g-docweb-display Portlet

Istituti di credito - Criteri generali in materia di informativa e richiesta del consenso dell'interessato - 28 maggio 1997 [40425]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 40425]

Istituti di credito - Criteri generali in materia di informativa e richiesta del consenso dell´interessato - 28 maggio 1997

La decisione del Garante, di seguito riportata, è scaturita da alcune segnalazioni provenienti da singoli cittadini e da associazioni di difesa degli stessi, in ordine alle comunicazioni che la Banca Nazionale del Lavoro aveva inviato alla propria clientela in applicazione della legge sulla privacy, prima dell´entrata in vigore della stessa.
La decisione del Garante è diretta a fornire alcuni criteri generali, utili anche per altri soggetti (banche, compagnie di assicurazione, ecc.), in materia di informativa e richiesta del consenso all´interessato.
In seguito a tale decisione, è iniziata una consultazione tra questa Autorità, gli istituti di credito l´ABI e la Banca d´Italia al fine di risolvere le numerose problematiche relative all´applicazione della disciplina della protezione dei dati personali al settore bancario.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Viste le segnalazioni trasmesse dall´Adusbef, dal Movimento di difesa del cittadino il 13 maggio 1997 e dal Codacons il 19 maggio 1997 ed esaminata la documentazione ivi allegata;

Esaminate le deduzioni svolte dall´Adusbef, dal Movimento di difesa del cittadino, dalla Banca nazionale del lavoro e dall´ABI nella seduta del 20 maggio 1997 di questa Autorità, e le ulteriori deduzioni comunicate per iscritto dalla Banca nazionale del lavoro e dall´ABI il 26 maggio 1997;

Rilevato che la documentazione trasmessa alla clientela del predetto istituto di credito non è conforme alle disposizioni della legge 31 dicembre 1996, n. 675, in quanto:

1- Informativa all´interessato

a) l´informativa scritta non rende anzitutto chiara la distinzione tra il caso in cui i dati siano stati raccolti presso l´interessato (art. 10, comma 1, n. 675) e l´ipotesi in cui i dati stessi siano raccolti presso terzi (art. 10, comma 3).

Per quanto riguarda le informazioni fornite direttamente dall´interessato, non è necessaria un´informativa data caso per caso in occasione di ciascuna operazione bancaria. E´ tuttavia insufficiente un´informativa fornita una tantum e valida senza termine per qualsiasi operazione effettuata dal cliente che rientri nell´esecuzione del rapporto contrattuale al quale si riferisce l´informativa iniziale. Tuttavia, una specifica ed ulteriore informativa deve essere fornita, di regola, nell´instaurazione di nuovi rapporti, quando cambino le finalità o le modalità del trattamento o altri elementi previsti dall´art. 10. Un´informativa all´interessato è altresì necessaria per quanto riguarda i dati raccolti presso terzi (art. 10, comma 3).

Qualora s´intenda predisporre un unico modello cartaceo per le due informative previste dall´art. 10, si potrebbero quindi articolare sullo stesso modello distinte caselle da barrare a seconda delle situazioni;

b) le finalità del trattamento (art. 10, comma 1 lett. a) sono indicate con una formula tautologica ("...per finalità istituzionali, quindi strettamente connesse e strumentali all´attività della nostra Banca") e con un elenco per di più meramente esemplificativo delle finalità stesse, nel quale compaiono anche formule generiche (come: "...per esigenze di tipo operativo e gestionale" o "per informativa commerciale nell´interesse della clientela e indagini di mercato").

Risulta generica anche la prospettazione delle modalità del trattamento (art. 10, comma 1 lett. a), la quale, pur non presupponendo un´elencazione di tutte le operazioni di trattamento effettuate, richiede tuttavia indicazioni più specifiche relative, in particolare, alla logica e alle finalità sulle quali si basa il trattamento (art. 13, comma 1, lett. c), n. 1);

c) l´indicazione della circostanza che i dati possono essere trattati "per conto della...Banca, ...da società, enti o consorzi che...forniscano specifici servizi elaborativi, nonché da organismi che svolgano attività complementari a quella della ...Banca, ovvero necessarie all´esecuzione delle operazioni o dei servizi...richiesti" non chiarisce se tali soggetti effettuino il trattamento presso una struttura esterna "responsabile" del trattamento, o nella quale operi il "responsabile" del trattamento, oppure quali terzi estranei all´originario trattamento effettuato presso la B.N.L., ai quali i dati stessi siano stati comunicati o diffusi;

d) del tutto generica risulta l´indicazione dei soggetti ai quali i dati possono essere comunicati o diffusi, la quale si risolve o in un richiamo dei casi in cui la comunicazione dei dati a terzi sia obbligatoria per legge o per regolamento (ipotesi per cui l´art. 10, comma 4 permette di non inviare l´informativa), o in una menzione dei soggetti verso i quali il trasferimento dei dati sia "necessario" o più semplicemente "funzionale" per lo svolgimento dell´attività della Banca, senza precisazione alcuna delle categorie dei soggetti stessi, come pure è richiesto dall´art. 10, comma 1, lett. d).

Del pari, non può ritenersi conforme all´art. 10 la comunicazione all´interessato della semplice esistenza presso la Banca di un elenco di tali categorie, in quanto questa soluzione non consente un´effettiva conoscenza ed è basata su un elenco mutevole (le cui variazioni possono comunque essere agevolmente rese note alla clientela tramite le ordinarie comunicazioni);

e) analogamente a quanto previsto nella lettera precedente, l´indicazione del responsabile del trattamento deve rendere possibile l´individuazione del soggetto preposto;

f) non è conforme alla legge la prospettazione della circostanza che il rifiuto a fornire i dati personali può comportare la mancata esecuzione di un´operazione, la mancata prosecuzione del rapporto ovvero la mancata instaurazione di nuovi rapporti.

Non è infatti chiarito, come esplicitamente previsto dall´art. 10, comma 1, lett. b), il carattere obbligatorio o facoltativo del conferimento dei dati, inducendo così l´interessato a confondere situazioni che hanno rilevanza giuridica diversa. E´ indispensabile una chiara distinzione tra i casi in cui taluni dati devono essere forniti in base ad un obbligo di legge (ad esempio per individuare operazioni di riciclaggio di denaro o valori), quelli in cui le informazioni sono strettamente funzionali all´esecuzione del rapporto contrattuale (per le quali il consenso dell´interessato non è necessario: art. 12, comma 1, lett. b) e 20, comma 1, lett. e) e quelli che si riferiscono allo svolgimento di ulteriori attività da parte dell´istituto di credito (subordinate ad uno specifico consenso dell´interessato).

Inoltre, la stessa mancanza di distinzione si avverte nella generica previsione dell´interruzione complessiva o mancata instaurazione del rapporto, qualora non siano state fornite le informazioni richieste per singole operazioni o servizi.

La violazione non è eliminata dalla circostanza che l´interruzione del rapporto con la banca è posta in termini eventuali ("...può comportare...), ed è resa più marcata dal fatto che tale evento è prospettato anche in riferimento alla mancata prestazione del consenso alla comunicazione dei dati a terzi, anche per situazioni non dipendenti dall´economia negoziale e che possono essere prese in considerazione dal cliente interessato in base ad una sua libera scelta (es.: comunicazione dei dati da parte della Banca ad una società di customer satisfaction).

2 - Consenso

a) la formula del consenso che la B.N.L. ha richiesto ai propri clienti riflette i vizi dell´informativa all´interessato.

La richiesta ultimativa di un consenso generale e incondizionato, proveniente da un soggetto in posizione nettamente più forte rispetto al destinatario dell´informativa, si risolve in una violazione della libertà contrattuale di quest´ultimo.

In base ai criteri generali che ormai sempre più nettamente ispirano il nostro ordinamento giuridico (in ossequio anche alle regole dettate in sede europea: si vedano, ad esempio, gli artt. 1469-bis e seguenti del codice civile, attuativi della direttiva CEE 93/13) e specificamente in base alle finalità della legge n. 675 (rese esplicite già dall´art. 1), il consenso può essere ritenuto effettivamente libero solo se si presenta come manifestazione del diritto all´autodeterminazione informativa, e dunque al riparo da qualsiasi pressione, e se non viene condizionato all´accettazione di clausole che determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto.

Ciò è esattamente quanto avverrebbe nel caso di un consenso generalizzato e fondato su informazioni generiche o insufficienti, accompagnate dall´esplicita previsione di una possibile rottura dei rapporti contrattuali. Verrebbero così negati proprio i diritti configurati dall´art. 1 della legge n. 675 come "fondamentali".

b) è evidente, peraltro, l´impraticabilità di un consenso richiesto nei confronti di categorie di destinatari individuati solo indirettamente (tramite un elenco disponibile presso la Banca) e mediante una mera elencazione esemplificativa, anziché secondo una precisa elencazione che menzioni puntualmente, se non i singoli destinatari, almeno le relative categorie.

In secondo luogo, l´ampia elencazione dei soggetti in favore dei quali il cliente è chiamato a prestare il consenso è contraria alla legge sotto più profili.

Infatti, il consenso è richiesto sia per la comunicazione a terzi da parte della B.N.L., sia per l´ulteriore trattamento effettuato a cura dei terzi medesimi.

Nulla osta, in linea di principio, a che il consenso sia richiesto da un primo titolare anche nell´interesse di altri titolari.

Tuttavia, tale evenienza deve essere realizzata tenendo conto del disposto dell´art. 11, comma 3, secondo cui il consenso deve essere prestato "in forma specifica" e deve quindi riguardare un preciso genere di trattamento effettuato a cura di un ben individuato titolare del trattamento.

Inoltre, poiché il consenso è valido solo se sono fornite le informazioni di cui all´art. 10 (mentre nel caso di specie l´informativa resa dalla B.N.L. si riferisce solo alle attività effettuate dalla B.N.L. stessa anziché anche a quelle svolte dai terzi nell´interesse dei quali il consenso è stato sollecitato), l´informativa stessa dovrebbe essere rivista in modo tale da collegarla anche alle attività svolte dai terzi. Resta ferma, ovviamente, la possibilità che si circoscriva l´ambito di operatività dell´attuale formula di consenso con riferimento ai soli trattamenti effettuati dalla B.N.L. (compresa la comunicazione a terzi).

Qualora, invece, si richieda il consenso anche in relazione a terzi, oltre alla revisione del modello di informativa, si deve procedere ad un´elencazione non esemplificativa e puntuale dei terzi in favore dei quali il consenso potrebbe valere.

Quale che sia la soluzione prescelta circa l´ambito di operatività del consenso, la formula deve essere resa più specifica sotto un ulteriore duplice profilo, tenendo conto, cioè, del principio di finalità di cui all´art. 9, nonché della necessità di evitare indicazioni generiche che non permettono all´interessato di rendersi sempre conto della reale ampiezza della sua manifestazione di consenso, quando questo appaia riferibile ad attività diverse da quelle relative al rapporto contrattuale.

Appare in aperto contrasto con l´anzidetto principio di finalità l´ampia richiesta di consenso per tutti i dati sensibili il cui trattamento generalizzato non può certo ritenersi connaturato alle esigenze nascenti da un comune contratto bancario.

È del tutto erroneo, peraltro, il riferimento ai dati relativi a determinati provvedimenti giudiziari, il cui trattamento non è legato al consenso dell´interessato (art. 24), nonché il riferimento all´art. 23 che riguarda gli esercenti le professioni sanitarie.

3 - Lettera al cliente

La lettera al cliente che accompagna l´informativa e la dichiarazione di consenso non appare corretta nella misura in cui può indurre in errore il cliente stesso nel ritenere che il consenso (peraltro erroneamente indicato come un atto scritto necessitato) sia l´unico presupposto del trattamento. Deve tenersi conto, infatti, che gli artt. 12 e 20 indicano un´ampia casistica di trattamenti che prescindono dal consenso.

Rilevato che le lettere in questione risultano spedite in epoca antecedente all´8 maggio 1997, data di entrata in vigore della legge n. 675/1996, per cui, ferma restando la violazione, non deve farsi luogo all´irrogazione della sanzione amministrativa di cui all´art. 39, comma 2, della medesima legge;

Considerata la necessità di richiedere alla B.N.L. di fornire ai sensi dell´art. 32, comma 1, della legge, entro quindici giorni dalla data odierna, copia del materiale rivisto conformemente al presente atto, anche in considerazione del fatto che l´incompletezza dell´informativa all´interessato si riflette sulla validità del consenso prestato e, quindi, sulla legittimità dei trattamenti effettuati:

Segnala alla B.N.L.-Banca Nazionale del Lavoro S.p.a., Direzione centrale di Roma le modificazioni esposte in premessa da apportare al materiale descritto, invitando la stessa a non tener conto alcuno delle dichiarazioni di consenso o di rifiuto di prestazione del consenso già manifestate. Invita, altresì, la stessa a fornire entro quindici giorni dalla data odierna un esemplare dei modelli riformulati.

Roma,  28 maggio 1997

IL GARANTE