g-docweb-display Portlet

Illecita comunicazione a terzi di dati bancari - 25 settembre 2014 [3565196]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3565196]

Illecita comunicazione a terzi di dati bancari - 25 settembre 2014

Registro dei provvedimenti
n. 428 del 25 settembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTA la segnalazione pervenuta dalla sig.ra XY nei confronti della Banca dei Due Mari di Calabria (di seguito, Banca), relativa ad una comunicazione a terzi di informazioni bancarie alla stessa riferite;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. La vicenda.

Con segnalazione pervenuta in data 5 dicembre 2013, la sig.ra XY, cliente e socio fondatore della Banca dei Due Mari di Calabria, ha lamentato un´indebita comunicazione a terzi, da parte della predetta Banca, di informazioni bancarie concernenti uno "sconfinamento" verificatosi su un conto corrente di cui ella era unica intestataria e su cui era "appoggiata" una sua carta di credito.

In particolare, la segnalante ha asserito che la Banca, con una lettera del 29 ottobre 2012, inviata "per conoscenza" anche al di lei padre, sig. KW, le aveva comunicato l´avvenuta revoca di tutti gli affidamenti a suo tempo concessi "per inadempimento di obbligazioni previste nei contratti e mancato rimborso di somme dovute", nonché l´imminente iscrizione del suo nominativo presso la Centrale Rischi della Banca d´Italia; in tale missiva, però, erano stati inseriti riferimenti riguardanti anche "anomalie" verificatesi su un conto corrente a cui il sig. KW era totalmente estraneo, con la conseguenza che quest´ultimo era stato posto in condizione di avere contezza di tali informazioni senza il consenso dell´interessata −unica titolare del rapporto contrattuale− nonché in assenza di uno dei presupposti di esonero previsti dall´art. 24 del Codice.

A seguito di una specifica richiesta di informazioni formulata dall´Ufficio, la Banca, con nota di riscontro pervenuta il 16 gennaio 2014, ha contestato di aver violato in alcun modo la disciplina in tema di protezione dei dati personali, chiarendo che la sig.ra XY è intestataria non solo di un conto corrente personale, ma anche di un mutuo ipotecario garantito dal di lei padre, sig. KW.

Inoltre, la Banca ha rappresentato che, stante "l´andamento anomalo di entrambi i [predetti] rapporti", già in data 4 ottobre 2011 aveva inviato un sollecito alla segnalante e, per conoscenza, al sig. KW, in vista di una regolarizzazione della "posizione debitoria anche in relazione al rapporto di conto corrente" di cui la sig.ra XY era –e tutt´ora è- unica titolare.

In ragione di ciò, la sig.ra XY aveva presentato una segnalazione al Garante, lamentando, in riferimento al rapporto di conto corrente, l´avvenuta comunicazione al proprio genitore di informazioni bancarie che la riguardavano in assenza del suo consenso; quindi, all´esito dell´attività istruttoria, l´Autorità, dopo aver rilevato, con nota del 28 maggio 2012 (prot. 14017/78141), l´eccedenza di tale comunicazione e la mancata acquisizione del previo consenso dell´interessata (artt. 11, comma 1, lett. d) e 23 del Codice), con successivo provvedimento di contestazione del 12 luglio 2012 (prot. 18346/78141) aveva irrogato alla Banca una sanzione amministrativa pecuniaria, poi regolarmente pagata dalla stessa Banca.

Ciò premesso, nell´odierno procedimento la Banca ha riconosciuto di avere inviato, in data 29 ottobre 2012, una nuova comunicazione sia alla sig.ra XY, sia "per conoscenza" al di lei genitore, recante, anche in questo caso, riferimenti sia al mutuo ipotecario garantito dal sig. KW, sia al rapporto di conto corrente intestato esclusivamente alla sig.ra XY, giustificando l´accaduto con il fatto che "l´inoltro di questo tipo di comunicazioni avviene in automatico nei confronti degli stessi soggetti che nel sistema sono censiti e collegati alla posizione di sofferenza e che, comunque, sono stati destinatari della precedente e preliminare richiesta di regolarizzazione dei rapporti." (v. cit. nota del 16 gennaio 2014, p. 1, punto f).

In ogni caso, la Banca ha altresì sostenuto che, a suo dire, detta comunicazione, oggetto della odierna segnalazione, non potrebbe essere configurata come una "nuova violazione", in quanto sostanzialmente si tratterebbe "della medesima violazione già contestata (ovvero comunicazione al terzo estraneo KW dei dati relativi al conto corrente […]) in relazione alla quale è stata già comminata e pagata la sanzione pecuniaria […e ciò anche in ragione del fatto che] il sig. KW era già a conoscenza dell´andamento anomalo del conto corrente intestato alla figlia, essendo stato destinatario della nota del 04/10/11 [e] senza contare che la comunicazione di revoca degli affidamenti e segnalazione a sofferenza in Centrale Rischi, di cui alla successiva nota del 29/10/12, riguardava anche il mutuo ipotecario", per un complessivo saldo debitorio di gran lunga superiore rispetto a quello relativo al solo rapporto di conto corrente.

2. L´illiceità del trattamento.

Preliminarmente va rilevato che la nuova comunicazione di informazioni personali posta in essere dalla Banca in data 29 ottobre 2012, mediante l´invio di un´apposita missiva sia alla sig.ra XY sia al sig. KW, ha dato luogo ad un trattamento di dati personali non conforme a legge.

Infatti, come già rilevato dall´Autorità (v. cit. nota del 28 maggio 2012) in occasione dell´esame della pregressa comunicazione effettuata dalla Banca in data 4 ottobre 2011, anch´essa inviata ai predetti destinatari, il sig. KW, "ancorché garante in un distinto rapporto bancario riferito all´interessata" (e quindi parte di esso) "è terzo rispetto al conto corrente bancario" di cui la sig.ra XY è titolare esclusiva (cfr. cit. nota del 28 maggio 2012, punto 2), sicché la comunicazione al sig. KW di informazioni afferenti al rapporto di conto corrente, stante la loro estraneità rispetto al rapporto di garanzia afferente al solo mutuo ipotecario, avrebbe dovuto essere preceduta dall´acquisizione di uno specifico consenso dell´interessata o, in difetto, in presenza di uno dei presupposti alternativi previsti dall´art. 24 del Codice. Il che, anche che nel caso in esame, non è avvenuto.

Né può essere attribuito alcun rilievo al fatto che il sig. KW, in precedenza, fosse già stato posto a conoscenza, seppur indebitamente, delle anomalie afferenti al rapporto di conto corrente della propria figlia, in quanto tale circostanza non può valere a sollevare la Banca dall´obbligo di rispettare i presupposti di legge (artt. 23 e 24 del Codice) per effettuare una nuova comunicazione avente ad oggetto ulteriori vicende legate al predetto rapporto.

Riguardo, poi, all´eccezione formulata dalla Banca, secondo cui la nuova comunicazione posta in essere non integrerebbe una nuova violazione della disciplina in tema di protezione dei dati personali ma, avendo "a fondamento la medesima motivazione di cui alla precedente segnalazione del 27/12/2011", andrebbe sussunta nella "medesima violazione già contestata", essa non può essere accolta.

Infatti, la nuova comunicazione è espressione di una nuova condotta illecita da parte della Banca −rispetto alla quale, pertanto, questa Autorità si riserva di valutare l´applicazione delle sanzioni amministrative−, che, sebbene presenti, per la natura dei fatti e dei motivi che l´hanno determinata, una sostanziale identità rispetto a quella risalente al 4 ottobre 2011, è da essa del tutto autonoma e distinta: in tal senso è sufficiente tenere conto non solo della circostanza che tra le due distinte condotte è intercorso più di un anno, ma anche del fatto che l´illecito commesso il 4 ottobre 2011 era già stato accertato con provvedimento esecutivo dell´Autorità e addirittura estinto a seguito di intervenuto pagamento della sanzione (avvenuto il 6 settembre 2012, prima ancora della commissione della seconda condotta).

Al contrario, la circostanza che anche l´odierna segnalazione sia stata originata da un´avvenuta indebita comunicazione a terzi  dei dati personali dell´interessata afferenti al rapporto di conto corrente a lei esclusivamente intestato, da un lato dimostra un evidente disinteresse della Banca rispetto ai rilievi che avevano indotto questa Autorità a considerare non conforme a legge l´originario trattamento dei dati e ad irrogare la relativa sanzione pecuniaria, dall´altro evidenzia una totale inerzia della stessa Banca nell´adottare una nuova configurazione dei propri sistemi informatici che, nel dare effettiva attuazione ai principi posti dal Garante con le "Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario" adottate dal Garante il 25 ottobre 2007 (pubblicate in G.U. 23 novembre 2007, n. 273 e consultabili sul sito web dell´Autorità, doc. web n. 1457247) espressamente richiamate nella nota del 28 maggio 2012, si riveli in grado di scongiurare ingiustificate lesioni al diritto alla riservatezza dei propri clienti. Ciò soprattutto ove, come nel caso in esame, tali violazioni siano determinate -come riferito dalla stessa Banca- da un indiscriminato invio in "automatico" di comunicazioni a tutti coloro che, in qualche modo, siano collegati ad una specifica posizione "in sofferenza" di un cliente o che ne siano già stati notiziati, senza che sia previsto alcun accorgimento per impedire che in tale contesto siano comunicate anche informazioni afferenti ad ulteriori rapporti contrattuali, rispetto a cui essi risultino giuridicamente estranei.

Pertanto, al fine di impedire il verificarsi di ulteriori casi di trattamento illecito, questa Autorità ordina alla Banca dei Due Mari di Calabria di adottare modifiche tecnico-organizzative atte ad evitare che il sistema informatico della stessa Banca possa inviare automaticamente a più destinatari comunicazioni concernenti diverse posizioni bancarie di un medesimo cliente, in assenza di un "filtro" che assicuri l´esistenza di un effettivo interesse di ciascun destinatario a conoscere tali informazioni.

TUTTO CIÒ PREMESSO IL GARANTE

1. dichiara l´illiceità del trattamento dei dati personali della sig.ra  XY posto in essere dalla Banca dei Due Mari di Calabria con riferimento all´avvenuta comunicazione del 29 ottobre 2012;

2. ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c) e d) del Codice, prescrive alla Banca dei Due Mari di Calabria di adottare, entro il 30 dicembre 2014, idonee misure tecnico-organizzative atte ad evitare l´invio "in automatico" di comunicazioni riferite a diverse posizioni bancarie che, benché intestate ad un unico cliente, vedano solo per alcune di esse, la presenza di un garante, evitando così che terzi possano venire a conoscenza di altre eventuali posizioni bancarie dell´intestatario del conto;

3. richiede, ai sensi dell´art. 157 del Codice, alla Banca dei Due Mari di Calabria di comunicare a questa Autorità, entro e non oltre il 30 gennaio 2015, le misure adottate per dare attuazione alle prescrizioni indicate al punto 2 del presente dispositivo.

Ai sensi dell´art. 152 del Codice, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 25 settembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busi
a