g-docweb-display Portlet

Comunicazione di informazioni bancarie a terzi - 12 novembre 2014 [3657964]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3657964]

Comunicazione di informazioni bancarie a terzi - 12 novembre 2014

Registro dei provvedimenti
n. 516 del 12 novembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

Visto il reclamo presentato dalla sig.ra XY relativo ad un´asserita comunicazione a terzi di informazioni bancarie alla stessa riferite effettuate dalla Banca di Credito Cooperativo di Cittanova;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. La sig.ra XY, rappresentata e difesa dall´avv. Serafina Ceravolo, con reclamo presentato a questa Autorità il 14 novembre 2012, ha lamentato un´asserita comunicazione (datata 2 novembre 2012) a terzi, in particolare, alla società Gallo Vicenzo srl, da parte della Banca di Credito Cooperativo di Cittanova (di seguito, Banca), di informazioni bancarie alla stessa riferite.

Detta comunicazione sarebbe avvenuta attraverso una lettera inviata dalla Banca alla reclamante (nonché ad altri tre destinatari: due persone giuridiche ed una persona fisica) per comunicarle la scadenza di un titolo posto dalla stessa XY a garanzia di un pegno su un certificato di deposito, nella quale erano indicati come destinatari  anche altri soggetti, tra cui la Gallo Vincenzo srl.

2. A seguito della richiesta di informazioni formulata dall´Ufficio, volta a conoscere le finalità e i presupposti dell´invio di tale comunicazione a terzi, la Banca, con nota del 1° febbraio 2013, nel ricostruire la vicenda oggetto del reclamo, ha tra l´altro rappresentato "che la sig.ra XY è socia di maggioranza della Fabit srl", società facente "parte di un gruppo economico-imprenditoriale al quale appartiene, tra gli altri, anche la Gallo Vincenzo srl".  La Banca, nel descrivere i rapporti personali e patrimoniali tra le società  e i relativi soci, ha dichiarato di ritenere che, nel caso di specie, non vi sia stata una comunicazione a terzi di informazioni riguardanti la propria cliente, in quanto tra le società cui era indirizzata la lettera, vi sarebbe una connessione giuridico-economica tale da configurare  il cd. "gruppo di clienti connesso" −la cui definizione è contenuta nel Titolo V delle "Nuove disposizioni di vigilanza prudenziale per le banche" (Circ. n. 263 del 27 dicembre 2006, 13° aggiornamento del 29 maggio 2012)−, "che porta la Banca a considerare "unico cliente" il Gruppo Gallo-Fabit secondo le indicazioni della Banca d´Italia" (nota della Banca, p. 10).

Con nota datata 12 febbraio 2014, la reclamante ha ribadito le proprie posizioni.

3.1. Va anzitutto rilevato che non rientra nella competenza di questa Autorità esaminare la configurazione del "gruppo clienti connesso al quale apparterrebbe la reclamante", né verificare la congruità delle relative clausole contrattuali.

Il reclamo proposto dalla signora XY impone, però, di esaminare la liceità della comunicazione dei dati relativi ad un rapporto bancario alla stessa riferito.

3.2 In proposito, con specifico riferimento alla disciplina in materia di protezione dei dati personali, si ritiene che le informazioni contenute nella nota inviata dalla Banca in data 2 novembre 2012, si riferivano alla sig.ra XY, quale persona fisica titolare di specifici rapporti bancari personali, nulla rilevando, nel contesto in esame, che essa sia socio di maggioranza della Fabit srl, né che vi siano legami economici e parentali tra la stessa XY, la Gallo Vincenzo srl. e i relativi soci o amministratori.

La Banca, quindi, ha effettuato tale  comunicazione in assenza del consenso dell´interessata previsto dall´art. 23 del Codice, nonché di una delle ipotesi di esonero del consenso previste dal successivo art. 24, configurando, in tal modo, un trattamento dei dati personali dell´interessata in violazione anche del principio di liceità e correttezza del trattamento (art. 11, comma 1, lett. a), del Codice). Ne consegue che il trattamento di dati personali posto in essere  dalla Banca non può che essere dichiarato illecito. In relazione a ciò l´Autorità si riserva di instaurare un autonomo procedimento sanzionatorio in sede amministrativa (art. 162, comma 2-bis).

Naturalmente la Banca avrebbe potuto fornire le indicazioni necessarie o attuare gli interventi richiesti dalle disposizioni di vigilanza prudenziale attraverso comunicazioni specifiche rivolte ai singoli soggetti del gruppo clienti, avendo cura di non comunicare a terzi informazioni personali e riservate riferite agli stessi.

4. Alla luce di quanto sopra esposto, considerato che la condotta tenuta dalla Banca nella fattispecie in esame non risulta dagli atti conforme alla disciplina in materia di protezione dei dati personali, nel rappresentare la necessità di impartire, ai sensi degli artt. 154, comma 1, lett. c) e 143, comma 1, lett. b) del Codice, la prescrizione di cui al seguente dispositivo.

IL GARANTE

− dichiara l´illiceità del trattamento effettuato da Banca di Credito Cooperativo di Cittanova con riferimento ai dati personali della sig.ra XY, oggetto di comunicazione a terzi con la nota del 2 novembre 2012;

− ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive alla Banca di Credito Cooperativo di Cittanova di adottare entro novanta giorni dal ricevimento del presente atto e fornendone riscontro a questa Autorità, le misure necessarie per assicurare che la comunicazione a terzi dei dati personali di coloro che entrino in contatto con l´istituto avvenga solo con il consenso degli interessati  (art. 23 del Codice) o, in difetto, in presenza di uno dei presupposti equipollenti indicati dall´art. 24 del Codice, impartendo, a tal fine, anche adeguate istruzioni ai responsabili e agli incaricati del trattamento,

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 12 novembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia