Garante per la protezione
    dei dati personali


Comunicazione a terzi dei datipersonali forniti alla banca per un preventivo di finanziamento

PROVVEDIMENTO DEL 18 DICEMBRE 2013

Registro dei provvedimenti
n. 588 del 18 dicembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro Presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

Vistoil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196; di seguito "Codice");

Vistala segnalazione presentata dal sig. XY nei confronti di Friulovest Banca (giàBanca di credito cooperativo di San Giorgio e Meduno), avente ad oggettoun'asserita comunicazione a terzi di informazioni personali in assenza del suoconsenso;

Vistala documentazione in atti;

Vistele osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatorela dott.ssa Giovanna Bianchi Clerici;

PREMESSO

Ilsig. XY ha lamentato che la Banca di credito cooperativo di San Giorgio eMeduno −oggi Friulovest Banca−, avrebbe illecitamente comunicato aterzi alcuni suoi dati personali.

Inparticolare, il segnalante ha riferito che nel 2007, il dott.,KW professionistacon il quale egli aveva collaborato per anni, lo aveva "indirizzato"presso la  Banca di credito cooperativo di San Giorgio e Meduno "perrichiedere un finanziamento".

Benchéegli si fosse recato "da solo" presso la Banca (peraltro ricevendo,dopo breve tempo, un rifiuto alla richiesta di finanziamento), a distanza dipoco più di un anno le "risultanze dell'istruttoria" -contenentianche informazioni relative a protesti elevati nei suoi confronti- erano stateinopinatamente comunicate dalla Banca anche al dott. KW.

Raggiuntada un'apposita doglianza dell'interessato in ragione dell'accaduto, la Banca siera limitata a sostenere di aver conferito esclusivamente con il dott. KW,"commercialista di fiducia" del sig. XY, con la conseguenza che, adetta dell'istituto, non si sarebbe potuta configurare alcuna"divulgazione" dei suoi dati personali; inoltre, l'istituto avevaanche evidenziato che i dati personali presenti nel registro informatico dei protestie nella centrale rischi della Banca d'Italia costituivano informazioni"accessibili dall'esterno" (cfr. all.3 alla segnalazione del 15dicembre 2011).

2.A seguito di specifica richiesta di informazioni formulata dall'Ufficio, connota del 15 marzo 2013, Friulovest Banca ("già Banca di CreditoCooperativo di San Giorgio di Meduno Soc. Coop.") ha ribadito che erastato il dott. KWa prendere contatti con la filiale di Cordenons,indirizzandovi anche il sig. XY; quest'ultimo, infatti, "intendevaottenere un finanziamento [e] il dott. KW avrebbe dovuto curare lapratica"; successivamente, all'esito dell'istruttoria, la Banca avevaritenuto di non concedere il finanziamento richiesto e, una volta"interpellata dal professionista per conoscere le ragioni che avevano determinatoil diniego", aveva provveduto a comunicare a costui "l'elenco deiprotesti che, nel Registro Informatico Protesti, risultavano essere statielevati nei confronti del sig. XY"; pertanto, la Banca ha conclusosostenendo di avere agito correttamente, essendosi limitata a "darecontezza a persona che si considerava agire nell'interesse del signor XY delmotivo per il quale il finanziamento non era stato concesso".

3.Ciò premesso, si deve rammentare che il Garante, in vista di una riduzione delrischio di intraprendere trattamenti illeciti, ha sempre ritenutoindispensabile che il titolare del trattamento, tra l'altro, verifichi ilcontenuto dell'eventuale rapporto giuridico che lo lega all'interessato, alloscopo di accertare se, nel caso specifico, possano essere poste in essereoperazioni di trattamento di dati personali –quali, in particolare, la"comunicazione"- "senza violare gli obblighi nascenti dallalegge o da un rapporto contrattuale" (cfr. Provv.ti 23 maggio 2001e 8 marzo 2007).

Taleorientamento è stato ribadito anche in occasione dell'emanazione delle"Linee guida in materia di trattamento di dati personali della clientelain ambito bancario", adottate dal Garante il 25 ottobre 2007; inoltre, indicazioni in tal senso sono contenuteanche nel codice di autodisciplina elaborato dall'Associazione bancariaitaliana (ABI), il quale, nel fissare le regole di comportamento che devonoessere osservate da chi opera all'interno delle banche, stabilisce che "[]i dipendenti degli intermediari sono tenuti a mantenere la riservatezza sulleinformazioni di carattere confidenziale acquisite dagli investitori o di cuicomunque dispongano in ragione della propria funzione. Essi pertanto nonpossono rivelare a terzi o fare uso improprio delle informazioni riservate dicui siano venuti a conoscenza". (v. punto 1.1.).

4.Con specifico riferimento al caso in esame, si deve preliminarmente osservareche la Banca, lungi dal contestare i fatti riportati dal segnalante, ha ammessodi aver conferito con il dott. KW riguardo alla richiesta di finanziamentoavanzata dal sig. XY, seppur nella errata convinzione -verosimilmente favoritadallo status professionale- che egli effettivamente fosse l'interlocutoredesignato dall'interessato per tenere i contatti con l'istituto in vistadell'istruttoria della relativa pratica; però, in realtà, la Banca non risultaaver mai concretamente verificato l'esistenza di un potere rappresentativo incapo al predetto professionista, con la conseguenza che la risposta inviata aldott. KW per illustrare le ragioni dell'avvenuto diniego del finanziamento alsig. XY, in mancanza di un qualsiasi titolo legittimante, ha dato luogo ad unacomunicazione di dati personali a terzi non solo in assenza del preventivoconsenso dell'interessato (art. 23 del Codice), ma anche in mancanza di uno deisuoi equipollenti (art. 24), in palese violazione del principio di liceità ecorrettezza posto dall'art. 11, comma 1, lett. a) del Codice.

Neconsegue che il trattamento di dati personali posto in essere  dalla Bancanon può che essere dichiarato illecito. In relazione a ciò l'Autorità siriserva di instaurare un autonomo procedimento in sede amministrativa.

Leriscontrate carenze del trattamento, emendabili anche con la corretta adozionedelle cautele proprie del settore, inducono l'Autorità a prescrivere aFriulovest Banca di adottare misure necessarie per assicurare che lacomunicazione a terzi dei dati personali di coloro che entrino in contatto conl'istituto avvenga solo con il consenso degli stessi interessati o, in difetto,in presenza di uno dei presupposti equipollenti indicati dall'art. 24 delCodice, impartendo, a tal fine, anche adeguate istruzioni ai responsabili eagli incaricati del trattamento.

TUTTO CIO' PREMESSO, IL GARANTE,

−dichiara l'illiceità del trattamento effettuato da Friulovest Banca (già Bancadi credito cooperativo di San Giorgio e Meduno) con riferimento ai datipersonali del sig. XY;

−ai sensi degli artt. 144 e 154, comma 1, lett. c) del Codice, prescrive aFriulovest Banca di adottare misure necessarie per assicurare che lacomunicazione a terzi dei dati personali di coloro che entrino in contatto conl'istituto avvenga solo con il consenso degli interessati  (art. 23 delCodice) o, in difetto, in presenza di uno dei presupposti equipollenti indicatidall'art. 24 del Codice, impartendo, a tal fine, anche adeguate istruzioni airesponsabili e agli incaricati del trattamento.

Ai sensidegli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'Autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 18 dicembre 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia