EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
24/10/2007 Comunicazione dei dati personali in ambito bancario
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

"Linee guida per trattamenti dati relativi al rapporto banca-clientela" - 25 ottobre 2007
(G.U. n. 273 del 23 novembre 2007)

Registro delle deliberazioni Deliberazione n. 53 del 25 ottobre 2007

.... (omissis) ...


3. Comunicazione dei dati personali

3.1. Regole di protezione dei dati e c.d. segreto bancario.

La comunicazione a terzi di dati personali relativi a un cliente è ammessa se lo stesso vi acconsente (art. 23 del Codice) o se ricorre uno dei casi in cui il trattamento può essere effettuato senza il consenso (art. 24 del Codice) 13.

Fuori dei casi di operazioni di comunicazione dei dati strumentali alle prestazioni richieste e ai servizi erogati (per le quali non è necessario ottenere il consenso degli interessati: art. 24, comma 1, lett. b), del Codice), gli istituti di credito e il personale incaricato dell´esecuzione delle operazioni bancarie di volta in volta richieste devono mantenere il riserbo sulle informazioni utilizzate.

3.2. Comunicazioni indebite.

La comunicazione indebita di dati a terzi (che comporta gravi conseguenze anche sul piano della responsabilità civile e penale, alla luce degli artt. 15 e 167 del Codice) può avvenire per una pluralità di ragioni. Ciò può avvenire, a titolo meramente esemplificativo e tenendo in considerazione le tipologie di segnalazioni e ricorsi pervenuti all´Autorità, nei seguenti casi:

  • per la mancata predisposizione di misure idonee a prevenire l´indebita conoscenza di informazioni personali da parte di terzi, ivi comprese le "distanze di cortesia" nei luoghi dedicati all´esecuzione di operazioni bancarie 14;
  • per l´inosservanza delle istruzioni impartite agli incaricati del trattamento, come nel caso di telefonate o colloqui effettuati indebitamente ad alta voce in presenza di terzi 15;
  • a seguito della comunicazione di informazioni bancarie a terzi che non siano in alcun modo autorizzati dall´interessato a porre in essere operazioni per suo conto o a conoscere il contenuto della relazione contrattuale in essere con la banca, come, ad esempio, nei confronti:
    • del coniuge, cui venga consegnata documentazione bancaria riferita esclusivamente all´altro 16;
    • di familiari, contattati talora telefonicamente per comunicazioni dirette ai clienti, ma il cui contenuto venga invece rivelato ingiustificatamente ai primi;
    • di professionisti 17 o soggetti legati da un rapporto di lavoro con l´interessato;
    • di terzi che, per errore nell´imbustamento o nella spedizione della corrispondenza, divengano destinatari di comunicazioni scritte aventi ad oggetto informazioni bancarie (ad esempio, di estratti conto);
  • a seguito della comunicazione di informazioni bancarie presso recapiti non autorizzati, in modo da consentire a terzi di venire a conoscenza di dati riferiti all´interessato (ad esempio, in caso di comunicazioni via fax) 18;
  • più in generale, per l´inosservanza di misure di sicurezza 19.

3.3. Comunicazioni dovute o autorizzate.

In numerosi casi è possibile comunicare dati relativi alla clientela senza violare le rilevanti disposizioni in materia di protezione dei dati personali; altre comunicazioni sono anzi doverose in quanto richieste dalla legge. A titolo meramente esemplificativo possono menzionarsi i casi di:

  • comunicazioni di informazioni personali per attuare la disciplina in materia di contrasto del riciclaggio 20. A questo proposito merita rilevare che possono formare oggetto di trattamento da parte della banca non solo informazioni relative a singole transazioni economiche effettuate, ma un novero più ampio di dati personali necessari a rilevare l´anomalia di un´operazione in rapporto alle caratteristiche del cliente 21;
  • comunicazioni, per finalità di contrasto finanziario al terrorismo 22 e alla commercializzazione di materiale pedopornografico 23, attualmente nei riguardi dell´Ufficio italiano dei cambi;
  • comunicazioni di informazioni personali per l´accertamento e la repressione di violazioni tributarie, nei limiti previsti dalla legge 24. In quest´ambito, possono essere ricomprese alcune ipotesi quali quelle contenute:
    • nell´ultima parte del menzionato art. 7, comma 6, d.P.R. n. 605/1973, secondo cui "l´esistenza dei rapporti, nonché la natura degli stessi sono comunicate all´anagrafe tributaria, ed archiviate in apposita sezione, con l´indicazione dei dati anagrafici dei titolari, compreso il codice fiscale";
    • nell´art. 32, comma 7, del d.P.R. 29 settembre 1973, n. 600, in materia di disposizioni comuni sull´accertamento delle imposte sui redditi;
    • nella disciplina concernente le comunicazioni verso la c.d. "anagrafe dei rapporti di conto e di deposito" 25;
  • comunicazioni di informazioni, in conformità alla disciplina che regola la materia, alla Centrale rischi della Banca d´Italia 26 e al Servizio centralizzato di rilevazione dei rischi di importo contenuto (Cric) 27 e alla Centrale d´allarme interbancaria (in merito, v. infra punto 3.4.);
  • comunicazioni (nelle forme previste dalla legge) nei confronti dell´autorità giudiziaria 28 e, nell´ambito di una procedura esecutiva, al creditore procedente (nel rispetto delle vigenti disposizioni in materia di pignoramento presso terzi: artt. 543 ss. c.p.c., come modificati dalla l. 24 febbraio 2006, n. 52) 29;
  • comunicazioni a seguito di istanza di accesso alla documentazione bancaria ai sensi dell´art. 119 del testo unico delle leggi in materia bancaria e creditizia (Tub: d.lg. 1° settembre 1993, n. 385; v. infra punto 5.2.).

Possono, poi, formare oggetto di comunicazione ai gestori di sistemi (privati) di informazione creditizie, in conformità alla deliberazione del Garante n. 9 del 16 novembre 2004 30, i dati personali (di contenuto "negativo") necessari per effettuare i trattamenti in conformità al "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilità e puntualità nei pagamenti" 31, se preceduti dal preavviso previsto (art. 4, comma 7, del codice di deontologia medesimo) 32.

Possono essere altresì comunicate lecitamente al soggetto garante alcune informazioni personali relative al debitore garantito, nella misura in cui le medesime siano pertinenti rispetto al rapporto di garanzia in essere 33.

3.4. Comunicazioni di dati personali alla Centrale d´allarme interbancaria.

L´art. 36 del decreto legislativo n. 507/1999 concernente la depenalizzazione di alcuni reati minori, che ha introdotto nella legge 15 novembre 1990, n. 386 il nuovo art. 10-bis, ha previsto l´istituzione di un archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (la c.d. Centrale d´allarme interbancaria, di seguito Cai), la cui disciplina di dettaglio è contenuta nel d.m. 7 novembre 2001, n. 458 34 e nel regolamento del Governatore della Banca d´Italia del 29 gennaio 2002 35.

Dall´esame delle fattispecie presentate al Garante, anche a seguito dell´esercizio dei diritti previsti dall´art. 7 del Codice (nei confronti sia degli intermediari segnalanti, sia della Banca d´Italia, in qualità di titolari del trattamento) 36, emerge la necessità che gli enti segnalanti prestino la massima cautela nell´accertare l´esattezza e la completezza dei dati personali trattati prima di procedere alla segnalazione (art. 3, comma 2, d.m. n. 458/2001). Ciò, al fine di prevenire l´inserimento nella Cai di nominativi di vittime di furto d´identità (e, comunque, provvedendo con tempestività alle necessarie verifiche e alle eventuali cancellazioni, anche a seguito dell´esercizio del diritto d´accesso da parte dell´interessato) 37, come pure di soggetti che, pur avendo comunicato correttamente alla banca il furto o lo smarrimento di assegni (che devono formare oggetto di successiva e tempestiva segnalazione a cura degli enti segnalanti nel segmento "Pass" della Cai), vengano segnalati in tale archivio a seguito di un´abusiva negoziazione dei medesimi titoli (ad esempio, per mancanza di provvista o per emissione degli assegni in difetto di autorizzazione) 38.

Gli enti segnalanti, oltre a dover effettuare le operazioni di trattamento in modo lecito (osservando quindi anche la disciplina di settore che regola il complessivo funzionamento dell´archivio), devono comportarsi secondo correttezza (art. 11, comma 1, lett. a), del Codice) 39.

La segnalazione è lecita anche in caso di "richiamo" dell´assegno da parte della banca negoziatrice atteso che, nel caso di assegni emessi senza autorizzazione, l´illecito si perfeziona all´atto dell´emissione e, nel caso di assegni emessi senza provvista, al momento della presentazione al pagamento 40.

Limitatamente ai casi di mancato pagamento di un assegno per difetto di provvista (art. 9-bis legge n. 386/1990) 41, la segnalazione alla Cai non può essere effettuata se il debitore pone tempestivamente in essere i comportamenti analiticamente indicati all´art. 8 della legge n. 386/1990 42. Nel caso in esame, inoltre, l´iscrizione del traente nella Cai non può avvenire se la banca segnalante non ha inviato preventivamente un preavviso di revoca (ai sensi dell´art. 9-bis della legge n. 386/1990), dal ricevimento del quale devono decorrere almeno dieci giorni prima di provvedere all´iscrizione medesima.

Tali presupposti non ricorrono, invece, per quanto riguarda le revoche delle carte di pagamento nella Cai: alla luce della vigente disciplina, infatti, nessuno specifico rilievo è assegnato alla circostanza che l´obbligazione pecuniaria nascente dall´utilizzo di una carta di pagamento sia stata o meno successivamente adempiuta 43.

Le banche sono altresì tenute a segnalare nella Cai i casi di revoca delle carte di pagamento utilizzate per l´acquisto di materiale pedopornografico sulla rete Internet o su altre reti di comunicazioni 44.

3.5. Benefondi.

Il c.d. benefondi fa riferimento a una prassi interbancaria che prevede, nell´ambito della negoziazione di assegni tra banche per la realizzazione del credito portato dal titolo, la comunicazione dell´esistenza di una provvista sufficiente in relazione al pagamento di assegni da addebitare sul conto corrente del traente 45. Le informazioni possono essere fornite dagli istituti di credito nel rispetto dei princìpi generali che la legge prevede per tutti i trattamenti di dati personali svolti dalle banche e secondo le indicazioni riportate nei modelli di informativa distribuiti alla clientela, nei quali può rientrare anche questo tipo di comunicazione alla banca mandataria per l´incasso.

La prassi del benefondi, tuttavia, deve trovare corretta attuazione: le informazioni devono essere fornite ai soli soggetti legittimati all´incasso o alla negoziazione dell´assegno, anziché a terzi non autorizzati; inoltre, le informazioni fornite dalla banca devono essere esatte, aggiornate e non eccedenti rispetto allo scopo per il quale il benefondi è utilizzato, che è relativo alla semplice informazione dell´esistenza o meno sul conto corrente del cliente della banca trattaria dei fondi necessari al pagamento dell´assegno 46.

3.6. Comunicazione dei dati relativi alla clientela e cessione di sportelli bancari: esonero dall´obbligo di rendere l´informativa.

Un esame più approfondito, sotto i profili della comunicazione dei dati e dell´informativa da rendere alla clientela, merita la fattispecie della cessione di sportelli bancari: essa implica, di regola, limitatamente agli sportelli ceduti, il trasferimento dell´intero compendio di beni, rapporti giuridici attivi e passivi, oltre che dei rapporti contrattuali esistenti a favore della banca cessionaria.

In tale contesto sussistono, come analiticamente indicato di seguito, i presupposti per l´esonero dall´obbligo di rendere l´informativa per la banca cessionaria, la quale potrà pertanto utilizzare modalità più snelle per rendere edotta la clientela in ordine al trattamento dei dati personali correlato alla cessione degli sportelli;

a) presupposti del trattamento: bilanciamento degli interessi. La cessione di sportelli bancari, infatti, non esaurisce i propri effetti sul solo piano negoziale, ma determina in pari tempo la comunicazione di dati personali (riferibili, ad esempio, alla clientela, a fornitori, o connessi all´esecuzione del rapporto di lavoro del personale dipendente) dalla banca cedente alla cessionaria, con conseguente applicazione del Codice.

In relazione a tali operazioni la banca cedente (titolare del trattamento) non provvede, di regola, ad acquisire il consenso degli interessati; deve pertanto verificarsi se sussista un altro fondamento per porre in essere la comunicazione.

Come è noto, la cessione di innumerevoli rapporti attivi e passivi in corrispondenza del mutamento del centro di imputazione soggettiva dei medesimi (dalla banca cedente a quella cessionaria) trova una disciplina apposita e articolata nell´art. 58 del menzionato Tub, della quale è necessario tener conto in ragione dei riflessi che la stessa può spiegare rispetto ai profili di protezione dei dati personali 47.

Detta disciplina, infatti, introduce modalità atte ad agevolare, snellendone gli adempimenti, la cessione in blocco di rapporti giuridici, riducendone i costi e preservando in pari tempo i legittimi interessi dei soggetti coinvolti, a vario titolo, nella cessione 48.

Il favor che l´ordinamento riserva alle cessioni "in blocco" di rapporti giuridici in materia bancaria spiega effetti anche sul profilo accessorio della comunicazione dei dati personali che le medesime implicano. Stante la peculiare disciplina approntata dall´ordinamento all´art. 58 del Tub e attesa la natura dei dati trattati (di regola anagrafici o relativi a transazioni di natura economica), i diritti e il legittimo interesse dei soggetti ceduti in ordine al trattamento dei dati che li riguardano non risultano nel caso di specie prevalenti rispetto al legittimo interesse alla comunicazione della banca cedente. Ciò, anche in ragione dell´immutata finalità del trattamento dei dati oggetto della cessione.

Deve quindi ritenersi integrata la fattispecie prevista nell´art. 24, comma 1, lett. g), del Codice sì che, per effetto del presente provvedimento, la comunicazione dei dati personali oggetto della cessione degli sportelli bancari deve ora ritenersi lecita (per le sole finalità sopra menzionate), limitatamente ai dati diversi da quelli sensibili, anche in assenza del consenso degli interessati;

b) esonero dall´obbligo di rendere l´informativa. Rispetto alle ipotesi di cessione di sportelli bancari regolata dall´art. 58 del Tub, il cessionario che raccoglie i dati presso il terzo (banca cedente) è comunque tenuto a rendere, al momento della registrazione dei dati, ai soggetti ceduti l´informativa sul trattamento (art. 13, comma 4, del Codice).

L´informativa, se resa singolarmente a ciascun interessato con la tempistica richiesta dal menzionato art. 13, comma 4 (stante l´elevato numero di soggetti ceduti nelle menzionate operazioni), potrebbe risultare impossibile e, comunque, risulta comportare costi e oneri amministrativi manifestamente sproporzionati rispetto al diritto tutelato, anche perché deve essere fornita in un contesto temporale circoscritto a innumerevoli soggetti, individuati ovvero individuabili per relationem grazie alla ricognizione degli sportelli oggetto dell´operazione.

Alla luce di ciò, in via generale e in relazione a ciascuna delle operazioni di cessione di sportelli bancari, il Garante, ai sensi dell´art. 13, comma 5, lett. c), del Codice, dichiara che l´impiego dei mezzi necessari a rendere l´informativa singolarmente a ciascuno degli interessati coinvolti nell´operazione risulta sproporzionato rispetto all´interesse che il precetto contenuto nel menzionato art. 13, comma 4, del Codice intende tutelare.

Per queste ragioni l´informativa può essere quindi resa nelle medesime forme previste, seppur a diverso fine, dall´art. 58 del Tub;

c) misure appropriate. Tuttavia, come già disposto in passato dall´Autorità 49, è necessario che venga assicurata comunque un´adeguata informativa a vantaggio degli interessati. Occorrono, quindi, misure appropriate a cura delle banche cessionarie che siano parte delle operazioni di cessione di sportelli bancari.

Ciò, dovrà essere assicurato mediante la pubblicazione dell´informativa contenente gli elementi previsti dall´art. 13, commi 1 e 2, del Codice sulla Gazzetta Ufficiale della Repubblica italiana, contestualmente alla pubblicazione dell´avviso previsto dal menzionato art. 58.

In applicazione del principio di semplificazione (art. 2 del Codice), i titolari del trattamento non dovranno presentare al Garante una richiesta preventiva di esonero dall´informativa. L´elevato livello di tutela degli interessati (art. 2 cit.) dovrà essere, comunque, garantito adottando anche l´ulteriore misura che risulta appropriata (art. 13, comma 5, lett. c), del Codice), di seguito indicata: i cessionari dovranno in ogni caso fornire direttamente ai soggetti ceduti gli elementi contenuti nell´art. 13, commi 1 e 2, del Codice, alla prima occasione utile successiva all´avvenuta cessione in blocco (ad esempio, in sede di invio dell´estratto conto). Tale modalità aggiuntiva favorisce una maggiore conoscibilità dell´avvenuta raccolta dei dati presso terzi ad opera della cessionaria 50

1 Allo stato, in base al d.P.R. 14 marzo 2001, n. 144 (Regolamento recante norme sui servizi di bancoposta), adottato in attuazione della delega contenuta nell´art. 40 della l. 23 dicembre 1998, n. 448.

2 Così, al fine di elevare il grado di sicurezza di beni e persone (segnatamente, del personale dipendente degli istituti di credito e della clientela), le banche possono effettuare trattamenti di dati personali della clientela, nella forma della rilevazione di impronte digitali e di immagini, nei limiti e in conformità alle misure e agli accorgimenti stabiliti nel Provv. 27 ottobre 2005, in www.garanteprivacy.it, doc. web n. 1246675 (pubblicato in G.U. 22 marzo 2006, n. 68).

3 Cfr. Provv. 8 marzo 2007, doc. web n. 1390872, relativo all´accesso per finalità personali (e non istituzionali) da parte di un funzionario di banca alla Centrale dei rischi della Banca d´Italia e al sistema centralizzato di rilevazione dei rischi di importo contenuto.

4 In merito, vigente la l. n. 675/1996, l´Autorità (anche a seguito del Provv. 28 maggio 1997, doc. web n. 40425) si era espressa in termini generali in ordine al rispetto della disciplina relativa all´informativa da rendere alla clientela e alle modalità per raccogliere, ove necessario, il consenso degli interessati: cfr. Newsletter 10 maggio 1999.

5 Allo stato, v. art. 2 d.l. 3 maggio 1991, n. 143 (Provvedimenti urgenti per limitare l´uso del contante e dei titoli al portatore nelle transazioni e prevenire l´utilizzazione del sistema finanziario a scopo di riciclaggio), convertito con modificazioni dalla l. 5 luglio 1991, n. 197 e successivamente modificato dal d.lg. 26 maggio 1997, n. 153. In merito v. pure Comitato di Basilea per la vigilanza bancaria (Dovere di diligenza delle banche nell´identificazione della clientela), ottobre 2001.

6 Art. 7, comma 6, del d.P.R. 29 settembre 1973, n. 605, come sostituito, a far data dal 1° gennaio 2006, dal comma 332 dell´art. 1 l. 30 dicembre 2004, n. 311 e, infine, così modificato dal d.l. 30 settembre 2005, n. 203.

7 Cfr. Provv. 27 ottobre 2005, doc. web n. 1189435, relativo all´identificazione della clientela.

8 Provv. 28 maggio 1997, doc. web n. 40425, in materia di informativa e consenso della clientela nell´ambito dei servizi bancari.

9 In merito v. le prescrizioni contenute nel regolamento Consob 1° luglio 1998 n. 11522 (Regolamento di attuazione del decreto legislativo 24 febbraio 1998, n. 58, concernente la disciplina degli intermediari), con particolare riguardo all´art. 69.

10 In particolare, la prassi conosce tre tipologie di tale procedura corrispondenti a diverse esigenze commerciali: Rid utenze, Rid commerciale e Rid veloce. In merito cfr. circolare Abi n. 45, serie tecnica O del 6 giugno 1983; v. altresì le circolari Abi Prot. SP6014 del 22 dicembre 2004; prot. SP1453 del 29 marzo 2005; prot. SP/003076 del 17 giugno 2005.

11 Cfr. circolari cit.

12 Nel Rid utenze si consente al debitore che vuole avvalersi della procedura per il pagamento del servizio reso da una società di ricevere da quest´ultima il modulo di autorizzazione permanente all´addebito in conto corrente, consegnandolo poi alla banca presso la quale intrattiene il rapporto di conto corrente, ovvero al medesimo creditore; in quest´ultimo caso è essenziale che i moduli riportino "la indicazione degli estremi completi dell´azienda di credito presso la quale è intrattenuto il conto da addebitare (intestazione e numero filiale, numero dell´agenzia, indirizzo)": cfr. punto 2.2.1 della menzionata circolare Abi del 6 giugno 1983.

13 Ciò, è in armonia con il cd. segreto bancario che si sostanzia nel dovere della banca di mantenere il riserbo in ordine alle notizie riguardanti i clienti nell´esercizio dell´attività bancaria, rispetto alle quali sussiste un interesse, meritevole di tutela, a che non siano divulgate o comunicate a terzi. Peraltro, come è noto, la Corte costituzionale (sentenza 18 febbraio 1992, n. 51) ha precisato che la tutela del cd. segreto bancario, talora desunto dalla clausola generale di correttezza e di buona fede tra banca e cliente (artt. 1175 e 1375 c.c.), non può spingersi "fino al punto di fare di questo ultimo un ostacolo all´adempimento di doveri inderogabili di solidarietà, prima fra tutti quella di concorrere alle spese pubbliche in ragione della propria capacità contributiva (art. 53 della Costituzione), ovvero fino al punto di farne derivare il benché minimo intralcio all´attuazione di esigenze costituzionali primarie, come quelle connesse all´amministrazione della giustizia e, in particolare, alla persecuzione dei reati". V. altresì Provv. 23 maggio 2001, doc. web n. 39821.

14 V. pure art. 1 del codice di comportamento del settore bancario e finanziario adottato dall´Abi.

15 Cfr. Provv. 6 febbraio 2001, doc. web n. 40879.

16 Cfr. Provv. 17 settembre 2002, doc. web n. 1066132.

17 Tale è il caso in cui il dipendente aveva divulgato dati su rapporti di conto corrente e di deposito titoli ad un legale esterno il quale, a sua volta, li aveva utilizzati in una controversia tra il cliente e un terzo (si trattava, in concreto, di una controversia relativa all´aumento dell´assegno di divorzio): Provv. 23 maggio 2001, doc. web n. 39821.

18 Cfr. Provv. 8 marzo 2007, doc. web n. 1390910.

19 Cfr. con particolare riguardo allo svolgimento dell´attività di e-banking, il Provv. 11 novembre 2002, doc. web n. 1067296.

20 Cfr. l. 5 luglio 1991, n. 197, con particolare riferimento all´art. 3, comma 7; si prendano pure in considerazione i successivi decreti ministeriali attuativi del 19 dicembre 1991, 26 giugno 1992, 7 luglio 1992 e 7 agosto 1992.

21 Già nelle "Indicazioni operative per la segnalazione di operazioni sospette" (c.d. "Decalogo"), impartite dalla Banca d´Italia il 12 gennaio 2001 ai sensi dell´art. 3 bis, comma 4, l. 5 luglio 1991, n. 197, punto 2.1. (c.d. know your customer rule), si precisava che "il dato oggettivo va integrato con le informazioni sul cliente in possesso dell´intermediario, nel valutare la coerenza e la compatibilità dell´operazione con il profilo economico-finanziario che deve essere dichiarato dal cliente medesimo; particolare attenzione è richiesta qualora risulti che il cliente non svolge attività con rilievo economico. Ingiustificate incongruenze rispetto alle caratteristiche soggettive del cliente e alla sua normale operatività -sia sotto il profilo quantitativo, sia sotto quello degli schemi contrattuali utilizzati- richiedono l´attivazione della procedura di segnalazione" […] "Gli accertamenti bancari e gli ulteriori provvedimenti disposti dall´autorità giudiziaria (misure di prevenzione, rinvii a giudizio, ecc.) sono utilizzati per la valutazione sulla qualità dei clienti così come le notizie di stampa, specie se relative a operazioni finanziarie internazionali irregolari, le comunicazioni pubblicate nella Gazzetta Ufficiale e tutte le altre informazioni desumibili sulla piazza".

22 V., allo stato, il Provv. del 9 novembre 2001 dell´Ufficio italiano dei cambi (Istruzioni in materia di contrasto finanziario al terrorismo), pubblicato sulla G.U. 15 novembre 2001, n. 266; v. anche, in particolare, l´art. 10, d.lg. 22 giugno 2007, n. 109, recante Misure per prevenire, contrastare e reprimere il finanziamento del terrorismo e l´attività dei Paesi che minacciano la pace e la sicurezza internazionale, in attuazione della direttiva 2005/60/Ce, in G.U. 26 luglio 2007, n. 172 (disciplina che, tra l´altro, ha abrogato le previgenti pertinenti disposizioni del d.l. 12 ottobre 2001, n. 369, recante "Misure urgenti per reprimere e contrastare il finanziamento del terrorismo internazionale").

23 Cfr. art. 14-quinquies, comma 2, della l. 3 agosto 1998, n. 296 come novellata dall´art. 19 l. 6 febbraio 2006, n. 38, recante Disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet.

24 Cfr., ad esempio, art. 7, comma 6, d.P.R. 29 settembre 1973, n. 605 (Disposizioni relative all´anagrafe tributaria e al codice fiscale dei contribuenti) e art. 1, comma 3, d.l. 28 giugno 1990 n. 167 (Rilevazione a fini fiscali di taluni trasferimenti da e per l´estero di denaro, titoli e valori), in G.U. 30 giugno 1990, n. 151 (e convertito in legge, con modificazioni, dall´art. 1, comma 1, l. 4 agosto 1990, n. 227).

25 Detta "anagrafe" è stata a suo tempo prevista dall´art. 20, comma 4, della l. 30 dicembre 1991, n. 413 e successivamente regolata con il d.m. 4 agosto 2000, n. 269; v. ora d.l. 4 luglio 2006, n. 223, conv., con mod., dalla legge 4 agosto 2006, n. 248); Provv. Agenzia delle entrate del 19 gennaio 2007 "Modalità e termini di comunicazione dei dati all´Anagrafe Tributaria da parte degli operatori finanziari di cui all´art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e successive modificazioni".

26 Cfr. del. Cicr 29 marzo 1994; Provv. Banca d´Italia 10 agosto 1995; Circ. Banca d´Italia 11 febbraio 1991, n. 139 e successivi aggiornamenti.

27 V., in particolare, la del. Cicr 3 maggio 1999 (Istituzione di un archivio accentrato per la rilevazione dei rischi di importo contenuto) e le Istruzioni della Banca d´Italia (Sistema centralizzato di rilevazione dei rischi di importo contenuto), in G.U. 21 novembre 2000, n. 272.

28 Cfr. Cass. 7 agosto 1990, n. 7953; Cass. 27 settembre 2001, n. 12093; Corte app. Milano, 22 luglio 1997, in Giust. civ. 1998, I, 246.

29 L´art. 547 c.p.c. (come modificato dall´art. 12, l. n. 52/2006) dispone che il terzo pignorato (nel caso in esame, la banca) debba "specificare di quali cose o di quali somme è debitore o si trova in possesso", dandone comunicazione al creditore procedente in conformità alla previsione contenuta nell´art. 543, comma 2, n. 4 c.p.c.

30 Del. 16 novembre 2004, n. 9 (Bilanciamento di interessi), in G.U. 23 dicembre 2004, n. 300 e doc. web n. 1070779.

31 V. Del. 16 novembre 2004, n. 8, in G.U. 23 dicembre 2004, n. 300, come modificato dall´errata corrige pubblicata in G.U. 9 marzo 2005, n. 56 e doc. web n. 1070713.

32 In tal senso v. Provv. 1° febbraio 2007, doc. web n. 1388576; Provv. 18 gennaio 2007, doc. web n. 1386384; Provv. 21 dicembre 2006, doc. web n. 1381657; Provv. 21 dicembre 2006, doc. web n. 1378189; Provv. 7 dicembre 2006, doc. web n. 1375058; Provv. 7 dicembre 2006, doc. web n. 1375085; Provv. 7 dicembre 2006, doc. web n. 1375133; Provv. 7 dicembre 2006, doc. web n. 1375150; Provv. 20 aprile 2006, doc. web n. 1289957.

33 Cfr. Provv. 8 ottobre 2003, doc. web n. 1132740.

34 Regolamento sul funzionamento dell´archivio informatizzato degli assegni bancari e postali e delle carte di pagamento, pubblicato nella G.U. 4 gennaio 2002, n. 3.

35 Relativo al "Funzionamento dell´archivio informatizzato degli assegni bancari e postali e delle carte di pagamento", pubblicato in G.U. 1° febbraio 2002, n. 27 e successive modificazioni.

36 Cfr. art. 11 d.m. n. 458/2001 e art. 13 del regolamento della Banca d´Italia che (in conformità ai princìpi contenuti nell´art. 7 del Codice) prevede che l´interessato possa accedere "ai dati contenuti nell´archivio che lo riguardano tramite gli enti segnalanti privati o tramite le filiali della Banca d´Italia".

37 Cfr. Provv. 25 gennaio 2007, doc. web n. 1387164, in relazione all´inserimento nella Cai di dati personali, solo in parte veritieri, connessi all´emissione di una carta di pagamento non richiesta, né ricevuta dall´interessato.

38 V. in merito Provv. 21 dicembre 2006, doc. web n. 1378399 (e, in ordine alla medesima vicenda, il successivo Provv. 22 febbraio 2007, doc. web n. 1391891).

39 Tenendo in considerazione le circostanze del tutto particolari che in concreto si erano presentate il Garante ha disposto la cancellazione dei dati dall´archivio Cai con Provv. 27 settembre 2004, doc. web n. 1069074.

40 Provv. 15 febbraio 2005, doc. web n. 1148524, che richiama in tal senso le Istruzioni della Banca d´Italia del 21 novembre 2002 e dell´11 luglio 2003.

41 Provv. 17 marzo 2005, doc. web n. 1152149.

42 In particolare il debitore, entro sessanta giorni dalla data di scadenza del termine di presentazione del titolo (dall´art. 9-bis, l. n. 386/1990), deve provvedere tempestivamente al pagamento dell´assegno, degli interessi, della penale e delle eventuali spese per il protesto o per la constatazione equivalente e documentare, altresì, l´avvenuto pagamento nelle forme puntualmente previste dal menzionato art. 8: cfr. in merito Provv. 22 febbraio 2007, doc. web n. 1391942; Provv. 26 luglio 2005, doc. web n. 1157986; Provv. 3 marzo 2005, doc. web n. 1149190; sulla tempestività delle attività rimesse al debitore cfr. Provv. 26 ottobre 2006, doc. web n. 1367653.

43 Provv. 19 ottobre 2005, doc. web n. 1192373; Provv. 4 ottobre 2004, doc. web n. 1102353; v. ora, d.m. 30 aprile 2007, n. 112 di attuazione della legge 17 agosto 2005, n. 166, recante "Istituzioni di un sistema di prevenzione delle frodi sulle carte di pagamento".

44 Cfr. art. 14-quinquies, commi 5 e 6, l. n. 296/1998, cit.

45 In ordine a tale prassi la disciplina in materia di protezione dei dati personali non prevede alcun divieto: cfr. Parere del 30 novembre 1998 (in Bollettino n. 6, p. 85 e) doc. web n. 39416. In ordine alla legittimità del c.d. benefondi v. pure Cass., 27 novembre 2003, n. 18118; Cass. 10 marzo 2000, n. 2742.

46 Cfr. Cass. 6 giugno 2003, n. 9103; Cass. 7 febbraio 1979, n. 820.

47 Banca d´Italia, Istruzioni di vigilanza per le banche, tit. III, cap. 5, assume che nella dizione "ramo di azienda", utilizzata dall´art. 58 Tub, possano comprendersi "le succursali e, in genere, ogni insieme omogeneo di attività operative, a cui siano riferibili rapporti contrattuali e di lavoro dipendente nell´ambito di una specifica struttura organizzativa".

48 Ciò, è stato reso possibile con la previsione di modalità semplificate per notificare la cessione, consentendo comunque al contraente ceduto di recedere entro tre mesi (dall´avvenuta cessione) dal contratto in presenza di giusta causa (analogamente alla disciplina relativa alla cessione d´azienda di cui all´art. 2558 c.c. e distaccandosi, invece, dai princìpi di diritto comune relativi alla cessione del contratto di cui all´art. 1406 c.c.).

49 In materia di cessione in blocco e cartolarizzazione dei crediti: Provv. 18 gennaio 2007, doc. web n. 1392461.

50 Analoga prescrizione è stata impartita dalla Banca d´Italia, seppure a diverso fine, in relazione alle operazioni di cessione in blocco di rapporti giuridici ai sensi dell´art. 58 del Tub: cfr. Banca d´Italia, Istruzioni di vigilanza per le banche, tit. III, cap. 5, sez. II.

51 Restano comunque ferme, ai sensi dell´art. 160, comma 6, del Codice, le autonome determinazioni che l´autorità giudiziaria riterrà di adottare in ordine all´efficacia e all´utilizzabilità di atti e documenti nel procedimento giudiziario.

52 A tal proposito si vedano altresì le indicazioni già fornite in termini generali dal Garante con le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (Del. n. 53 del 23 novembre 2006), punto 9.

53 Cfr. Provv. 23 luglio 2004, doc. web n. 1099411; v. pure, in relazione all´accesso a registrazioni di conversazioni aventi ad oggetto l´acquisto di pacchetti azionari, Provv. 19 giugno 2002, doc. web n. 1065269; v. pure Provv. 19 maggio 2005 , doc. web n. 1151188.

54 Cfr. Provv. 12 marzo 2004, doc. web n. 1090100.

55 Cfr. tra gli altri Provv. 29 ottobre 2003, doc. web n. 1144061; Provv. 13 luglio 2006, doc. web n. 1321296; Provv. 20 dicembre 2006, doc. web n. 1376382; Provv. 16 marzo 2007, doc. web n. 1399446.

56 Provv. 13 luglio 2006, doc. web n. 1320699; Provv. 23 marzo 2006, doc. web n. 1285350.

57 Cfr. Provv. 9 novembre 2006, doc. web n. 1366189; Provv. 10 dicembre 2003, doc. web n. 1053648; Provv. 27 dicembre 2001, doc. web n. 40987.

58 Provv. 20 luglio 2006, doc. web n. 1322844.

59 Provv. 28 settembre 2006, doc. web n. 1349798; Provv. 1° giugno 2005, doc. web n. 1139982; Provv. 1° giugno 2005, doc. web n. 1139991.

60 In tal senso cfr. Provv. 20 maggio 2004, doc. web n. 1098787; Cass., 12 maggio 2006, n. 11004; Circ. n. 229 del 21 aprile 1999, p. 18 e ss.

61 Provv. 27 aprile 2000, doc. web n. 1113611.

62 In tal caso, con Provv. 3 aprile 2002, doc. web n. 1065256, si è affermato che "il diritto di accesso ai dati personali conferisce […] la possibilità di acquisire piena cognizione di tutte le informazioni personali detenute dalla Cassa, permettendo allo stesso di comprendere il loro contenuto, anche attraverso il chiaro richiamo alle generalità dei cointestatari predetti (dati che lo stesso de cuius avrebbe avuto a suo tempo il diritto di conoscere)"; v. pure Provv. 8 ottobre 2003, doc. web n. 1053855.

63 Provv. 13 novembre 2003, doc. web n. 1053654.

64 Per precedenti in materia v. Provv. 9 marzo 2006, doc. web n. 1268821, con richiami ulteriori a Cass., 23 luglio 1994, n. 6873 e Cass. 21 aprile 1997, n. 3400; v. pure artt. 31, 42 e ss. r.d. n. 267/1942, come modificato, allo stato, dal d.lg. 9 gennaio 2006, n. 5.

Fonte: Garante per la Protezione dei dati - Linee guida in materia di trattamento di dati personali della clientela in ambito bancario

LINK: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1457247

Categorie
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Parole chiave
Comunicazione
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits