Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Banche: illecita comunicazione di dati personali del cliente via fax - 8 marzo 2007 [1390910]

[doc. web n. 1390910]

Banche: illecita comunicazione di dati personali del cliente via fax - 8 marzo 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Franco Pizzetti, presidente, del dott. Giuseppe Chiaravallotti vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il reclamo presentato dall'Avv. Fabio Bazzani in nome e per conto del sig. XY;

VISTA la documentazione in atti;

VISTO l'art. 154, comma 1, lett. b), d.lg. n. 196/2003;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. Con reclamo del 13 febbraio 2006, XY rappresentato dall'avv. Bazzani, ha lamentato l'illecita comunicazione al figlio KW di dati bancari che lo riguardano da parte della Banca popolare dell'Emilia-Romagna: tale comunicazione sarebbe avvenuta mediante la spedizione, il 1° marzo 2001 (comunicazione del reclamante dell'8 giugno 2006), di documentazione all'utenza fax dello studio del figlio.

 

2. A seguito della richiesta di informazioni formulata da questa Autorità, la banca ha inviato la documentazione relativa al caso in esame e ha fornito i chiarimenti richiesti, dichiarando che:

  • dal marzo 2003 i rapporti con la banca relativi alla posizione del sig. XY sono sempre stati seguiti dal figlio KW, al quale il padre aveva rilasciato apposita delega in data 27 marzo 2003;
  • negli anni precedenti, e precisamente fino al 2000, il sig. XY curava direttamente e personalmente ogni suo rapporto con la banca, mentre dai primi mesi del 2001 il cliente si recò più volte presso la banca per incontrare il direttore accompagnato dal figlio KW, il quale, per espressa volontà del padre, venne a conoscenza delle posizioni bancarie dello stesso;
  • "è possibile che, in occasione di uno dei predetti incontri, il cliente abbia richiesto la predisposizione di estratto conto od altro documento contabile, con richiesta di inviarlo e/o anticiparlo all'utenza telefax del figlio" indicando come recapito l'utenza fax del figlio e fornendone il numero telefonico, che altrimenti la banca non poteva conoscere, dal momento che il sig. XY non è cliente dell'istituto bancario.

 

3. Il Garante ha già rilevato in altre fattispecie che il titolare del trattamento deve verificare che la comunicazione di dati relativi all'interessato avvenga "senza violare gli obblighi nascenti dalla legge o da un rapporto contrattuale" (cfr. Provv. del 23 maggio 2001, doc. web n. 39821; v. anche Trib. Venezia, sez. III, 2 aprile 2005 e Trib. Milano 29 aprile 1991, in ordine all'osservanza, da parte delle banche, di "obblighi comportamentali, ossia di prudenza e discrezione").

Anche le regole di comportamento contenute nel codice di autodisciplina elaborato dall'Associazione bancaria italiana prevedono (al punto 1.1.) che le banche debbano mantenere la riservatezza sulle informazioni acquisite dagli investitori "o di cui comunque dispongano in ragione della propria funzione. [Esse] pertanto non possono rivelare a terzi o fare uso improprio delle informazioni riservate di cui siano venut[e] a conoscenza", al di là dei tradizionali profili del segreto bancario.

Nella fattispecie la banca non risulta aver svolto la predetta verifica, né rispettato il predetto codice di autodisciplina, ponendo in essere una comunicazione di dati personali in violazione del principio di liceità e correttezza (art. 11, comma 1, lett. a), del Codice). In particolare, la banca non ha provato che la comunicazione via fax a terzi (nel caso di specie, al figlio) di dati personali relativi al reclamante sia avvenuta lecitamente e correttamente con il suo consenso (art. 23 del Codice), oppure in presenza di una delle ipotesi previste all'art. 24 del Codice. Ne è riprova la circostanza che, solo in un tempo successivo alla contestata comunicazione (il 27 marzo 2003), sia intervenuta un'espressa autorizzazione a "visionare, fotografare, fotocopiare i documenti […] depositati presso [l'] istituto Banca popolare dell'Emilia Romagna" rilasciata da XY al proprio figlio.

 

4. In relazione alla condotta tenuta nella fattispecie in esame che non risulta dagli atti lecita emerge la necessità di impartire la prescrizione di cui al seguente dispositivo.

IL GARANTE

dichiara illecito il trattamento di dati personali effettuato presso la Banca popolare dell'Emilia Romagna e, ai sensi degli artt. 154, comma 1, lett. c) e 143, comma 1, lett. b) del Codice, prescrive alla medesima banca di adottare, impartendo adeguate istruzioni agli incaricati del trattamento, le misure necessarie ad assicurare che la comunicazione di dati a terzi avvenga effettivamente nel rispetto dell'obbligo di acquisire il consenso da parte degli interessati, o in presenza dei casi in cui operano i presupposti equipollenti del trattamento (artt. 23 e 24 del Codice), e secondo le modalità prospettate nella preventiva informativa agli interessati, dandone riscontro al Garante entro e non oltre il 30 aprile 2007.

Roma, 8 marzo 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli