GARANTE DELLA PRIVACY SULLA TUTELA DELLA RISERVATEZZA IN AMBITO BANCARIO
16/10/2022
Stampa la pagina
GARANTE PRIVACY, LE BANCHE DEVONO VERIFICARE LA LEGITTIMAZIONE DEL RICHIEDENTE PRIMA DI FORNIRE INFORMAZIONI SUI CONTI DEI CLIENTI
Netta presa di posizione del Garante della Privacy sulla tutela della riservatezza in ambito bancario. L’Autorità, con provvedimento del 26 maggio 2022, ha irrogato una sanzione di 100 mila euro a una banca il cui dipendente ha fornito informazioni al padre della titolare del conto corrente, senza previamente verificare che lo stesso avesse l’autorizzazione della figlia.
Guido Scorza, componente dell’Authority, in una video intervista spiega che le banche sono obbligate a controllare che il titolare del rapporto bancario abbia prestato il suo espresso consenso a che un terzo, anche un parente, richieda informazioni in merito al proprio rapporto bancario.
Non rileva, ai fini della violazione delle norme sulla privacy, l’eventuale buona fede del dipendente che, sulla base di un rapporto di conoscenza personale e diretta del richiedente, lo abbia ritenuto legittimato alla richiesta.
Nel caso di specie, il dipendente della banca, senza fare verifiche, ha consegnato copia dei movimenti bancari al padre della correntista, che ne aveva fatto richiesta per le vie brevi, perché lo conosceva personalmente, essendo un ex dipendente della banca e perché, in precedenza, quando la figlia era minorenne, egli poteva operare sul suo conto.
L’autorità ha ricordato che, per costante giurisprudenza, (Cass. civ. sez. II, 17/12/2019 n. 33441; Cass. Civ. sez. VI, 13/05/2019, n.12629), l’errore commesso in buona fede può valere quale causa di esclusione della responsabilità di una violazione solo quando trattasi di errore inevitabile, occorrendo a tal proposito la sussistenza di
“elementi positivi, estranei all’autore dell’infrazione, idonei ad ingenerare in lui la convinzione della liceità della sua condotta e, soprattutto, che l’autore dell’infrazione abbia fatto tutto il possibile per osservare la legge, cosicché nessun rimprovero possa essergli mosso, neppure sotto il profilo della negligenza omissiva”.
Tali circostanze scriminanti non sono state riscontrate nel caso in esame, ove il Garante ha invece verificato che il dipendente ha effettuato l’accesso ai dati bancari, comunicandoli a un terzo non autorizzato, in assenza del consenso o di un altro presupposto di legittimità. Per tali ragioni, il trattamento dei dati della titolare del conto corrente, posti in essere dall’istituto bancario in questione tramite il proprio dipendente, è stato ritenuto illecito per violazione dei principi generali in materia di protezione dei dati personali, di cui agli artt. 5, par. 1, lett. a) e f), e 6 del Regolamento.
Il Garante, si legge nel provvedimento sanzionatorio n. 9784626/2022, ha imputato all’istituto bancario di non avere adeguatamente comprovato, nel rispetto del principio di “responsabilizzazione” (accountability) previsto degli artt. 5, par. 2 e 24 del Regolamento, di aver adottato o anche solo avviato un’adeguata riflessione riguardo alle istruzioni fornite al personale in ordine alle richieste di accesso ai dati bancari, limitandosi a richiamare le attività formative genericamente erogate.
Nel sistema del GDPR - Regolamento Europeo 2016/279 – il principio di "responsabilizzazione" (accountability nell'accezione inglese) di titolari e responsabili riveste grande importanza.
Esso consiste nell'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento.
La novità del principio si basa sul fatto che spetta al titolare dell’obbligo di protezione dei dati il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Il primo di tali criteri è il "data protection by default and by design", cioè l’obbligo di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati. La valutazione deve essere operata tenendo conto del contesto complessivo e dei rischi per i diritti e le libertà degli interessati “a monte”, cioè prima di procedere al trattamento dei dati vero e proprio. Il Regolamento prevede che sia l’analisi preventiva che l’impegno applicativo da parte dei titolari debbano attuarsi in attività specifiche e dimostrabili.
Il secondo criterio è quello della “valutazione del rischio” inerente alle limitazioni poste alle libertà e ai diritti degli interessati in virtù del trattamento. Effettuata tale valutazione, il titolare può decidere di procedere al trattamento dei dati, perché ritiene di avere adottato le misure atte a contenere i rischi, oppure di consultare l'autorità di controllo competente per ottenere indicazioni su come gestirli.
Il GDPR assegna un ruolo residuale e principalmente "ex post", del Garante, tanto da avere eliminato alcuni istituti di controllo preventivo previsti dalla precedente normativa. Per assicurare l’uniformità delle procedure di valutazione e gestione dei trattamenti, il Regolamento prevede che l’organismo denominato “Comitato europeo della protezione dei dati" fornisca indicazioni interpretative e metodologiche agli operatori, mediante linee-guida e altri documenti di indirizzo. Il Comitato europeo per la protezione dei dati è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. Ha sede a Bruxelles ed è composto da rappresentanti delle autorità nazionali per la protezione dei dati, dal Garante europeo della protezione dei dati (GEPD) e dalle autorità di controllo degli Stati EFTA/SEE.
- Garante Privacy
- GDPR