Garante per la protezione
    dei dati personali


Trattamento di dati personali senza informativa daparte di un banca

PROVVEDIMENTO DEL 2 OTTOBRE 2014

Registrodei provvedimenti
 n. 436 del 2 ottobre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro Presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

Visto ilreclamo presentato dai sigg.ri KK, XX e WW nei confronti di Banca delle MarcheS.p.a. in gest. provv.;

Vista ladocumentazione in atti;

Visto ild.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali);

Visto il"Codice di deontologia e di buona condotta per i sistemi informativigestiti da soggetti privati in tema di crediti al consumo, affidabilità epuntualità nei pagamenti" promosso dal Garante ai sensi dell'art. 12 delCodice (Provv. del Garante n. 8 del 16 novembre 2004, pubblicato nella GazzettaUfficiale del 23 dicembre 2004, n. 300);

Viste leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatorela dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Conreclamo pervenuto il 6 agosto 2013, i sigg.ri XX e la sig.ra KK, e la sig.ra WWhanno riferito che, in data 29 ottobre 2010, si erano recati presso la filialedi Montemarciano di Banca delle Marche S.p.a. (di seguito, Banca) persottoscrivere un contratto di fideiussione in favore del sig. JJ,rispettivamente genero e coniuge dei reclamanti. Inoltre, i predetti hannoasserito che, nell'occasione, avevano sottoscritto tre moduli, "nellaconvinzione di aver firmato il contratto di fideiussione (per 21.000,00 euro),la documentazione relativa al trattamento della Privacy e il documento disintesi con le informative al cliente".

Solo adistanza di tempo, i reclamanti, destinatari di una richiesta di rientroinviata dalla Banca, avevano appreso che, contrariamente a quanto sino adallora ritenuto e, comunque, senza che ciò fosse mai stato loro specificato,stante la mancata ricezione di qualsiasi "informativa da parte delpersonale preposto", di fatto avevano "sottoscritto fideiussioniestese [anche] alle precedenti posizioni debitorie del sig. JJ per ulterioriEuro 45.000,00 e 7.500,00".

Aseguito di ciò, il sig. XX, con missiva dell'11 dicembre 2012, aveva avanzatole proprie rimostranze alla Banca, asserendo di aver inteso concedere lagaranzia fidejussoria soltanto per il finanziamento ammontante a 21.000,00Euro; la Banca, nel fornire riscontro attraverso il proprio "Ufficioreclami", con nota del 25 gennaio 2013 sosteneva che, in occasione dellastipula del rapporto di garanzia, il "Titolare della Filiale" aveva"ritenuto che la solidarietà familiare dovesse essere estesa anche apregresse situazioni debitorie del sig. JJ, come condizione necessaria per laconcessione del finanziamento medesimo". In ragione di tale affermazione,il sig. XX aveva chiesto alla Banca di avere "copia della documentazionesottoscritta" e, in particolare, "dell'informativa Privacy"sottoscritta dagli odierni reclamanti; in risposta a tale richiesta, la Bancaaveva inviato "una copia delle tre fideiussioni ed una copiadell'informativa privacy sottoscritta dal solo XX nel 1998", peraltro"come correntista in un'altra filiale dello stesso Istituto dicredito" (v. cit. reclamo del 6 agosto 2013).

Pertanto,i reclamanti concludevano chiedendo la declaratoria d'illiceità del trattamentoposto in essere dalla Banca con riferimento ai loro dati personali, conprescrizione, da parte dell'Autorità adita, di misure opportune o necessarieper rendere il trattamento conforme alle disposizioni di legge.

2. Con notadel 30 settembre 2013, la Banca, nel fornire riscontro ad una specificarichiesta di informazioni di questa Autorità, ha dichiarato –assumendo alriguardo ogni responsabilità ai sensi dell'art. 168 del Codice- che "ilmodello di consenso sottoscritto il 2 gennaio 1998" era "antecedentealla firma delle fideiussioni del 29 ottobre 2010, in quanto il sig. XX era giàcliente della [] Banca"; inoltre, l'istituto, nel produrre appositadocumentazione, ha altresì rappresentato che i modelli recanti l'informativaprevista dal codice di deontologia di settore erano "stati debitamentefirmati il 18 ottobre 2010 dai sigg.ri KK e XX", con rilascio dicontestuale autorizzazione alla Banca per "consultare le banche dati pervalutare l'affidabilità dei clienti stessi". Infine, la Banca ha ancheprecisato che, per "concedere il nuovo finanziamento", si era reso"necessario estendere la garanzia anche ai rapporti preesistenti poiché,in mancanza, non sarebbe stato possibile concedere tale finanziamento".

3. Lavicenda riguarda il trattamento dei dati personali degli interessati operatodalla Banca in occasione dell'instaurazione di un rapporto di fideiussione infavore di un loro congiunto.

Preliminarmentedeve rilevarsi che esula dal presente procedimento la questione concernentel'effettiva estensione della garanzia prestata dai singoli fideiussori (e cioèse sia stato garantito soltanto l'ultimo finanziamento concesso in ordine ditempo al sig. JJ, debitore principale, oppure anche i precedentifinanziamenti),  trattandosi di aspetti civilistici su cui questa Autoritànon ha alcuna competenza a decidere.

Sulpiano concernente la disciplina in materia di protezione dei dati personali, sirileva che la Banca, in qualità di titolare del trattamento, nel caso specificoavrebbe dovuto fornire ai singoli interessati l'informativa di cui all'art. 13del Codice, volta ad informare i predetti sugli aspetti fondamentali deltrattamento che la Banca avrebbe intrapreso in vista dell'instaurazione e dellagestione del rapporto contrattuale, comprendente anche gli ulteriori elementiindicati dall'art. 5 del Codice di deontologia e di buona condotta per isistemi informativi gestiti da soggetti privati in tema di credito al consumo,affidabilità e puntualità nei pagamenti (Provvedimento del Garante n. 8 del 16novembre 2004, G. U. 23 dicembre 2004, n. 300, come modificato dall'erratacorrige pubblicata in G. U. 9 marzo 2005, n. 56- all. A.5 del Codice), volti adevidenziare adeguatamente e specificamente le modalità di trattamento di talidati anche nell'ambito dei sistemi di informazione creditizia.

4. Ciòpremesso, all'esito dell'istruttoria è emerso che la Banca risulta aver fornitotale informativa sia al sig. XX, sia alla sig.ra KK.

Inparticolare, la Banca ha prodotto non solo un'originaria informativa sultrattamento dei dati personali resa al sig. XX sin dal 2 gennaio 1998, allorchécostui ebbe ad instaurare un rapporto contrattuale con la Banca, ma ha ancheprodotto copia di due distinte informative datate 18 ottobre 2010, sottoscrittedai predetti coniugi in occasione del rilascio della garanzia fideiussoria,entrambe recanti tutti gli elementi indicati dall'art. 13 del Codice edall'art. 5 del citato Codice deontologico (v. all.ti alla cit. nota dellaBanca del 30 settembre 2013).

Alcontrario, la Banca, su cui incombeva l'onere probatorio, non ha prodotto copiadell'informativa che avrebbe dovuto essere resa alla sig.ra WW, anch'essa partedel rapporto fideiussorio, con la conseguenza che, limitatamente alla posizionedella predetta, il trattamento dei dati personali posto in essere dalla Bancanon risulta essere stato conforme a legge. Rispetto a tale profilo, l'Autoritàsi riserva di instaurare autonomo procedimento per contestare in sedeamministrativa la violazione di quanto disposto dal citato art. 13 del Codice(artt. 13 e 161 del Codice).

Talecircostanza, peraltro verificatasi in riferimento ad un unico rapporto digaranzia concernente più fideiussori, fa ritenere che le attuali procedureadottate dalla Banca per garantire la costante e puntuale osservanza, da partedegli incaricati del trattamento, delle norme in materia di protezione dei datipersonali dei clienti debbano essere oggetto di revisione, per escludere lafutura ripetizione di operazioni di trattamento non conformi a legge; pertanto,si prescrive alla Banca stessa di adottare, entro 60 giorni dalla ricezione delpresente provvedimento, misure necessarie al riguardo, con obbligo di fornire,ai sensi dell'art. 157 del Codice, adeguato riscontro documentato a questaAutorità entro 30 giorni dalla loro adozione.

TUTTO CIO' PREMESSO, IL GARANTE:

−      dichiaral'illiceità del trattamento posto in essere da Banca delle Marche S.p.A. ingest. provv. in riferimento ai dati personali della sig.ra WW, per violazionedell'obbligo di informativa (art. 13 del Codice e art. 5 del Codice dideontologia e di buona condotta per i sistemi informativi gestiti da soggettiprivati in tema di credito al consumo, affidabilità e puntualità nei pagamenti;

−      ai sensi degliartt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive aBanca delle Marche S.p.A. in gest. provv., in persona del legale rappresentantepro tempore, di adottare, entro 60 giorni dalla ricezione del presenteprovvedimento, le misure necessarie per garantire la costante e puntualeosservanza, da parte degli incaricati del trattamento, delle norme in materiadi protezione dei dati personali dei clienti, con obbligo di fornire, ai sensidell'art. 157 del Codice, adeguato riscontro documentato a questa Autoritàentro 30 giorni dalla loro adozione;

−      ai sensi degliartt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 2 ottobre 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia