Garante per la protezione
    dei dati personali


Normativa antiriciclaggio etrattamento di dati personali da parte di Poste Italiane S.p.A.

PROVVEDIMENTO DEL 28 NOVEMBRE 2013

Registro dei provvedimenti
 n. 533 del 28 novembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali; di seguito "Codice");

VISTOil d.lgs. 21 novembre 2007, n. 231 ("Attuazione della direttiva 2005/60/CEconcernente la prevenzione dell'utilizzo del sistema finanziario a scopo diriciclaggio dei proventi di attività criminose e di finanziamento delterrorismo nonché della direttiva 2006/70/CE che ne reca misure diesecuzione"), nonché il parere preventivo del Garante del 25 luglio 2007;

VISTIi provvedimenti adottati in tale materia, nel corso del tempo, dalla Bancad'Italia e dagli altri organismi a ciò preposti;

VISTAla segnalazione del 18 settembre 2012 e le successive risultanze istruttorie;

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

PREMESSO

1. La segnalazione pervenuta all'Autorità.

Consegnalazione inviata in data 18 settembre 2012 (successivamente integrata il 3giugno 2013), il sig. XY, già censito nei sistemi informativi di Poste ItalianeS.p.A. in qualità di correntista privato, ha lamentato che detta società, inoccasione dell'espletamento di alcune operazioni di verifica previste dallanormativa in materia di antiriciclaggio, aveva effettuato un indebito accessoai suoi dati personali.

Piùesattamente il segnalante ha riferito che, in data 23 agosto 2012, si erarecato presso l'ufficio postale di Vobbia per effettuare, in nome e per contodel Comune, un versamento di euro 5.162,30 su un conto corrente intestatoall'Inps, per procedere all'acquisto di "buoni lavoro (vouchers) daattribuire ad alcuni pensionati" che avevano svolto lavoro occasionale infavore dello stesso Comune. In tale occasione, però, l'operatore di sportellodi Poste Italiane S.p.A., anziché limitarsi ad "identificare"l'interessato nella sua qualità di mero esecutore materiale di una specificaoperazione da effettuarsi in nome e per conto dell'ente comunale, aveva apertouna procedura informatica volta a "verifica[re] ed analizza[re] ognirapporto che [costui aveva], come persona privata, con Poste ItalianeS.p.A." e, segnatamente, il "conto corrente postale cointestato conil padre per il ritiro della pensione" e la "tessera prepagata tipo «Postepay»".

Adetta del segnalante, tali verifiche avevano dato luogo ad una "paleseintromissione" nella sua sfera di riservatezza, attesa non solo la loroestraneità rispetto all'operazione richiesta, inerente soltanto al Comune, maanche in ragione dell'avvenuta documentazione dei poteri rappresentativiconferitigli, di cui, peraltro, era a conoscenza anche la stessa direttricedell'ufficio postale in virtù del ruolo di consigliere del Comune di Vobbia dacostei rivestito; inoltre, l'operazione era stata consentita solo a seguitodell'avvenuto aggiornamento dei suoi dati personali –conservati, ad altrotitolo, nel database di Poste Italiane S.p.A.- perché risultati inadeguati acausa dell'intervenuta scadenza del periodo di validità del documento diriconoscimento da lui esibito in occasione dell'apertura del proprio contocorrente.

Allaluce di tali fatti, il segnalante ha chiesto l'intervento dell'Autorità per"ripristinare la necessaria legalità".

2. Il riscontro fornito dalla società.

Connota del 21 maggio 2013, Poste Italiane S.p.A. ha fatto pervenire le proprieosservazioni sulla vicenda, rappresentando di aver predisposto sulla propria"rete" informatica, in adempimento agli obblighi in materia diantiriciclaggio, "un blocco procedurale a sportello" per leoperazioni di importo superiore a 5.000 euro ("con riferimento sia alleposizioni sprovviste di adeguata verifica per le quali occorre il «recupero»dei dati, sia per le posizioni anagrafiche «cd. incomplete o incorrette»"),comportante la sottoposizione a controllo non solo dell'effettivo titolare delrapporto, ma anche di colui che intervenga quale "mero esecutore diun'operazione anche occasionale".

Inparticolare, la società ha sostenuto che la normativa sul contrasto delriciclaggio richiederebbe "un articolato e complesso sistema di processi,applicativi informativi e controlli a carattere «trasversale»", chegiustificherebbe "l'estensione delle procedure per il recupero delleinformazioni necessarie [Š] ai soggetti operanti anche non in qualità dititolari o facoltizzati ad operare sul rapporto movimentato" (come, nelcaso specifico, il segnalante); tali operazioni, da effettuarsi in occasionedel "primo contatto utile" (art. 22 d.lgs. n. 231/2007), sarebberocoerenti sia con la necessità di svolgere un "controllo costante delrapporto continuativo" facente capo all'interessato (art. 18 del d.lgs. n.231/2007), sia con il contenuto dell'attività di "riciclaggio", laquale può estrinsecarsi anche attraverso "tentativi di trasformazione,trasferimento, conversione di fondi e provviste finanziarie, mediantel'alterazione dei ruoli, dei poteri, delle facoltà" di tutti coloro che, avario titolo, siano coinvolti in operazioni finanziarie.

Ciòpremesso, la società ha confermato che le menzionate procedure di"adeguata verifica" erano state avviate anche nei confrontidell'odierno segnalante, il quale era stato identificato anche per accertare lasua posizione di semplice esecutore di un'operazione occasionale da effettuarsiin nome e per conto dell'ente rappresentato; in tale occasione, il sistema,avendo riconosciuto in capo all'interessato la qualità di "cliente diPoste Italiane" (in ragione dei dati anagrafici già presenti, qualeprivato correntista, nel database informatico della società), all'esito delleverifiche aveva subordinato la conclusione dell'operazione anche"all'aggiornamento della data di scadenza del documento di identità"ivi memorizzato, consentendone il perfezionamento solo a "variazioneanagrafica" avvenuta.

3. Le valutazioni dell'Autorità.

Ilprocedimento ha ad oggetto un presunto indebito accesso ai dati personali del segnalante(in qualità di correntista privato di Poste Italiane S.p.A.) verificatosi inoccasione di una richiesta di versamento su conto corrente inoltratadall'istante in nome e per conto del Comune di Vobbia.

Preliminarmente,si rileva che la società non ha contestato di aver effettuato specificheverifiche sulla tessera "Postepay" del segnalante e sul contocorrente postale intestato a lui e al suo genitore, sicché, almeno sul pianostorico, i fatti possono ritenersi pacifici tra le parti.

Nelmerito della questione, invece, si osserva quanto segue.

Lanormativa in materia di antiriciclaggio prevede che i soggetti destinataridelle relative disposizioni adottino idonei e appropriati sistemi e procedure,anche per dare corretta attuazione agli obblighi in tema di adeguata verificadella clientela (c.d. customer due diligence: art. 3, comma 1 del d.lgs. n.231/2007); tali misure, in ogni caso, debbono comunque rispettare le garanzie ele prescrizioni stabilite dalla normativa in materia di protezione dei datipersonali (cfr. art. 3, comma 2 del d.lgs. n. 231/2007) e debbono ancherisultare "proporzionate" al rischio di riciclaggio dei proventi diattività criminose o di finanziamento del terrorismo, il quale va rapportato,tra l'altro, al tipo di cliente e alle caratteristiche della concretaoperazione che si intende effettuare (art. 3, comma 3 del d.lgs. n. 231/2007).

Ipresupposti, il contenuto e le modalità di adempimento dei predetti obblighisono individuati dagli artt. 15 e ss. del menzionato decreto. In particolare,gli intermediari finanziari sono tenuti –tra l'altro- a identificare e averificare l'identità dei clienti sulla base di documenti, dati o informazioniottenuti da una fonte affidabile e indipendente (art. 18, comma 1, lett. a) deld.lgs. n. 231/2007), quando:

–eseguono operazioni occasionali comportanti trasmissione o movimentazione dimezzi di pagamento di importo superiore a una certa soglia;

–vi sono dubbi sulla veridicità o sull'adeguatezza dei dati precedentementeottenuti ai fini dell'identificazione di un cliente.

Inogni caso, in conformità a quanto già statuito dal richiamato art. 3, comma 3del decreto, il corretto assolvimento degli obblighi di adeguata verifica dellaclientela presuppone un "approccio basato sul rischio", che tengaconto del tipo di cliente e di operazione richiesta, da effettuarsi sulla basedi alcune istruzioni fornite dalle preposte autorità di vigilanza e di talunicriteri generali indicati all'art. 20, comma 1 del decreto stesso (sul punto,vedi: 1) le Istruzioni fornite da Banca d'Italia con il "Provvedimentorecante disposizioni attuative in materia di adeguata verifica della clientela,ai sensi dell'art. 7, comma 2, del decreto legislativo 21 novembre 2007, n.231" del 3 aprile 2013 –applicabili a decorrere dal 1° gennaio 2014–,con il correlato comunicato stampa dell'11 aprile 2013; 2) sul piano piùgenerale, il "Provvedimento recante disposizioni attuative in materia diorganizzazione, procedure e controlli interni volti a prevenire l'utilizzodegli intermediari e degli altri soggetti che svolgono attività finanziaria afini di riciclaggio e di finanziamento del terrorismo, ai sensi dell'art. 7comma 2 del Decreto Legislativo 21 novembre 2007, n. 231" del 10 marzo2011, nonché i chiarimenti forniti dal Ministero dell'Economia e delle Finanzecon nota del 17 dicembre 2008, prot. n. 116098; 3) il "Provvedimentorecante gli indicatori di anomalia per gli intermediari" del 27 agosto2010; 4) il "Provvedimento recante disposizioni attuative per la tenutadell'archivio unico informatico e per le modalità semplificate di registrazionedi cui all'art. 37, commi 7 e 8, del decreto legislativo 21 novembre 2007, n.231", del 3 aprile 2013, anch'esso applicabile dal 1° gennaio 2014); 5)riguardo al trattamento dei dati personali, il Parere del Garante del 25 luglio2007).

Pertanto,alla luce del quadro normativo, non vi è dubbio che la corretta identificazionedegli utenti -ivi compresi i "semplici" esecutori materiali dioperazioni occasionali effettuate per conto terzi- e la verifica della loroidentità costituiscano, anche in considerazione delle gravi sanzioniapplicabili in caso di inadempimento (artt. 55 e 56 del d. lgs. n. 231/2007),obblighi ineludibili a carico dei soggetti tenuti alla relativa osservanza, tracui figura anche Poste Italiane S.p.A. (art. 11, comma 1, lett. b), del d.lgs.n. 231/2007).

Nondimeno,tali obblighi, come già rilevato, devono essere concretamente assolticommisurando il relativo adempimento al grado di rischiosità associato al tipodi cliente, all'operazione che si intende effettuare, al rapporto avviato oalla prestazione professionale richiesta (in tal senso, v. già il Parere delGarante del 25 luglio 2007).

Adavviso di questa Autorità, nel caso in questione il criteriodell'"approccio basato sul rischio" risulta essere stato disatteso daPoste Italiane S.p.A., la quale, in occasione dell'espletamento dei controllirichiesti dalla normativa vigente, ha effettuato verifiche (comportanti ancheil trattamento dei dati personali dell'interessato) obiettivamente eccedenti inrapporto al "profilo di rischio" a costui concretamente associabile eal tipo di operazione richiesta (v., in argomento, anche i chiarimenti resi dalMinistero dell'Economia e delle Finanze in data 19 dicembre 2007, prot. n.125367).

Infatti,l'esiguo importo dell'operazione, l'avvenuta documentazione dei poterirappresentativi esercitati dall'istante in favore del Comune, la conoscenzapersonale del cliente da parte della direttrice dell'ufficio postale, la naturapubblica dell'ente rappresentato e la motivazione sottesa all'occasionaleoperazione (acquisto di semplici "vouchers" da assegnare ad alcunipensionati), costituivano circostanze da rendere non solo inopportuno, maaddirittura eccedente lo svolgimento di un così penetrante controllo suirapporti privatamente intrattenuti dall'interessato con la stessa società; neconsegue che il connesso trattamento di dati personali effettuatonell'occasione da Poste Italiane S.p.A., oltre a non essere conforme alprincipio di necessità (art. 3 del Codice), è risultato eccedente anche inrapporto alla finalità (pur lecita) perseguita dalla società (art. 11, comma 1,lett. d) del Codice), la quale avrebbe potuto ben essere raggiunta, se non giàattraverso l'attuazione degli "obblighi semplificati" di adeguataverifica delineati dall'art. 25 dello stesso d. lgs. n. 231/2007, osservandomodalità di verifica meno pervasive.

Inconsiderazione di tali rilievi risulta quindi necessario, alla luce di quantoprevisto dagli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), delCodice, prescrivere a Poste Italiane S.p.A. di astenersi dal trattare, inoccasione di future operazioni finanziarie che dovessero essere effettuate dalsig. XY in nome e per conto del Comune di Vobbia, le informazioni personaliriferibili al segnalante relative a rapporti negoziali privatamenteintrattenuti dal medesimo con la stessa società, a meno che ciò non risultieffettivamente giustificato dal rilevamento di un concreto rischio valutato aisensi dell'art. 20, co. 1 del d. lgs. n. 231/2007.

Inoltre,in ragione dell'elevato numero di utenti che si avvalgono quotidianamente deiservizi postali e finanziari forniti dalla società, ai sensi degli artt. 143,comma 1, lett. b), 144 e 154, comma 1, lett. c) del Codice, si ritiene di doverprescrivere a Poste Italiane S.p.A. di adottare opportune misure formative etecnico-organizzative idonee a prevenire, nell'ambito dell'espletamento deidoverosi controlli richiesti dalla normativa in materia di antiriciclaggio, operazionidi trattamento dei dati personali dei clienti non conformi al criterio dello"approccio basato sul rischio" fissato dal citato art. 20 del d. lgs.n. 231/2007.

TUTTO CIO' PREMESSO, IL GARANTE:

-   dichiaral'illiceità del trattamento dei dati personali del sig. XY, effettuato da PosteItaliane S.p.A. in data 23 agosto 2013;

-   aisensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) ed) del Codice, prescrive a Poste Italiane S.p.A. di astenersi dal trattare, inoccasione di future operazioni finanziarie che dovessero essere effettuate dalsig. XY in nome e per conto del Comune di Vobbia, le informazioni personaliriferibili al segnalante relative a rapporti negoziali privatamenteintrattenuti dal medesimo con la stessa società, a meno che ciò non risultieffettivamente giustificato dal rilevamento di un concreto rischio valutato aisensi dell'art. 20, co. 1 del d. lgs. n. 231/2007;

-   aisensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c) delCodice, prescrive alla società di adottare opportune misure formative etecnico-organizzative idonee a prevenire, nell'ambito dell'espletamento deidoverosi controlli richiesti dalla normativa in materia di antiriciclaggio,operazioni di trattamento dei dati personali dei clienti non conformi alcriterio dell'"approccio basato sul rischio" fissato dall'art. 20 deld. lgs. n. 231/2007.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 28 novembre 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia