione dei dati personali (artt. 23 del Regolamento e. 2-undecies del Codice), nonché dalle Linee guida 10/2020 a mente delle quali “le restrizioni sono lecite solo in quanto configurino una misura necessaria e proporzionata in relazione all’interesse generale perseguito”.
Tale quadro se non frammentario senz’altro variegato può, scrive il Garante, “…comportare un’incertezza interpretativa e applicativa delle norme da parte degli operatori di settore”.
Dal punto di vista sanzionatorio, visto il comportamento collaborativo della banca, considerate le azioni correttive implementate, l’Autorità ha ritenuto opportuno ammonire, nella ragionevole fiducia che la stessa abbia compreso il principio di diritto da attuare e rispettare in futuro.
Provvedimento nei confronti di Banco Bper: i fatti
Analogamente, un altro storico correntista presso altro istituto di credito, la BPER Banca dopo aver fatto una richiesta di prestito, veniva contattato dal personale della filiale suggerendogli “…di non procedere nella richiesta di prestito poiché la stessa sarebbe stata presumibilmente rifiutata dalla Banca, ciò a motivo che la Banca […], era in possesso di dati relativi […al cliente], aventi connotazione “negativa” poiché qualificanti lo stesso quale soggetto a rischio di riciclaggio”.
Ad una comunicazione del genere, il cliente/interessato chiedeva alla Banca un accesso ai propri dati, ai sensi dell’art. 15 del GDPR.
La banca, tuttavia, non dava un completo riscontro, limitandosi a comunicargli i dati anagrafici e i rapporti bancari, senza alcun riferimento a quelle ulteriori informazioni che, effettivamente gli interessavano, “aventi connotazione negativa”, con l’effetto di vedersi inibite alcune operazioni bancarie, e poi perché il suo conto risultava bloccato per la presenza di alcuni alert, come si legge nel provvedimento.
La difesa della banca e l’attività istruttoria
La banca in questione si difendeva appellandosi all’art. 2 undecies comma 3 dell’attuale codice privacy ritenendo che dall’esercizio del diritto di accesso potesse derivare un pregiudizio concreto ed effettivo agli interessi tutelati in base alle disposizioni in materia di riciclaggio (lett a). Di conseguenza, limitava discrezionalmente tale diritto, negando i dati/le comunicazioni al cliente.
La banca adduceva nel merito, tra gli altri, come si ha modo di leggere nel provvedimento “di avere ritenuto necessario applicare inizialmente il principio di limitazione e, successivamente, quello di esclusione “conformemente a quanto previsto dagli artt. 23 del Regolamento e 2-undecies del Codice per effetto della lettura combinata degli artt. 35 e 39 del d.lgs. n. 231/2007”; in particolare, l’applicazione del principio di limitazione ha tenuto conto della ratio complessiva della normativa antiriciclaggio che mira a scongiurare il pericolo che “il soggetto cui è riferita l’operazione”, venga informato della presenza a suo carico di indici di anomalia e modifichi il suo comportamento “vanificando di fatto la possibilità che i fatti di riciclaggio siano scoperti”; e che le valutazioni negative di un cliente, ricavate, ad esempio, dai media, sono “oggetto di una valutazione interna che conduce all’attribuzione di “punteggi” in merito al profilo di rischio di riciclaggio”.
Detto altrimenti, secondo la tesi della banca, qualunque istituto bancario potrebbe in teoria, per motivi di riservatezza quale espressione “dell’autonoma valutazione del rischio di riciclaggio associato a ciascun cliente”, decidere in maniera arbitraria e discrezionale di comprimere o limitare un diritto fondamentale come l’accesso, per il solo fatto di un “sospetto” alla base dell’attività di segnalazione (artt. 35 e 39. del D. Lgs. 231/2007).
Ma niente affatto, il Garante dissente e ammonisce “sentenziando” che la banca non ha fornito un “completo riscontro” sulla base di un possibile (o forse probabile) pregiudizio effettivo agli interessi tutelati dalle disposizioni in materia di antiriciclaggio” e quindi è venuta meno a un principio di diritto che non avrebbe dovuto, invece, disattendere.
Dichiarazione di illiceità del trattamento e ammonimento
Anche in questo caso, il Garante giunge alle stesse conclusioni sopra citate con riferimento al caso del Banco BPM, accogliendo nella forma e sostanza il reclamo del cliente e, conseguentemente – lo ripetiamo – ammonisce la banca in questione (PBER) nella speranza che comportamenti analoghi in futuro non siano più ripetuti.
Antiriciclaggio e privacy: passaggi salienti dei provvedimenti
Il Garante in entrambi i provvedimenti ricostruisce, più o meno nella stessa misura il quadro normativo in tema di limitazioni ai diritti dell’interessato.
Partendo dalla Carta fondamentale dei diritti dell’UE agli art. 7 e 8, sul rispetto della vita privata e familiare e la protezione dei dati di carattere personale, sottolineando come all’art. 8 è chiaro che “Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”, per giungere all’art. 53 della stessa Carta che prevede la possibilità di limitare tali diritti purché siano rispettati i criteri (in essa stabiliti) nell’applicare dette limitazioni.
Il punto centrale è che eventuali limitazioni (all’esercizio di un diritto, in questo caso di accesso) devono essere stabilite solo dalla legge e soggiacere al principio di proporzionalità.
Lo stesso GDPR all’art. 23 prevede eventuali limitazioni ai diritti “…nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi” (ex artt. 12 – 22).
Ancora, come si legge chiaramente nel provvedimento, “l’applicazione della limitazione deve, inoltre, rispondere ai principi di necessità e proporzionalità, in ragione dei quali il diritto dell’interessato a ricevere le informazioni che lo riguardano non può essere eliminato, ma eventualmente rimandato ad un momento successivo”.
La gradualità è quindi un criterio essenziale.
Le limitazioni: i richiami ai principi delle Linee guida EDPB
Sull’art. 23 del GDPR si soffermano approfonditamente le Linee Guida (n. 10/2020).
In buona sostanza, perché le limitazioni all’esercizio di diritti fondamentali come quello di accesso, siano legittime occorrono alcuni requisiti, tra cui che ci sia una proporzionalità affinché le restrizioni siano limitate a quanto strettamente necessario,
Ecco perché l’Autorità riferisce (nel secondo provvedimento su analizzato) che “possono ritenersi legittime solo qualora, dall’esercizio dei diritti degli interessati che si intendono circoscrivere, possa derivare un “pregiudizio effettivo e concreto” agli “interessi tutelati in base alle disposizioni in materia di riciclaggio”, senza, tuttavia, comprimerli in modo eccedente rispetto alle reali necessità perseguite”.
Il nesso di causa tra le limitazioni previste e l’obiettivo perseguito, come evidenziano bene le Linee guida (EDPB), deve evidenziare che un’eventuale limitazione può trovare applicazione, nella misura in cui occorra salvaguardare “la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla sicurezza pubblica”.
In ogni caso, eventuali limitazioni a certi diritti, come quello qui in disamina, dovrebbe essere indicato nell’informativa unitamente all’indicazione del periodo di tempo entro il quale i diritti saranno pienamente ripristinati, se e ove possibile.
Da qui la ragionevole conseguenza logica secondo la quale la limitazione di un diritto diviene una misura ragionevole e concreta applicazione solo in una situazione eccezionale purché idonea al conseguimento degli obiettivi legittimi perseguiti dalla normativa.
Le limitazioni, in concreto: i criteri da seguire
In concreto, l’applicazione di una legittima limitazione deve seguire alcuni criteri, tra cui una:
- valutazione caso per caso;
- rispondenza ai principi di necessità e proporzionalità, in ragione dei quali, come scrive sapientemente il Garante, “il diritto dell’interessato a ricevere le informazioni che lo riguardano non può essere eliminato, ma eventualmente rimandato ad un momento successivo” conformemente a quanto stabilito da una lettura coordinata di tutte le norme che compongono un quadro normativo abbastanza complesso, come visto;
- gradualità dal momento che è possibile: “ritardare, limitare e, in ultima istanza, escludere l’esercizio dei diritti degli interessati”.
Il tutto va poi cautamente bilanciato onde garantire, come scrive nel provvedimento PBER “un’applicazione proporzionata della limitazione, così da limitare la stessa al periodo di tempo effettivamente necessario a salvaguardare gli interessi generali che potrebbero essere compromessi dalla comunicazione all’interessato”.
Antiriciclaggio e privacy, due diritti con pari “dignità”
A questo punto, traiamo le conclusioni.
Si tratta di due diritti quello in materia di antiriciclaggio e privacy che, letti con la lente dei due provvedimenti sopra analizzati ma non solo, hanno e devono avere pari dignità, nel senso che l’uno non deve comprimere l’altro.
Nella fattispecie, la banca se da un lato è chiamata ad attenersi scrupolosamente alla normativa in materia di antiriciclaggio, dall’altro non di meno deve farlo con riferimento alla privacy/data protection.
Non solo, dai provvedimenti analizzati emerge chiaramente come non esista una regola generale ed astratta se non nella misura della normativa settoriale, con applicazione delle norme sopra richiamate; ma ad un tempo, vige il principio del case by case.
Qualora la banca agisca discrezionalmente limitando eventuali accessi ai dati, dovrà sempre motivarlo effettuando una valutazione che segue i criteri di proporzionalità e concretezza.
Senza tuttavia dimenticare che in presenza di informazioni pubbliche, esattamente come nei casi analizzati, a maggior ragioni non ci sarà ragione di negare l’accesso in nome di una riservatezza legata alla lotta contro il riciclaggio.
