Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Comunicazione a terzi dei dati personali forniti alla banca per un preventivo di finanziamento - 18 dicembre 2013 [2896472]

[doc. web n. 2896472]

Comunicazione a terzi dei dati personali forniti alla banca per un preventivo di finanziamento - 18 dicembre 2013

Registro dei provvedimenti
n. 588 del 18 dicembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro Presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196; di seguito "Codice");

Vista la segnalazione presentata dal sig. XY nei confronti di Friulovest Banca (già Banca di credito cooperativo di San Giorgio e Meduno), avente ad oggetto un´asserita comunicazione a terzi di informazioni personali in assenza del suo consenso;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

Il sig. XY ha lamentato che la Banca di credito cooperativo di San Giorgio e Meduno −oggi Friulovest Banca−, avrebbe illecitamente comunicato a terzi alcuni suoi dati personali.

In particolare, il segnalante ha riferito che nel 2007, il dott.,KW professionista con il quale egli aveva collaborato per anni, lo aveva "indirizzato" presso la  Banca di credito cooperativo di San Giorgio e Meduno "per richiedere un finanziamento".

Benché egli si fosse recato "da solo" presso la Banca (peraltro ricevendo, dopo breve tempo, un rifiuto alla richiesta di finanziamento), a distanza di poco più di un anno le "risultanze dell´istruttoria" -contenenti anche informazioni relative a protesti elevati nei suoi confronti- erano state inopinatamente comunicate dalla Banca anche al dott. KW.

Raggiunta da un´apposita doglianza dell´interessato in ragione dell´accaduto, la Banca si era limitata a sostenere di aver conferito esclusivamente con il dott. KW, "commercialista di fiducia" del sig. XY, con la conseguenza che, a detta dell´istituto, non si sarebbe potuta configurare alcuna "divulgazione" dei suoi dati personali; inoltre, l´istituto aveva anche evidenziato che i dati personali presenti nel registro informatico dei protesti e nella centrale rischi della Banca d´Italia costituivano informazioni "accessibili dall´esterno" (cfr. all.3 alla segnalazione del 15 dicembre 2011).

2. A seguito di specifica richiesta di informazioni formulata dall´Ufficio, con nota del 15 marzo 2013, Friulovest Banca ("già Banca di Credito Cooperativo di San Giorgio di Meduno Soc. Coop.") ha ribadito che era stato il dott. KWa prendere contatti con la filiale di Cordenons, indirizzandovi anche il sig. XY; quest´ultimo, infatti, "intendeva ottenere un finanziamento […e] il dott. KW avrebbe dovuto curare la pratica"; successivamente, all´esito dell´istruttoria, la Banca aveva ritenuto di non concedere il finanziamento richiesto e, una volta "interpellata dal professionista per conoscere le ragioni che avevano determinato il diniego", aveva provveduto a comunicare a costui "l´elenco dei protesti che, nel Registro Informatico Protesti, risultavano essere stati elevati nei confronti del sig. XY"; pertanto, la Banca ha concluso sostenendo di avere agito correttamente, essendosi limitata a "dare contezza a persona che si considerava agire nell´interesse del signor XY del motivo per il quale il finanziamento non era stato concesso".

3. Ciò premesso, si deve rammentare che il Garante, in vista di una riduzione del rischio di intraprendere trattamenti illeciti, ha sempre ritenuto indispensabile che il titolare del trattamento, tra l´altro, verifichi il contenuto dell´eventuale rapporto giuridico che lo lega all´interessato, allo scopo di accertare se, nel caso specifico, possano essere poste in essere operazioni di trattamento di dati personali –quali, in particolare, la "comunicazione"- "senza violare gli obblighi nascenti dalla legge o da un rapporto contrattuale" (cfr. Provv.ti 23 maggio 2001, doc. web n. 39821 e 8 marzo 2007, doc. web n. 1390910).

Tale orientamento è stato ribadito anche in occasione dell´emanazione delle "Linee guida in materia di trattamento di dati personali della clientela in ambito bancario", adottate dal Garante il 25 ottobre 2007 (doc. web n. 1457247); inoltre, indicazioni in tal senso sono contenute anche nel codice di autodisciplina elaborato dall´Associazione bancaria italiana (ABI), il quale, nel fissare le regole di comportamento che devono essere osservate da chi opera all´interno delle banche, stabilisce che "[…] i dipendenti degli intermediari sono tenuti a mantenere la riservatezza sulle informazioni di carattere confidenziale acquisite dagli investitori o di cui comunque dispongano in ragione della propria funzione. Essi pertanto non possono rivelare a terzi o fare uso improprio delle informazioni riservate di cui siano venuti a conoscenza". (v. punto 1.1.).

4. Con specifico riferimento al caso in esame, si deve preliminarmente osservare che la Banca, lungi dal contestare i fatti riportati dal segnalante, ha ammesso di aver conferito con il dott. KW riguardo alla richiesta di finanziamento avanzata dal sig. XY, seppur nella errata convinzione -verosimilmente favorita dallo status professionale- che egli effettivamente fosse l´interlocutore designato dall´interessato per tenere i contatti con l´istituto in vista dell´istruttoria della relativa pratica; però, in realtà, la Banca non risulta aver mai concretamente verificato l´esistenza di un potere rappresentativo in capo al predetto professionista, con la conseguenza che la risposta inviata al dott. KW per illustrare le ragioni dell´avvenuto diniego del finanziamento al sig. XY, in mancanza di un qualsiasi titolo legittimante, ha dato luogo ad una comunicazione di dati personali a terzi non solo in assenza del preventivo consenso dell´interessato (art. 23 del Codice), ma anche in mancanza di uno dei suoi equipollenti (art. 24), in palese violazione del principio di liceità e correttezza posto dall´art. 11, comma 1, lett. a) del Codice.

Ne consegue che il trattamento di dati personali posto in essere  dalla Banca non può che essere dichiarato illecito. In relazione a ciò l´Autorità si riserva di instaurare un autonomo procedimento in sede amministrativa.

Le riscontrate carenze del trattamento, emendabili anche con la corretta adozione delle cautele proprie del settore, inducono l´Autorità a prescrivere a Friulovest Banca di adottare misure necessarie per assicurare che la comunicazione a terzi dei dati personali di coloro che entrino in contatto con l´istituto avvenga solo con il consenso degli stessi interessati o, in difetto, in presenza di uno dei presupposti equipollenti indicati dall´art. 24 del Codice, impartendo, a tal fine, anche adeguate istruzioni ai responsabili e agli incaricati del trattamento.

TUTTO CIO´ PREMESSO, IL GARANTE,

− dichiara l´illiceità del trattamento effettuato da Friulovest Banca (già Banca di credito cooperativo di San Giorgio e Meduno) con riferimento ai dati personali del sig. XY;

− ai sensi degli artt. 144 e 154, comma 1, lett. c) del Codice, prescrive a Friulovest Banca di adottare misure necessarie per assicurare che la comunicazione a terzi dei dati personali di coloro che entrino in contatto con l´istituto avvenga solo con il consenso degli interessati  (art. 23 del Codice) o, in difetto, in presenza di uno dei presupposti equipollenti indicati dall´art. 24 del Codice, impartendo, a tal fine, anche adeguate istruzioni ai responsabili e agli incaricati del trattamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 dicembre 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia