Garante per la protezione
    dei dati personali


Banche: illecita comunicazione di datipersonali del cliente via fax

PROVVEDIMENTO DEL 8 MARZO 2007

 

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLA riunione odierna, in presenza del prof. Franco Pizzetti,presidente, del dott. Giuseppe Chiaravallotti vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. GiovanniButtarelli, segretario generale;

ESAMINATO il reclamo presentato dall'Avv. Fabio Bazzani in nomee per conto del sig. XY;

VISTA la documentazione in atti;

VISTO l'art. 154, comma 1, lett. b), d.lg. n. 196/2003;

VISTE le osservazioni dell'Ufficio formulate dal segretariogenerale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. Con reclamodel 13 febbraio 2006, XY rappresentato dall'avv. Bazzani, ha lamentatol'illecita comunicazione al figlio KW di dati bancari che lo riguardano daparte della Banca popolare dell'Emilia-Romagna: tale comunicazione sarebbeavvenuta mediante la spedizione, il 1 marzo 2001 (comunicazione del reclamantedell'8 giugno 2006), di documentazione all'utenza fax dello studio del figlio.

 

2. A seguitodella richiesta di informazioni formulata da questa Autorità, la banca hainviato la documentazione relativa al caso in esame e ha fornito i chiarimentirichiesti, dichiarando che:

      dal marzo 2003 i rapporti con labanca relativi alla posizione del sig. XY sono sempre stati seguiti dal figlioKW, al quale il padre aveva rilasciato apposita delega in data 27 marzo 2003;

      negli anni precedenti, eprecisamente fino al 2000, il sig. XY curava direttamente e personalmente ognisuo rapporto con la banca, mentre dai primi mesi del 2001 il cliente si recò piùvolte presso la banca per incontrare il direttore accompagnato dal figlio KW,il quale, per espressa volontà del padre, venne a conoscenza delle posizionibancarie dello stesso;

      "è possibile che, inoccasione di uno dei predetti incontri, il cliente abbia richiesto lapredisposizione di estratto conto od altro documento contabile, con richiestadi inviarlo e/o anticiparlo all'utenza telefax del figlio" indicando come recapito l'utenza fax del figlio e fornendone ilnumero telefonico, che altrimenti la banca non poteva conoscere, dal momentoche il sig. XY non è cliente dell'istituto bancario.

 

3. Il Garante hagià rilevato in altre fattispecie che il titolare del trattamento deveverificare che la comunicazione di dati relativi all'interessato avvenga "senzaviolare gli obblighi nascenti dalla legge o da un rapporto contrattuale"(cfr. Provv. del 23 maggio 2001; v. anche Trib. Venezia, sez. III, 2 aprile 2005 e Trib.Milano 29 aprile 1991, in ordine all'osservanza, da parte delle banche, di"obblighi comportamentali, ossia di prudenza e discrezione").

Anche le regole di comportamento contenute nel codice diautodisciplina elaborato dall'Associazione bancaria italiana prevedono (alpunto 1.1.) che le banche debbano mantenere la riservatezza sulle informazioniacquisite dagli investitori "o di cui comunque dispongano in ragionedella propria funzione. [Esse] pertanto non possono rivelare a terzi ofare uso improprio delle informazioni riservate di cui siano venut[e] aconoscenza", al di là dei tradizionali profili del segreto bancario.

Nella fattispecie la banca non risulta aver svolto la predettaverifica, né rispettato il predetto codice di autodisciplina, ponendo in essereuna comunicazione di dati personali in violazione del principio di liceità ecorrettezza (art. 11, comma 1, lett. a), del Codice). In particolare, la bancanon ha provato che la comunicazione via fax a terzi (nel caso di specie, alfiglio) di dati personali relativi al reclamante sia avvenuta lecitamente ecorrettamente con il suo consenso (art. 23 del Codice), oppure in presenza diuna delle ipotesi previste all'art. 24 del Codice. Ne è riprova la circostanzache, solo in un tempo successivo alla contestata comunicazione (il 27 marzo2003), sia intervenuta un'espressa autorizzazione a "visionare,fotografare, fotocopiare i documenti [] depositati presso [l'] istitutoBanca popolare dell'Emilia Romagna" rilasciata da XY al propriofiglio.

 

4. In relazionealla condotta tenuta nella fattispecie in esame che non risulta dagli attilecita emerge la necessità di impartire la prescrizione di cui al seguentedispositivo.

IL GARANTE

dichiara illecito il trattamento di dati personali effettuatopresso la Banca popolare dell'Emilia Romagna e, ai sensi degli artt. 154, comma1, lett. c) e 143, comma 1, lett. b) del Codice, prescrive alla medesima bancadi adottare, impartendo adeguate istruzioni agli incaricati del trattamento, lemisure necessarie ad assicurare che la comunicazione di dati a terzi avvengaeffettivamente nel rispetto dell'obbligo di acquisire il consenso da partedegli interessati, o in presenza dei casi in cui operano i presuppostiequipollenti del trattamento (artt. 23 e 24 del Codice), e secondo le modalitàprospettate nella preventiva informativa agli interessati, dandone riscontro alGarante entro e non oltre il 30 aprile 2007.

Roma, 8marzo 2007

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale
Buttarelli