Garante per la protezione
    dei dati personali


Illecita comunicazione a terzi di dati bancari –

PROVVEDIMENTO DEL 25 SETTEMBRE 2014

Registrodei provvedimenti
n. 428 del 25 settembre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO ilCodice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196);

VISTA lasegnalazione pervenuta dalla sig.ra XY nei confronti della Banca dei Due Maridi Calabria (di seguito, Banca), relativa ad una comunicazione a terzi diinformazioni bancarie alla stessa riferite;

Vista ladocumentazione in atti;

Viste leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

PREMESSO

1. Lavicenda.

Consegnalazione pervenuta in data 5 dicembre 2013, la sig.ra XY, cliente e sociofondatore della Banca dei Due Mari di Calabria, ha lamentato un'indebitacomunicazione a terzi, da parte della predetta Banca, di informazioni bancarieconcernenti uno "sconfinamento" verificatosi su un conto corrente dicui ella era unica intestataria e su cui era "appoggiata" una suacarta di credito.

Inparticolare, la segnalante ha asserito che la Banca, con una lettera del 29ottobre 2012, inviata "per conoscenza" anche al di lei padre, sig.KW, le aveva comunicato l'avvenuta revoca di tutti gli affidamenti a suo tempoconcessi "per inadempimento di obbligazioni previste nei contratti emancato rimborso di somme dovute", nonché l'imminente iscrizione del suonominativo presso la Centrale Rischi della Banca d'Italia; in tale missiva, però,erano stati inseriti riferimenti riguardanti anche "anomalie"verificatesi su un conto corrente a cui il sig. KW era totalmente estraneo, conla conseguenza che quest'ultimo era stato posto in condizione di avere contezzadi tali informazioni senza il consenso dell'interessata −unica titolaredel rapporto contrattuale− nonché in assenza di uno dei presupposti diesonero previsti dall'art. 24 del Codice.

Aseguito di una specifica richiesta di informazioni formulata dall'Ufficio, laBanca, con nota di riscontro pervenuta il 16 gennaio 2014, ha contestato diaver violato in alcun modo la disciplina in tema di protezione dei datipersonali, chiarendo che la sig.ra XY è intestataria non solo di un contocorrente personale, ma anche di un mutuo ipotecario garantito dal di lei padre,sig. KW.

Inoltre,la Banca ha rappresentato che, stante "l'andamento anomalo di entrambi i[predetti] rapporti", già in data 4 ottobre 2011 aveva inviato unsollecito alla segnalante e, per conoscenza, al sig. KW, in vista di unaregolarizzazione della "posizione debitoria anche in relazione al rapportodi conto corrente" di cui la sig.ra XY era –e tutt'ora è- unicatitolare.

Inragione di ciò, la sig.ra XY aveva presentato una segnalazione al Garante,lamentando, in riferimento al rapporto di conto corrente, l'avvenutacomunicazione al proprio genitore di informazioni bancarie che la riguardavanoin assenza del suo consenso; quindi, all'esito dell'attività istruttoria,l'Autorità, dopo aver rilevato, con nota del 28 maggio 2012 (prot.14017/78141), l'eccedenza di tale comunicazione e la mancata acquisizione delprevio consenso dell'interessata (artt. 11, comma 1, lett. d) e 23 del Codice),con successivo provvedimento di contestazione del 12 luglio 2012 (prot.18346/78141) aveva irrogato alla Banca una sanzione amministrativa pecuniaria,poi regolarmente pagata dalla stessa Banca.

Ciòpremesso, nell'odierno procedimento la Banca ha riconosciuto di avere inviato,in data 29 ottobre 2012, una nuova comunicazione sia alla sig.ra XY, sia"per conoscenza" al di lei genitore, recante, anche in questo caso,riferimenti sia al mutuo ipotecario garantito dal sig. KW, sia al rapporto diconto corrente intestato esclusivamente alla sig.ra XY, giustificandol'accaduto con il fatto che "l'inoltro di questo tipo di comunicazioniavviene in automatico nei confronti degli stessi soggetti che nel sistema sonocensiti e collegati alla posizione di sofferenza e che, comunque, sono statidestinatari della precedente e preliminare richiesta di regolarizzazione deirapporti." (v. cit. nota del 16 gennaio 2014, p. 1, punto f).

In ognicaso, la Banca ha altresì sostenuto che, a suo dire, detta comunicazione,oggetto della odierna segnalazione, non potrebbe essere configurata come una"nuova violazione", in quanto sostanzialmente si tratterebbe"della medesima violazione già contestata (ovvero comunicazione al terzoestraneo KW dei dati relativi al conto corrente []) in relazione alla quale èstata già comminata e pagata la sanzione pecuniaria [e ciò anche in ragionedel fatto che] il sig. KW era già a conoscenza dell'andamento anomalo del contocorrente intestato alla figlia, essendo stato destinatario della nota del04/10/11 [e] senza contare che la comunicazione di revoca degli affidamenti esegnalazione a sofferenza in Centrale Rischi, di cui alla successiva nota del29/10/12, riguardava anche il mutuo ipotecario", per un complessivo saldodebitorio di gran lunga superiore rispetto a quello relativo al solo rapportodi conto corrente.

2.L'illiceità del trattamento.

Preliminarmenteva rilevato che la nuova comunicazione di informazioni personali posta inessere dalla Banca in data 29 ottobre 2012, mediante l'invio di un'appositamissiva sia alla sig.ra XY sia al sig. KW, ha dato luogo ad un trattamento didati personali non conforme a legge.

Infatti,come già rilevato dall'Autorità (v. cit. nota del 28 maggio 2012) in occasionedell'esame della pregressa comunicazione effettuata dalla Banca in data 4ottobre 2011, anch'essa inviata ai predetti destinatari, il sig. KW, "ancorchégarante in un distinto rapporto bancario riferito all'interessata" (equindi parte di esso) "è terzo rispetto al conto corrente bancario"di cui la sig.ra XY è titolare esclusiva (cfr. cit. nota del 28 maggio 2012,punto 2), sicché la comunicazione al sig. KW di informazioni afferenti alrapporto di conto corrente, stante la loro estraneità rispetto al rapporto digaranzia afferente al solo mutuo ipotecario, avrebbe dovuto essere precedutadall'acquisizione di uno specifico consenso dell'interessata o, in difetto, inpresenza di uno dei presupposti alternativi previsti dall'art. 24 del Codice.Il che, anche che nel caso in esame, non è avvenuto.

Né puòessere attribuito alcun rilievo al fatto che il sig. KW, in precedenza, fossegià stato posto a conoscenza, seppur indebitamente, delle anomalie afferenti alrapporto di conto corrente della propria figlia, in quanto tale circostanza nonpuò valere a sollevare la Banca dall'obbligo di rispettare i presupposti dilegge (artt. 23 e 24 del Codice) per effettuare una nuova comunicazione aventead oggetto ulteriori vicende legate al predetto rapporto.

Riguardo,poi, all'eccezione formulata dalla Banca, secondo cui la nuova comunicazioneposta in essere non integrerebbe una nuova violazione della disciplina in temadi protezione dei dati personali ma, avendo "a fondamento la medesimamotivazione di cui alla precedente segnalazione del 27/12/2011", andrebbesussunta nella "medesima violazione già contestata", essa non puòessere accolta.

Infatti,la nuova comunicazione è espressione di una nuova condotta illecita da partedella Banca −rispetto alla quale, pertanto, questa Autorità si riserva divalutare l'applicazione delle sanzioni amministrative−, che, sebbenepresenti, per la natura dei fatti e dei motivi che l'hanno determinata, unasostanziale identità rispetto a quella risalente al 4 ottobre 2011, è da essadel tutto autonoma e distinta: in tal senso è sufficiente tenere conto non solodella circostanza che tra le due distinte condotte è intercorso più di un anno,ma anche del fatto che l'illecito commesso il 4 ottobre 2011 era già statoaccertato con provvedimento esecutivo dell'Autorità e addirittura estinto aseguito di intervenuto pagamento della sanzione (avvenuto il 6 settembre 2012,prima ancora della commissione della seconda condotta).

Alcontrario, la circostanza che anche l'odierna segnalazione sia stata originatada un'avvenuta indebita comunicazione a terzi  dei dati personalidell'interessata afferenti al rapporto di conto corrente a lei esclusivamenteintestato, da un lato dimostra un evidente disinteresse della Banca rispetto airilievi che avevano indotto questa Autorità a considerare non conforme a leggel'originario trattamento dei dati e ad irrogare la relativa sanzionepecuniaria, dall'altro evidenzia una totale inerzia della stessa Bancanell'adottare una nuova configurazione dei propri sistemi informatici che, neldare effettiva attuazione ai principi posti dal Garante con le "Lineeguida in materia di trattamento dei dati personali della clientela in ambitobancario" adottate dal Garante il 25 ottobre 2007 (pubblicate in G.U. 23novembre 2007, n. 273) espressamente richiamate nella nota del 28 maggio2012, si riveli in grado di scongiurare ingiustificate lesioni al diritto allariservatezza dei propri clienti. Ciò soprattutto ove, come nel caso in esame,tali violazioni siano determinate -come riferito dalla stessa Banca- da unindiscriminato invio in "automatico" di comunicazioni a tutti coloroche, in qualche modo, siano collegati ad una specifica posizione "insofferenza" di un cliente o che ne siano già stati notiziati, senza chesia previsto alcun accorgimento per impedire che in tale contesto sianocomunicate anche informazioni afferenti ad ulteriori rapporti contrattuali,rispetto a cui essi risultino giuridicamente estranei.

Pertanto,al fine di impedire il verificarsi di ulteriori casi di trattamento illecito,questa Autorità ordina alla Banca dei Due Mari di Calabria di adottaremodifiche tecnico-organizzative atte ad evitare che il sistema informaticodella stessa Banca possa inviare automaticamente a più destinataricomunicazioni concernenti diverse posizioni bancarie di un medesimo cliente, inassenza di un "filtro" che assicuri l'esistenza di un effettivointeresse di ciascun destinatario a conoscere tali informazioni.

TUTTO CIO' PREMESSO IL GARANTE

1. dichiara l'illiceità del trattamento dei datipersonali della sig.ra  XY posto in essere dalla Banca dei Due Mari diCalabria con riferimento all'avvenuta comunicazione del 29 ottobre 2012;

2. ai sensi degli artt. 143, comma 1, lett. b), 144 e154, comma 1, lett. c) e d) del Codice, prescrive alla Banca dei Due Mari diCalabria di adottare, entro il 30 dicembre 2014, idonee misuretecnico-organizzative atte ad evitare l'invio "in automatico" dicomunicazioni riferite a diverse posizioni bancarie che, benché intestate ad ununico cliente, vedano solo per alcune di esse, la presenza di un garante,evitando così che terzi possano venire a conoscenza di altre eventualiposizioni bancarie dell'intestatario del conto;

3. richiede, ai sensi dell'art. 157 del Codice, allaBanca dei Due Mari di Calabria di comunicare a questa Autorità, entro e nonoltre il 30 gennaio 2015, le misure adottate per dare attuazione alleprescrizioni indicate al punto 2 del presente dispositivo.

Ai sensidell'art. 152 del Codice, avverso il presente provvedimento può essere propostaopposizione all'autorità giudiziaria ordinaria, con ricorso depositato altribunale ordinario del luogo ove ha la residenza il titolare del trattamentodei dati, entro il termine di trenta giorni dalla data di comunicazione delprovvedimento stesso, ovvero di sessanta giorni se il ricorrente risiedeall'estero.

Roma, 25 settembre 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia