testata ADUC
PRIVACY IN BANCA
Scarica e stampa il PDF
Scheda Pratica di Rita Sabelli
1 gennaio 2008 0:00
 

Quante volte ci chiediamo se il comportamento della banca sia lecito quando ci viene negato un documento, l'accesso a dati inerenti i propri conti o quelli di parenti deceduti, oppure quando veniamo invitati a parlare piano e stare a distanza di sicurezza dagli sportelli.


La materia e' la Privacy, per la quale sono valide le norme del relativo codice, il d.lgs.196/03.

Per rendere piu' chiare, specifiche ed uniformi le regole della privacy in ambito bancario, proprio nel rapporto banca (o posta) - cliente, il Garante della privacy ha emanato una delibera riassuntiva, redatta tenendo conto delle numerose segnalazioni ricevute e quindi rispondendo ai dubbi piu' frequenti del soggetto "cliente".

La delibera, la n.53 del 25/10/07 (pubblicata sulla GU del 23/11/07), interessa le banche e le poste anche relativamente all'attivita' finanziaria ed il suo contenuto e' una specie di integrazione -nonche' precisazione- delle regole generali espresse dal codice della privacy che rimane pienamente valido.

Indice scheda
PRINCIPI GENERALI
OBBLIGHI DELLA BANCA
ORDINI TELEFONICI
DISCIPLINA PER I "RID"
IL SEGRETO BANCARIO
ACCESSO AI DATI
LINK UTILI

PRINCIPI GENERALI
I dati personali dei clienti -quelli pertinenti e non eccedenti- possono essere trattati dalla banca solo per scopi leciti nel rispetto della disciplina in materia di protezione dei dati personali.

Il trattamento deve avvenire solo da parte di incaricati e limitatamente alle istruzioni loro impartite, con preventiva e adeguata informazione al soggetto interessato (il cliente) e chiedendo -quando previsto- il consenso dello stesso.
Riguardo al consenso vengono precisati i casi in cui esso e' indispensabile da quelli in cui non e' obbligatorio, tipicamente quando la richiesta giunge dal fisco o dall'autorita' giudiziaria, oppure quando la comunicazione e' un preciso obbligo di legge a cui la banca e' soggetta.

Tutto cio' adottando le misure di sicurezza necessarie a prevenire atti illeciti (accessi ed utilizzazioni indebite dei dati) dei quali la banca (o la posta) risponde sia civilmente che penalmente.

Nota: Le banche possono effettuare trattamenti di dati personali -tipicamente per l'individuazione dei clienti in accesso nei propri locali - anche tramite rilevazione combinata di impronte digitali ed immagini, ma solo in casi di particolare rischio e nei limiti stabiliti dallo stesso Garante con provvedimento del 27/10/05 (esecutivo dal Marzo 2006).
I "casi di particolare rischio" sono definiti dal Garante come i luoghi ad alta intensita' criminale, aree isolate, posti vicini a "vie di fuga".
Quando si usano questi sistemi i clienti vanno avvisati con cartelli posti agli ingressi e dentro i locali e gli stessi debbono essere lasciati liberi di accedere senza sottoporsi a detti controlli ma semplicemente, per esempio, esibendo il documento di identita'.
I dati devono essere criptati e conservati in un archivio sottoposto al controllo di un "vigilatore" (soggetto indipendente ed esterno alla banca), con cancellazione settimanale automatica (salvo motivi di giustizia o richiesta dell'interessato).
Ai dati "in chiaro" potranno accedere soltanto l'autorita' giudiziaria o la polizia.

OBBLIGHI DELLA BANCA
IDENTIFICAZIONE DEI CLIENTI
L'identificazione della clientela, che puo' avvenire attraverso esibizione di un documento di riconoscimento, talvolta anche acquisendone fotocopia (soprattutto con chi non sia cliente o non sia conosciuto dal personale della banca), e' un preciso obbligo posto a carico delle banche e della posta da diverse leggi.
La nuova normativa principale di riferimento e' il recentissimo decreto "antiriciclaggio" (d.lgs.231/07, attuativo della direttiva 2005/60/Ce, entrato in vigore il 29/12/07) , le cui disposizioni sono state chiarite dal Ministero dell'Economia con circolare n. 125367 del 19/12/07.

In pratica le banche e la posta devono verificare e registrare l'identita' dei propri clienti quando:
- instaurano un rapporto continuativo;
- eseguono operazioni occasionali che comportino la trasmissione o la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000 euro, indipendentemente dal fatto che siano effettuate con una operazione unica o con piu' operazioni che appaiono collegate o frazionate (prima del 29/12/07 questa soglia era di 12.500 euro);
- vi e' sospetto di riciclaggio o di finanziamento del terrorismo, indipendentemente da qualsiasi deroga, esenzione o soglia applicabile (in tal caso la banca, in particolari casi, puo' sospendere l'operazione anche in accordo con la polizia, la guardia di finanzia, la DIA o l'autorita' giudiziaria, organi a cui l'operazione viene segnalata);
- vi sono dubbi sulla veridicita' o sull'adeguatezza dei dati precedentemente ottenuti ai fini dell'identificazione di un cliente.

Il concetto e' ribadito anche dal dpr 605/73 (all'art.7 piu' volte aggiornato), che precisa che le banche e la posta devono rilevare i dati identificativi -compreso il codice fiscale- di ogni soggetto che abbia rapporti con loro o che effettuano -per proprio o altrui conto- operazioni finanziarie. Sono esclusi solo coloro che effettuano versamenti in conto corrente postale (tipicamente tramite il classico bollettino) per importi inferiori ai 1.500 euro.

L'identificazione e' necessaria anche in caso di presentazione all'incasso di assegni, tramite riconoscimento da parte del personale o con esibizione del documento di identita' i cui estremi possono essere annotati sul titolo.

In tali casi, legati ad obblighi di legge, non e' necessario ottenere il consenso al trattamento dei dati, anche se resta l'obbligo di comunicazione dell'informativa (vedi sotto).

INFORMATIVA AI CLIENTI
Ai clienti deve, ai sensi del codice della privacy, essere consegnata un informativa scritta riguardo la gestione dei propri dati personali, contenere notizie riguardo: - le finalita' e le modalita' del trattamento cui sono destinati i dati;
- la natura obbligatoria o facoltativa del conferimento dei dati;
- le conseguenze di un eventuale rifiuto di rispondere;
- i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
- i diritti di cui all'articolo 7 (ovvero di ottenere notizia dell'esistenza o meno di dati personali che li riguardano, il diritto di chiederne modifica, integrazione o cancellazione, nonche' il diritto di opporsi al trattamento degli stessi);
- gli estremi identificativi del titolare (ovvero dell'ente o societa' che gestisce i dati) e, se designati, del rappresentante nel territorio dello Stato.

Queste informazioni debbono essere date per iscritto al primo momento utile, come per esempio la sottoscrizione di un contratto o l'esecuzione di un'operazione bancaria (versamento, pagamento, etc.).

L'obbligo di comunicazione dell'informativa non c'e' quando
- i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
- i dati sono trattati nello svolgimento di investigazioni difensive o in ambito giudiziario; - i mezzi di comunicazione sono giudicati dal Garante sproporzionati rispetto al diritto tutelato, ovvero quando la comunicazione si riveli impossibile.

ORDINI TELEFONICI
Per particolari ordini la banca o la posta possono prevedere la possibilita' di agire telefonicamente e in tal caso hanno facolta' di registrare i colloqui (come tipicamente previsto dalla legge nel caso di ordini di borsa), previa informazione da dare al cliente all'inizio del colloquio stesso.

Stesso principio vale per i servizi di "telephone banking" o in altri casi legati alle esigenze della banca.

DISCIPLINA PER I "RID"
Per quanto riguarda i RID, "rapporti interbancari diretti", ovvero le disposizioni di pagamento automatico normalmente utilizzate per le rate di finanziamento, bollette, etc., la banca deve sempre verificare la completezza ed esattezza dei dati trattati.

Le informazioni necessarie ad impostare ed eseguire tali operazioni, ovvero le coordinate bancarie e il numero di conto corrente del debitore, possono essere raccolte anche a cura del creditore (finanziaria, fornitore del servizio, etc.) che dovra' poi inoltrarli -attraverso la propria banca- alla banca del debitore stesso, detta "domiciliataria".

Visti i numerosi passaggi, e' necessario, in caso di discordanze od incongruenze, che la banca domiciliataria effettui riscontri presso il proprio cliente/debitore, se necessario prima di dare esecuzione all'ordine. Cio' al fine di garantire l'esattezza dei dati prevenendo l'eventuale utilizzo di un conto corrente errato.

IL SEGRETO BANCARIO
COMUNICAZIONE DATI A TERZI
La legge sulla privacy prevede che la comunicazione a terzi di dati personali relativi a un cliente e' ammessa solo se lo stesso vi acconsente.

Questo principio generale ha delle eccezioni, in parte delineate dalla sentenza della Corte costituzionale n.51/92 che ha specificato che il segreto bancario non puo' divenire ostacolo all'adempimento di doveri contributivi o a esigenze legate all'amministrazione della giustizia e alla persecuzione dei reati.

A livello generale lo stesso codice della privacy, prevede infatti precise deroghe a tale principio stabilendo i casi in cui il consenso del cliente (soggetto interessato al trattamento) non e' necessario:
- quando la comunicazione e' legata ad un obbligo previsto da una legge, da un regolamento o da una normativa comunitaria;
- quando la comunicazione e' necessaria per eseguire obblighi derivanti da un contratto sottoscritto con il cliente/soggetto interessato (finanziamento, conto corrente, apertura di credito, etc.etc.) oppure per adempiere, prima della conclusione del contratto, a specifiche richieste del cliente/soggetto interessato;
- quando la comunicazione riguarda dati che provengono da archivi, atti o documenti accessibili a chiunque (i pubblici registri, per esempio), nel rispetto comunque delle norme che regolano gli stessi;
- quando la comunicazione riguarda dati relativi allo svolgimento di attivita' economiche, pur nel rispetto della normativa in materia di segreto aziendale o industriale;
- quando la comunicazione e' necessaria per salvaguardare la vita o l'incolumita' fisica di un soggetto terzo o dello stesso cliente/soggetto interessato. In quest'ultimo caso -se il cliente e' incapace di agire e/o di intendere o di volere- vale anche il consenso di chi ne esercita' la potesta', di un congiunto, familiare, convivente o responsabile della struttura presso cui lo stesso si trova;
- quando la comunicazione e' necessaria al fine dello svolgimento di attivita' investigative difensive (di cui alla legge 397/00), o per far valere o difendere un diritto in sede giudiziaria, a condizione che i dati siano trattati solo per tali finalita' per il periodo strettamente necessario al suo perseguimento e che non siano diffusi;
- quando la comunicazione sia necessaria per perseguire un legittimo interesse del titolare (banca o posta) o di un terzo destinatario dei dati, anche in riferimento all'attivita' di gruppi bancari e di societa' controllate o collegate, a meno che non prevalgano i diritti e le liberta' fondamentali, la dignita' o un legittimo interesse dell'interessato. E' comunque vietata la diffusione dei dati;
- quando la comunicazione e' necessaria per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi d.lgs.490/99, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.

Riguardo specificatamente alle banche e alla posta, si puo' precisare che sono comunicazioni lecite (elenco esemplificativo):
- quelle inerenti obblighi relativi alle leggi emanate in materia di antiriciclaggio (in sostanza le operazioni sospette definite dal d.lgs.231/07);
- quelle necessarie per il contrasto al terrorismo e alla commercializzazione di materiale pedo-pornografico;
- quelle necessarie per il contrasto all'evasione fiscale. Ricordiamo in proposito l'obbligo delle banche e delle poste di comunicare mensilmente all'anagrafe tributaria i dati relativi ai clienti, comprendendo il codice fiscale, la natura e tipologia del rapporto, la data di apertura, modifica e cessazione dello stesso (legge 248/06 e provvedimento agenzia delle entrate n.9647 del 19/1/07);
- quelle relative ai rapporti a rischio, effettuate alle centrali rischi private (CRIF, per esempio) o alla Banca d'Italia e al CAI (centrale di allarme interbancaria);
- quelle richieste dall'autorita' giudiziaria nonche' -nell'ambito delle procedure esecutive (pignoramento, etc.)- dal creditore procedente;
- le comunicazioni previste dall'art.119 del testo unico bancario, ovvero quelle dovute al cliente, a colui che gli succede a qualunque titolo e a colui che subentra nell'amministrazione dei suoi beni relativamente a singole operazioni poste in essere negli ultimi dieci anni.
- informazioni personali relative al soggetto garantito richieste dal garante di un prestito o finanziamento, limitatamente al rapporto di garanzia in essere.

Si ritengono invece comunicazioni indebite, perseguibili sia in sede civile che penale:
- quelle dovute all'assenza o inadeguatezza delle misure di sicurezza, come per esempio la "distanza di cortesia" presso gli sportelli;
- quelle inerenti il mancato rispetto delle istruzioni date agli incaricati del trattamento, come per esempio telefonate o colloqui fatti a voce alta in presenza di terzi;
- la comunicazione di dati a terzi non autorizzati, come per esempio il coniuge a cui venga consegnata documentazione riferita esclusivamente al cliente, i familiari a cui vengono date informazioni (anche per telefono) personali riguardo al cliente, i colleghi di lavoro ed in generale i terzi che divengano destinatari di comunicazioni postali per errore di imbustamento o spedizione della corrispondenza;
- le comunicazioni inviate presso recapiti non autorizzati come per esempio un numero di fax;
- in generale tutte le inosservanze delle norme di sicurezza.

CASI PARTICOLARI:
Il "benefondi"
La prassi interbancaria che prevede la possibilita' di controllare l'esistenza di provviste sufficienti a coprire gli assegni prima della loro riscossione, e' soggetta alle regole generali inerenti la privacy.
Il garante prevede, tuttavia, che tale informazione possa essere data ai soli soggetti legittimati all'incasso o alla negoziazione dell'assegno e non a terzi non autorizzati. Le informazioni date dalla banca devono essere, inoltre, esatte, aggiornate e non eccedenti rispetto allo scopo del benefondi, ovvero devono limitarsi a confermare o meno l'esistenza sul conto del traente l'assegno, dei fondi necessari a coprire lo stesso.

Cessione degli sportelli bancari
Quando la banca si fonde con un'altra o viene da questa acquisita o ceduta, e' previsto il trasferimento automatico dell'intero compendio dei beni comprendente contratti e rapporti di conto corrente e deposito.

In questi casi:
- non e' necessario chiedere il consenso ai singoli clienti riguardo la comunicazione dei loro dati dalla banca cedente alla cessionaria;
- non e' necessario l'invio di una ulteriore informativa sul trattamento dei dati da parte della "nuova" banca al singolo cliente, bensi' e' sufficiente che essa sia pubblicata, insieme alla notizia inerente la cessione, sulla Gazzetta Ufficiale.
La banca cessionaria, tuttavia, e' obbligata ad inviare il documento informativo a tutti i clienti alla prima occasione utile successiva alla cessione, tipicamente al momento dell'invio dell'estratto conto.

ACCESSO AI DATI
Il codice della privacy, agli articoli dal 7 al 10, prevede che il cliente possa chiedere, in qualsiasi momento, notizie riguardanti la gestione dei propri dati personali (l'origine, le finalita' del trattamento, gli estremi del titolare, etc.), disporre per la loro modifica o cancellazione oppure opporsi al loro trattamento.

Nel caso del rapporto con le banche e le poste, questo diritto si estende al conoscimento dei dettagli sulle operazioni effettuate, sugli ordini impartiti (anche attraverso la conoscenza delle conversazioni telefoniche registrate), sui dati personali raccolti per eseguire gli ordini stessi.

La banca dovra', dietro specifica richiesta, rispondere oralmente oppure offrire l'informazione in visione mediante strumenti elettronici. A scelta del cliente potranno anche essere utilizzati supporti cartacei o informatici (copia di atti e/o documenti), oppure trasmissioni per via telematica (e-mail).

Questi diritti non riguardano, ovviamente, dati riferiti a terzi. Se il documento che contiene l'informazione richiesta li riportasse, quindi, essi dovrebbero essere oscurati.

Gli accessi ai dati sono gratuiti. Puo' essere chiesto un contributo solo se la richiesta e' complessa e comporta un notevole impiego di mezzi.

CASI PARTICOLARI
Accesso ai dati di defunti

Puo' accedere ai dati di un defunto chi ha un interesse proprio, agisce a tutela dell'interessato (un procuratore, un avvocato o un delegato) oppure per ragioni familiari (gli eredi, tipicamente).

Le comunicazioni possono riguardare la consistenza patrimoniale, i movimenti del conto corrente, i saldi dei depositi anche se estinti da terzi dopo il decesso nonche' le date di estinzione o di trasferimento dei fondi in altri conti.
Non possono invece essere date informazioni sui terzi che eventualmente sono coinvolti nelle operazioni (per esempio chi ha percepito il saldo del conto o le persone delegate ad effettuare le operazioni bancarie), a meno che essi non risultino cointestatari dei conti del defunto.

Accesso ai dati del fallito
Il soggetto fallito che e' stato privato dell'amministrazione e disponibilita' dei suoi beni puo' esercitare il diritto di accesso ai dati che lo riguardano (dettagli sulle operazioni, movimentazione, etc.). Cio' anche senza autorizzazione o sostituzione del curatore.

LINK UTILI
- Il testo del provvedimento: clicca qui
- Per visionare il testo della legge sulla privacy e/o scaricare il modulo per inoltrare le contestazioni e le richieste alla banca o alla posta (titolari del trattamento), si veda a questo link alla sezione "In evidenza": clicca qui
PRIMO PIANO
 
ADUC - Associazione per i Diritti degli Utenti e Consumatori