Garante per la protezione
    dei dati personali


Comunicazione di informazioni bancarie a terzi

PROVVEDIMENTO DEL 12 NOVEMBRE 2014

Registrodei provvedimenti
 n. 516 del 12 novembre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

Visto ilCodice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

Visto ilreclamo presentato dalla sig.ra XY relativo ad un'asserita comunicazione aterzi di informazioni bancarie alla stessa riferite effettuate dalla Banca diCredito Cooperativo di Cittanova;

Vista ladocumentazione in atti;

Viste leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatorela prof.ssa Licia Califano;

PREMESSO

1. Lasig.ra XY, rappresentata e difesa dall'avv. Serafina Ceravolo, con reclamopresentato a questa Autorità il 14 novembre 2012, ha lamentato un'asseritacomunicazione (datata 2 novembre 2012) a terzi, in particolare, alla societàGallo Vicenzo srl, da parte della Banca di Credito Cooperativo di Cittanova (diseguito, Banca), di informazioni bancarie alla stessa riferite.

Dettacomunicazione sarebbe avvenuta attraverso una lettera inviata dalla Banca allareclamante (nonché ad altri tre destinatari: due persone giuridiche ed unapersona fisica) per comunicarle la scadenza di un titolo posto dalla stessa XYa garanzia di un pegno su un certificato di deposito, nella quale eranoindicati come destinatari  anche altri soggetti, tra cui la Gallo Vincenzosrl.

2. Aseguito della richiesta di informazioni formulata dall'Ufficio, volta aconoscere le finalità e i presupposti dell'invio di tale comunicazione a terzi,la Banca, con nota del 1 febbraio 2013, nel ricostruire la vicenda oggetto delreclamo, ha tra l'altro rappresentato "che la sig.ra XY è socia dimaggioranza della Fabit srl", società facente "parte di un gruppoeconomico-imprenditoriale al quale appartiene, tra gli altri, anche la GalloVincenzo srl".  La Banca, nel descrivere i rapporti personali epatrimoniali tra le società  e i relativi soci, ha dichiarato di ritenereche, nel caso di specie, non vi sia stata una comunicazione a terzi diinformazioni riguardanti la propria cliente, in quanto tra le società cui eraindirizzata la lettera, vi sarebbe una connessione giuridico-economica tale daconfigurare  il cd. "gruppo di clienti connesso" −la cuidefinizione è contenuta nel Titolo V delle "Nuove disposizioni divigilanza prudenziale per le banche" (Circ. n. 263 del 27 dicembre 2006,13 aggiornamento del 29 maggio 2012)−, "che porta la Banca aconsiderare "unico cliente" il Gruppo Gallo-Fabit secondo leindicazioni della Banca d'Italia" (nota della Banca, p. 10).

Con notadatata 12 febbraio 2014, la reclamante ha ribadito le proprie posizioni.

3.1. Vaanzitutto rilevato che non rientra nella competenza di questa Autoritàesaminare la configurazione del "gruppo clienti connesso al qualeapparterrebbe la reclamante", né verificare la congruità delle relativeclausole contrattuali.

Ilreclamo proposto dalla signora XY impone, però, di esaminare la liceità dellacomunicazione dei dati relativi ad un rapporto bancario alla stessa riferito.

3.2 Inproposito, con specifico riferimento alla disciplina in materia di protezionedei dati personali, si ritiene che le informazioni contenute nella nota inviatadalla Banca in data 2 novembre 2012, si riferivano alla sig.ra XY, qualepersona fisica titolare di specifici rapporti bancari personali, nullarilevando, nel contesto in esame, che essa sia socio di maggioranza della Fabitsrl, né che vi siano legami economici e parentali tra la stessa XY, la GalloVincenzo srl. e i relativi soci o amministratori.

LaBanca, quindi, ha effettuato tale  comunicazione in assenza del consensodell'interessata previsto dall'art. 23 del Codice, nonché di una delle ipotesidi esonero del consenso previste dal successivo art. 24, configurando, in talmodo, un trattamento dei dati personali dell'interessata in violazione anchedel principio di liceità e correttezza del trattamento (art. 11, comma 1, lett.a), del Codice). Ne consegue che il trattamento di dati personali posto inessere  dalla Banca non può che essere dichiarato illecito. In relazione aciò l'Autorità si riserva di instaurare un autonomo procedimento sanzionatorioin sede amministrativa (art. 162, comma 2-bis).

Naturalmentela Banca avrebbe potuto fornire le indicazioni necessarie o attuare gliinterventi richiesti dalle disposizioni di vigilanza prudenziale attraversocomunicazioni specifiche rivolte ai singoli soggetti del gruppo clienti, avendocura di non comunicare a terzi informazioni personali e riservate riferite aglistessi.

4. Allaluce di quanto sopra esposto, considerato che la condotta tenuta dalla Bancanella fattispecie in esame non risulta dagli atti conforme alla disciplina inmateria di protezione dei dati personali, nel rappresentare la necessità diimpartire, ai sensi degli artt. 154, comma 1, lett. c) e 143, comma 1, lett. b)del Codice, la prescrizione di cui al seguente dispositivo.

IL GARANTE

−   dichiara l'illiceità deltrattamento effettuato da Banca di Credito Cooperativo di Cittanova conriferimento ai dati personali della sig.ra XY, oggetto di comunicazione a terzicon la nota del 2 novembre 2012;

−   ai sensi degli artt. 143, comma 1,lett. b) e 154, comma 1, lett. c) del Codice, prescrive alla Banca di CreditoCooperativo di Cittanova di adottare entro novanta giorni dal ricevimento delpresente atto e fornendone riscontro a questa Autorità, le misure necessarieper assicurare che la comunicazione a terzi dei dati personali di coloro cheentrino in contatto con l'istituto avvenga solo con il consenso degliinteressati  (art. 23 del Codice) o, in difetto, in presenza di uno deipresupposti equipollenti indicati dall'art. 24 del Codice, impartendo, a talfine, anche adeguate istruzioni ai responsabili e agli incaricati deltrattamento,

Ai sensidegli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'Autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 12 novembre 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia