di
Silvia Melchionna

Le disposizioni della legge n.675/1996 hanno inciso in maniera rilevante sull'attività dei soggetti pubblici e privati che dispongono di banche di dati personali e che effettuano trattamenti con i medesimi. Nel settore bancario l'impatto della legislazione in esame è stato rilevante ed ha comportato notevoli sforzi organizzativi ed economici connessi alla gestione degli adempimenti richiesti.

Una strada perseguibile per rendere armoniche le attività bancarie con le disposizioni della legge è stata individuata nei codici di autodisciplina; tali strumenti non dovrebbero limitarsi ad affermare l'esigenza di tutelare la riservatezza, come accadde per i codici nati negli anni ‘80, ma disciplinare in modo puntuale e completo alcuni aspetti, non affrontati dalla legge, al fine di rendere non necessari ulteriori interventi legislativi.

L'urgenza di adeguare prassi consolidate alle previsioni della legge n.675/1996 si è particolarmente sentita all'interno del mondo bancario, a causa della sempre maggiore importanza che le informazioni economiche, ovvero la situazione patrimoniale degli individui, assumono nella società contemporanea. Il rilievo che tali dati hanno raggiunto nei rapporti sociali solleva vivaci dibattiti sulla loro condizione di riservatezza o di pubblicità.

L'intermediazione creditizia non può oggettivamente prescindere dallo svolgimento di un interrotto e diffuso trattamento di dati personali della clientela. I maggiori flussi di dati economico-patrimoniali provengono, infatti, dagli istituti di credito, come appare evidente dalla fittissima rete delle comunicazioni interbancarie, dalle centrali rischi private e dalla corrente prassi delle "referenze" di solidità e solvibilità della clientela. Il velo di riserbo, che contraddistingue l'attività bancaria, crea spesso un'ignoranza del soggetto sulla richiesta e comunicazione delle proprie informazioni personali a terzi. In considerazione dell'enorme mole di dati personali relativi alla quasi totalità dei cittadini, degli enti pubblici e degli operatori economici di cui sono in possesso le imprese creditizie, si rende, quindi, sempre più urgente un'opera di completo adeguamento alle disposizioni della legge n.675/1996.

L'applicazione della legge al settore bancario e creditizio ha creato incertezze e difficoltà interpretative sulle norme applicabili e le loro eccezioni, sulla necessità di creare nuove figure aziendali deputate alla gestione della materia, nonché sulla modifica dei processi organizzativi nei quali potrebbero svolgersi trattamenti illeciti o non consentiti. Il monitoraggio costante e permanente delle attività di trattamento dei dati personali e l'attenzione verso le misure di sicurezza necessarie si configurano come ulteriori motivi di riflessione da parte degli operatori del settore.

Già prima dell'emanazione della legge sulla protezione dei dati personali, le banche garantivano un discreto livello di tutela delle informazioni personali, sia grazie alla previsione del segreto bancario, operante in qualsiasi fase dello svolgimento dell'attività creditizia (ed in particolare nel delicato momento della trasmissione delle notizie rese dall'interessato circa la sua "affidabilità finanziaria"), sia per una tradizionale riservatezza del loro operare. Tale cultura, tipica del mondo bancario deve, quindi, essere posta ad implementare le norme sancite dalla legge n.675/1996.

Fondamentali, per un'analisi più completa di tali equilibri, sono le disposizioni contenute nel Testo Unico delle leggi bancarie (D.Lgs. n.385/1993), su cui si fonda l'azione di vigilanza della Banca d'Italia. Tali norme, infatti, si pongono come disposizioni programmatiche volte ad ispirare l'attività di gestione degli esponenti delle banche e degli intermediari finanziari. Tra queste particolare risalto deve essere dato all'articolo 5, che sancisce il rispetto dei principi di una sana e prudente gestione nell'esercizio delle attività svolte da questi soggetti, intesi come attività volte a finanziare solo i soggetti "meritevoli".

Fondamentale, in materia di trattamento dei dati personali da parte del mondo bancario e creditizio, è anche la Raccomandazione del Comitato dei Ministri del Consiglio d'Europa n.19 del Settembre 1990, relativa alla protezione dei dati personali utilizzati a fini di pagamento ed operazioni connesse. Tale atto europeo già sanciva che "il rispetto della vita privata delle persone deve essere garantito al momento della raccolta, registrazione, utilizzazione, comunicazione e conservazione dei dati a carattere personale connessi alla fornitura o all'utilizzo di un mezzo di pagamento"; attività che debbono avvenire solo per il perseguimento dei servizi richiesti dal soggetto.

Tali previsioni dovranno, quindi, essere lette in modo uniforme alla legge n.675/1996, al fine di offrire una serie di disposizioni a tutela dei cittadini collegate e omogenee.

I diritti e gli interessi che si pongono come confliggenti nell'applicazione della normativa al settore bancario dovranno essere necessariamente contemperati nel rispetto della trasparenza dei trattamenti e, soprattutto, della loro prevedibilità da parte dell'interessato. La circolazione dei dati personali, come qualsiasi altro bene, potrà essere utilizzata in funzione concorrenziale, creando benefici concreti per gli interessati e per i titolari del trattamento.

Ai sensi dell'articolo 10 della legge n.675/1996 l'interessato (sia persona fisica che giuridica), deve essere preventivamente informato sulle modalità e finalità del trattamento, nonché su ogni altro aspetto che si rilevi fondamentale per una completa conoscenza delle operazioni effettuabili dal titolare.

Molto spesso tale adempimento si traduce in un sistema di "informativa mobile", affissa cioè nei locali aperti al pubblico degli intermediari finanziari e bancari e/o asportabile dalla clientela. Tuttavia, qualora si debbano effettuare trattamenti per i quali è necessario il consenso dell'interessato, l'informativa viene ad essere generalmente posta per iscritto insieme alla richiesta dell'assenso del soggetto, soprattutto ai fini di una maggiore certezza probatoria nel caso d'eventuali contestazioni giudiziarie in merito al mancato rilascio della stessa da parte del titolare.

Il titolare comunque potrebbe dimostrare il rilascio dell'informativa ricorrendo alla prova testimoniale. Il giudice, inoltre, sul punto potrebbe procedere attraverso le presunzioni di cui all'articolo 2727 c.c. (partire da un fatto noto per risalire ad uno ignoto), in virtù delle quali potrebbe trarre spunto da alcuni fatti conosciuti e sostenibili, come l'avvenuto incontro con un cliente e l'esistenza di documentazione bancaria. Proprio in considerazione di tali problematiche, la maggior parte degli istituti di credito si è orientata verso un'informativa scritta contestuale alla richiesta del consenso al trattamento dei dati personali del cliente.

Il citato articolo 10 distingue l'informativa a seconda che i dati personali siano raccolti presso terzi o direttamente dalla persona cui si riferiscono. Nel caso in cui la banca attinga le informazioni da un archivio pubblico (cioè presso terzi) o da un familiare dell'interessato, il titolare ha l'obbligo di informare quest'ultimo al momento della registrazione o non oltre la comunicazione dei dati a terzi.

Le informative dovranno indicare le fonti d'acquisizione dei dati personali relativi ai clienti, la possibilità di dover trattare dati sensibili (in occasione di specifiche operazioni richieste dall'interessato, come ad esempio il pagamento in via continuata di quote associative a movimenti sindacali o partiti politici attraverso bonifici), le finalità e le modalità dei trattamenti effettuati, le categorie di soggetti ai quali i dati sono comunicati, i diritti dell'interessato di cui all'articolo 13, nonché i responsabili delle operazioni in questione. Le diverse finalità del trattamento si distinguono per essere connesse e strumentali alla gestione dei rapporti con la clientela (obblighi derivanti dalla conclusione di un contratto), per realizzarsi in adempimento agli obblighi previsti dalla legge (come la legge sull'usura), da regolamenti o dalla normativa comunitaria e da finalità strumentali all'attività della banca, quali la promozione di servizi. L'informativa dovrà contenere, inoltre, l'indicazione delle modalità cartacee e/o automatizzate caratterizzanti il trattamento. Nelle informative che gli istituti di credito devono inviare alla clientela dovranno essere indicate le categorie di soggetti ai quali i dati possono essere comunicati; quindi l'individuazione delle società esterne per l'effettuazione di lavorazioni necessarie per realizzare le disposizioni impartite dalla clientela, per la gestione dei servizi di pagamento, di carte di credito, di esattorie e tesorerie, nonché per il controllo delle frodi ed il recupero crediti. In merito a tali comunicazioni nella modulistica deve essere chiarito che il diniego del consenso, per l'invio dei dati personali a terzi, e per i correlati trattamenti effettuati da questi ultimi, potrà comportare l'esecuzione da parte della banca delle sole operazioni c.d. "statiche", che non prevedono cioè le suddette comunicazioni (ad esempio la movimentazione di libretti di deposito a risparmio al portatore, la compravendita di valuta estera allo sportello e l'emissione di assegni circolari).

L'informativa da rendere all'interessato non si pone solo come un atto formale, bensì rappresenta anche il modo con cui l'azienda comunica al cliente la propria sensibilità verso il trattamento dei dati personali. Un'informativa generica ed imprecisa, oltre ai rischi d'impugnativa, può causare l'irritazione di chi la legge. Esperti del settore consigliano, nella stesura di tali informative, una maggiore collaborazione tra uffici legali e marketing, al fine di fare del diritto alla riservatezza un'occasione di sviluppo delle banche attraverso l'offerta di servizi aggiuntivi in tal senso. L'accresciuta sensibilità verso la tutela della privacy potrà in futuro, infatti, costituire una ragione tale da orientare le preferenze della clientela verso gli operatori bancari che, adottando tutte le opportune cautele, si siano mostrati in grado di contemperare nel modo migliore le esigenze di riservatezza della clientela con i propri obiettivi imprenditoriali.

Il Garante della privacy ha divulgato nel febbraio del 1999 un fac-simile di informativa molto snella, in cui venivano ben individuate le diverse finalità del trattamento, i servizi resi in outsourcing, i diritti dell'interessato, nonché gli estremi del responsabile del trattamento cui il cliente potrà rivolgersi.

Fondamentale è anche ricordare come l'informativa debba rispettare il principio della "simmetria" rispetto al modulo del consenso, dovendosi riflettere i contenuti della prima nel secondo.

La raccolta del consenso dell'interessato rappresenta, forse, l'aspetto più delicato del trattamento dei dati personali da parte dei soggetti privati e degli enti pubblici economici. Ai sensi del terzo comma dell'articolo 11, il consenso sarà validamente prestato solo se espresso "liberamente, in forma specifica e documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 10", affermandosi, così, il principio della simmetria fra consenso e informativa.

L'articolo 11 della legge, sancendo la necessità di un consenso espresso dell'interessato, non richiede, per i dati comuni, la sottoscrizione di esso potendosi, così, considerare valido anche un consenso orale purché non tacito. Problemi interpretativi sorgono in merito all'inciso contenuto nell'articolo 11 relativo alla necessaria documentazione per iscritto dell'assenso dell'interessato. In considerazione di ciò, alcuni istituti di credito, nell'esercizio di attività di telemarketing, hanno acquisto consensi telefonici orali documentati per iscritto dall'operatore che ha ricevuto la dichiarazione ovvero attraverso la registrazione della telefonata, previo avviso dell'interlocutore di tale procedura.

L'ambito dei trattamenti di dati personali in cui è necessario il consenso dell'interessato è strettamente correlato alle modalità e finalità di espletamento dell'attività bancaria. Se la fornitura di servizi bancari implicasse il coinvolgimento delle sole strutture interne dell'istituto di credito, la necessità di tale condizione di legittimità sarebbe rimossa in virtù della disposizione contenuta nell'articolo 12, comma 1, lett. b), che sancisce la non necessarietà dell'assenso "per l'esecuzione di obblighi derivanti da un contratto di cui è parte l'interessato, o per l'acquisizione di informative precontrattuali attivate su richiesta di quest'ultimo". Tale deroga al principio del consenso permette agli istituti di credito di realizzare tutte quelle operazioni necessarie per eseguire i compiti oggetto del negozio giuridico stipulato con il cliente.

In questa ipotesi di esenzione si ritiene che possa rientrare l'attività di factoring. Sembra evidente, infatti, che per quanto attiene al rapporto esistente tra intermediario e il cedente, gli obblighi inerenti alla tutela della privacy si esauriscono nel rispetto dei principi generali circa la qualità dei dati e la correttezza del trattamento, nonché nell'informativa, potendosi escludere il consenso dell'interessato ai sensi della lettera b), dell'articolo 12. L'esimente si fonderebbe sulla considerazione che, per quanto l'attività economica si riferisca all'interessato, in altre parole al cedente, sia proprio quest'ultimo ad aver richiesto l'operatività del factor. Con riferimento al rapporto cedente-ceduto-cessionario nell'attività di factoring, è bene sottolineare come il più delle volte si tratti di dati relativi a persone giuridiche e spesso alle attività economiche di tali soggetti, riconducibili alla disciplina della cessione dei crediti di impresa (L. n.52/1991); tali osservazioni, tuttavia, possono considerarsi inerenti anche alle cessioni effettuate ai sensi del codice civile (art 1260 e segg.). E' bene evidenziare che in tali circostanze possono emergere anche alcune informazioni riguardanti la famiglia dell'interessato o addirittura dati sensibili (per esempio l'indicazione di spese mediche sostenute da qualche familiare). In tal senso si determina l'obbligo per il titolare del trattamento di ottenere il consenso scritto dell'interessato, e di operare nel rispetto dell'autorizzazione al trattamento dei dati sensibili emanata dall'Autorità Garante.

Sembrerebbe rientrare nella previsione di deroga di cui alla lettera b) dell'articolo 12, anche l'attività dei promotori finanziari; per il trattamento delle informazioni commerciali raccolte in occasione delle trattative precontrattuali effettuate dai promoter, fermo restando l'utilizzo assolutamente riservato delle notizie acquisite. Il trattamento di tali informazioni, oltre ad essere strumentale unicamente alle eventuali future operazioni allo studio con il soggetto, dovrà essere limitato solo ed esclusivamente nell'ambito dell'impresa bancaria identificabile come titolare dell'attività di trattamento (in tal senso Newsletter del Garante del giugno 1999).

Tale deroga al principio del consenso non è stata riportata dal legislatore nell'articolo 20, relativo alle condizioni di legittimità per le operazioni di comunicazione e diffusione dei dati. Essendo necessario per la maggior parte delle operazioni bancarie, comprese anche quelle più elementari, il concorso di soggetti esterni all'ente, l'area d'applicazione del consenso acquista dimensioni considerevoli (basti pensare alla realtà dei pagamenti nelle reti interbancarie, in cui la presenza di soggetti esterni è addirittura indispensabile per l'esecuzione delle operazioni). L'affidamento a terzi di fasi operative della banca (outsourcing) rappresenta, infatti, un modello organizzativo sempre più diffuso ed affermato sia in Italia che all'estero, per conseguire razionalizzazioni ed economie di scala.

Si dovranno così elaborare modelli di richiesta nei quali sia previsto che il cliente presti o neghi il consenso rispetto al trattamento e alla comunicazione dei suoi dati personali; in particolare dovrà evidenziarsi che la negazione del consenso per detta comunicazione a terzi, e per i trattamenti correlati da parte di questi ultimi, è tale da non permettere all'intermediario di compierle. I gruppi di terzi ai quali la banca intende comunicare i dati sono riconducibili a diverse strutture: società che svolgono servizi bancari, attività di trasmissione, imbustamento, trasporto, smistamento delle comunicazioni alla clientela, enti interbancari che rilevano i rischi finanziari, nonché le società di recupero crediti. Il diniego del consenso a tali comunicazioni comporta la possibilità che la banca fornisca solo i servizi c.d. "stabili", la cui produzione cioè si esaurisce nell'ambito dell'azienda bancaria. In tali casi, infatti, l'istituto di credito dovrebbe, quindi, realizzare una "esecuzione autarchica" (senza comunicazioni a terzi) di tutti gli adempimenti che, in base all'attuale organizzazione dei fattori produttivi delle imprese bancarie, sono generalmente appaltati in outsourcing. La strutturazione dell'odierna realtà imprenditoriale, caratterizzata da una specializzazione mirata degli operatori economici, mal si concilia con una tale limitazione delle attività spesso delegate a società esterne, che potrebbe risultare, così, fortemente antieconomica, verificando un aumento dei costi per la realizzazione dei relativi servizi e di conseguenza un aumento dei prezzi di questi.

Al fine di evitare di raccogliere il consenso dei clienti per le attività di comunicazione dei dati, è stato più volte suggerito, anche dalla stessa Autorità Garante, di nominare i soggetti esterni cui sono comunicati i dati, quali incaricati o responsabili del trattamento. In tal modo, ai fini della legge n.675/1996, si verificherebbe una sorta di "inglobamento" del soggetto esterno nella struttura dell'azienda, determinando una qualificazione del flusso dei dati dalla banca al soggetto esterno non più come "comunicazione", bensì come "trattamento" e, quindi, riconducibile all'esenzione dal consenso di cui all'articolo 12, lett.b). La nomina a responsabile o incaricato del trattamento dovrà, tuttavia, rispettare le condizioni previste dagli articoli 8 e 19 della legge, ed, in particolare dovrà essere effettuata per iscritto, con indicazione precisa dei compiti e dei limiti per le attività di trattamento degli incaricati, nonché, garantire i requisiti di affidabilità, esperienza e capacità richiesti in via generale dalla legge per i responsabili del trattamento. La previsione del terzo come "responsabile" o "incaricato" trova spesso una precisa indicazione negli accordi contrattuali tra le parti. Il titolare del trattamento dovrà, inoltre, vigilare sull'attività degli incaricati o responsabili esterni, anche tramite verifiche periodiche, determinandosi uno stretto collegamento tra il "titolare" del trattamento (la banca) e la società di outsourcing.

La complessità del sistema bancario è tale, tuttavia, da creare inevitabilmente una catena di responsabili di notevoli dimensioni ed in continua evoluzione, tanto da aggravare spesso altri adempimenti legislativi come le consequenziali integrazioni e correzioni delle informative e delle notifiche, dove necessariamente dovranno essere indicati i soggetti responsabili del trattamento.

Diversa natura hanno i consensi relativi a trattamenti di dati funzionali all'attività della banca, ma non strettamente funzionali all'interesse del cliente, quali le attività di rivelazione del grado di soddisfazione della clientela sui servizi resi, di promozione e vendita di prodotti del gruppo o di terzi e le indagini di mercato; nei confronti di tali trattamenti il diniego del consenso non comporterà alcuna possibilità di blocco delle operazioni richieste dal soggetto.

Ulteriore ipotesi di deroga al consenso, applicabile al settore bancario, risulta essere quella prevista dalla lettera f) dell'articolo 12, concernente la possibilità di trattare "dati relativi allo svolgimento di attività economiche" di persone fisiche e giuridiche.

Il termine "attività economiche", come precisato dallo stesso Garante, deve intendersi riferito all'interessato e non a chi tratta le informazioni, sia perché il dato riguarda l'oggetto del trattamento e, quindi, l'interessato stesso, sia poiché una diversa interpretazione attribuirebbe a chi svolge attività economiche il potere di raccogliere qualsiasi dato senza il consenso del soggetto cui le informazioni si riferiscono, in tal modo si negherebbe il diritto all'autodeterminazione informativa dell'individuo.

L'indicazione della legge, sembrerebbe far riferimento principalmente alle attività finanziarie, commerciali, produttive ed imprenditoriali di un soggetto o alla solidità e solvibilità finanziaria, nonché alla correttezza commerciale, ma non anche a quei dati che pur avendo ad oggetto diretto ed immediato profili attinenti la sfera economica dell'interessato, consentono, in via indiretta e mediata di acquisire informazioni afferenti la sua sfera intima (come ad esempio l'accesso all'estratto conto della "Viacard", che, oltre a fornire informazioni di tipo economico, rivela anche gli spostamenti del soggetto). Tali dati, infatti, si riferiscono ad interessi di natura strettamente personale e non di rilievo economico, dovranno, quindi, essere tutelati attraverso la normale disciplina dettata dall'articolo 11 della legge.

Nell'ambito delle attività bancarie è frequentemente utilizzata l'esimente prevista dall'articolo 12, lettera a), riguardante il trattamento dei dati personali in virtù di un obbligo di legge, regolamento o normativa comunitaria. In merito a tale deroga è stato sottolineato come il legislatore demandi, il più delle volte, all'interprete la valutazione della connessione trattamento-obbligo, lasciando a questo il compito di verificare il nesso dati-finalità. I trattamenti effettuati dagli istituti di credito in base alla normativa antireciclaggio rientrano sicuramente nell'esenzione in questione. Tale normativa (L. n.197/1991 integrata dal D.Lgs. n.153/1997), comportando l'obbligo di identificazione dei soggetti che compiano operazioni di pagamento di importo superiore a 20 milioni di lire, è volta ad assicurare l'identificazione della clientela, al fine di prevenire che il sistema bancario sia utilizzato per scopi di riciclaggio dei fondi derivanti da attività criminose.

La sussistenza di un obbligo di legge, regolamento o normativa comunitaria autorizza gli istituti di credito ad effettuare anche operazioni di comunicazione di dati, oltre che di trattamento, alla stregua dell'articolo 12, lett.c). Tipico esempio di "comunicazione in adempimento di un obbligo di legge" è la trasmissione di dati personali dalle banche all'Amministrazione finanziaria. Gli istituti di credito dovranno fornire, infatti, ai funzionari di questa, le copie richieste dei conti intrattenuti dalla clientela, con la specificazione di tutti i rapporti inerenti e connessi ad essi, comprese le garanzie prestate da terzi. Nel caso di accertamento fiscale, la banca ha l'obbligo di informare il cliente sottoposto a tale monitoraggio, preannunciandogli, per iscritto, l'inoltro della documentazione all'Amministrazione finanziaria

Un'ulteriore applicazione di tale deroga alla realtà creditizia è relativa alla disciplina della Centrale Rischi della Banca d'Italia. Tale struttura (istituita nel 1964) offre agli intermediari finanziari un servizio di monitoraggio e accertamento dei rischi finanziari per consentire a questi il controllo del "rischio creditizio" derivante dalla propria clientela e degli aggravamenti di questo provocati dal cumulo di facilitazioni creditizie presso più istituti. Al fine di garantire l'affidabilità delle informazioni fornite dalla centrale rischi, è stata prescritta normativamente (D.Lgs. n. 385/1993) l'obbligatorietà di effettuare segnalazioni da parte dell'intero sistema bancario e creditizio italiano.

La comunicazione effettuata dalla banca, o da altri intermediari finanziari alla Centrale Rischi della Banca d'Italia si rivela un'ulteriore fattispecie rientrante nell'articolo 20, lettera c). Il servizio offerto dalla Banca d'Italia si basa sull'obbligo imposto agli istituti di credito di comunicare mensilmente a questa la propria esposizione creditizia di ammontare pari o superiore ai limiti di censimento di ciascun cliente. Tutti i clienti intestatari di posizioni di rischio censite dalla Centrale sono contrassegnati da un numero di codice che li identifica univocamente e che viene ad essere utilizzato per lo scambio delle informazioni. Tali dati possono essere senz'altro qualificati come personali, ai sensi della legge n.675/1996. All'interno delle attività svolte dalla Centrale Rischi vanno distinti i servizi gratuiti mensili quali il "flusso di ritorno personalizzato" ed il "flusso di ritorno statistico", da quello facoltativo ed oneroso relativo al "servizio di prima informazione". Mentre i primi due possono senz'altro ricondursi all'esenzione del requisito del consenso per adempimento di un obbligo di legge, altrettanto non può dirsi per quello di "prima informazione". La caratteristica peculiare di tale servizio, infatti, attiene alla tipologia dei soggetti di cui si richiede l'informativa e per i quali viene fornita la posizione globale di rischio censita. Tali individui sono diversi da quelli segnalati dall'intermediario richiedente, ma in ogni modo rientranti nella sua clientela effettiva o potenziale. Al fine di fornire tale servizio, è necessario che i soggetti siano collegati ai precedenti mediante un nesso giuridico o economico ed, in ogni caso, che siano già affidati o per i quali sia stata concretamente avviata l'istruttoria ai fini di un rapporto creditizio o comportante l'assunzione di un rischio da parte di altri intermediari. In considerazione della peculiarità della richiesta, nonché del maggior tasso di riservatezza da tutelare, la richiesta dell'intermediario è condizionata alla sussistenza della strumentalità di tali informazioni per la valutazione sui soggetti indicati. Sono considerati "idonei presupposti per la legittimità delle interrogazioni" la sussistenza di un rapporto tra i soggetti che configuri una loro responsabilità solidale nell'adempimento delle obbligazioni assunte o l'appartenenza ad un comune gruppo di imprese. La comunicazione dei dati, relativi ai soggetti indicati da parte della Centrale Rischi all'intermediario richiedente, non può essere considerata "in adempimento di un obbligo di legge", vista la facoltatività dell'erogazione. Parimenti, tale esimente non può essere fatta valere ai fini dell'obbligo di informativa all'interessato (su richiesta di questo gli intermediari devono, altresì, rendergli nota la posizione globale di rischio, quale risulta a nome degli stessi dai flussi informativi ricevuti dalla Centrale Rischi). E' opportuno ricordare come, anche prima dell'entrata in vigore della legge n.675/1996, gli istituti di credito fossero obbligati a rispettare la sussistenza di condizioni per la richiesta del servizio di prima informazione, a tale disciplina ora si aggiunge quella prevista dalla legge sulla privacy.

Applicabile al settore bancario è anche la deroga prevista dalla lettera c) dell'articolo 12, riguardante i dati provenienti da pubblici registri, elenchi, atti, o documenti conoscibili da chiunque. Il legislatore nel prevedere tale esenzione al principio del consenso non ha utilizzato un criterio formalistico ma sostanziale, rendendo cioè necessario che il dato sia effettivamente acquisito da un registro o da un atto pubblico. Al fine di poter utilizzare tale previsione nel settore creditizio, sarà, quindi, necessario valutare l'effettiva conoscibilità di questi dati; opinione comune è quella di ritenere che si possano considerare come tali quelli contenuti negli elenchi dei protestati pubblicati dalle Camere di Commercio, frequentemente consultati dagli operatori bancari.

Ragioni legate alle caratteristiche di un particolare quanto rilevante settore dell'economia, ed all'articolazione economico-giuridica della sua attività sono alla base della deroga al consenso dell'interessato contenuta nella lettera h), dell'articolo 20, dove si prevede che la comunicazione (escludendo, quindi, la diffusione) dei dati sia effettuata nell'ambito dei gruppi bancari di cui alla disciplina contenuta nell'articolo 60 del T.U. delle leggi in materia bancaria e creditizia (D.Lgs. n.385/1993). L'esenzione nasce con lo scopo di soddisfare l'esigenza del sistema creditizio di verificare la solvibilità e solidità finanziaria della clientela in ordine alla normale attività della banca, nonché di estendere la circolazione dei dati anche per finalità strettamente connesse o strumentali alla gestione dei rapporti con i clienti (come l'acquisizione di informazioni preliminari alla conclusione di un contratto), in coerenza con il citato articolo 60 del testo unico dove appunto si fa riferimento a società bancarie, finanziarie e strumentali controllate da una capogruppo.

Un aspetto molto delicato del trattamento dati da parte degli istituti di credito è rappresentato dalla raccolta ed elaborazione dei dati sensibili, descritti tassativamente dall'articolo 22 della legge.

La riservatezza e l'identità personale si pongono come un'unica realtà fortemente differenziata nella cui essenza si collocano i dati sensibili, il c.d. "nocciolo duro della privacy": quelle informazioni, cioè, concernenti le convinzioni religiose, filosofiche, gli orientamenti politici di un soggetto, nonché tutti quei dati idonei a rivelare l'origine razziale ed etnica; tutte quelle informazioni, pertanto, che la communis opinio ritiene debbano essere poste al riparo dalla conoscenza altrui. All'interno di tale categoria di dati sono individuati quelli "super-sensibili" inerenti allo stato di salute e alla vita sessuale del soggetto, rispetto ai quali sono stati individuati strumenti idonei a garantirne un grado elevato di protezione.

La legge italiana, in virtù di tali considerazioni, ha sancito una tutela rafforzata dei dati sensibili, fondata sulla duplicità dei momenti legittimanti: il consenso e l'autorizzazione. La formula di un'autorizzazione come atto inerente principalmente a fattispecie singole è apparsa essere subito inadeguata, tanto da introdurre con D.Lgs. n.123/1997, la modifica al comma 7, dell'articolo 41 della legge, in modo da precisare che le autorizzazioni del Garante possono essere rilasciate anche per determinate categorie di titolari o di trattamenti. L'Organo di controllo ha inteso valorizzare tale tipo di autorizzazioni generali, affinché, le diverse categorie di soggetti, che per ragioni di lavoro o di ufficio devono utilizzare necessariamente alcuni dati di carattere sensibile, non debbano richiedere la prevista autorizzazione caso per caso.

Anche nel mondo bancario e creditizio risulta frequente l'uso di tali informazioni, la cui delicatezza ha determinato, come in ogni altro tipo di attività, alcune difficoltà in relazione all'individuazione del mezzo di tutela più opportuno. In tal senso l'autorizzazione n.5/2000 ha consentito il trattamento dei dati sensibili, per rispettare gli obblighi, anche precontrattuali, assunti nei rispettivi settori di attività, nonché per adempiere o esigere l'adempimento di obblighi previsti dalla legge, dai regolamenti, dalla normativa comunitaria o dai contratti collettivi, ovvero prescritti dall'autorità di vigilanza e di controllo. Il trattamento può riguardare i dati sensibili attinenti ai soggetti ai quali sono stati forniti i beni, le prestazioni o i servizi in misura strettamente pertinente a quanto specificamente richiesto dall'interessato. Entro tali limiti i dati possono essere comunicati a soggetti pubblici o privati, nonché, ove necessario, ai familiari dell'interessato. I titolari del trattamento dovranno conservare un elenco dei destinatari delle comunicazioni effettuate recante un'annotazione delle specifiche categorie di dati comunicati. Tuttavia, non è possibile diffondere i dati sensibili trattati.

Accanto a tale autorizzazione del Garante si pone il necessario requisito del consenso scritto dell'interessato, ovvero quella manifestazione di volontà, espressa in forma scritta, con cui il soggetto esplicita la propria accettazione a che i dati personali che lo riguardano siano oggetto di trattamento. La forma scritta si pone come elemento essenziale e requisito di validità richiesto ad substantiam, senza di questo, cioè, non si configurerebbe una valida prestazione del consenso. La principale finalità di tale forma è quella di richiamare l'attenzione del dichiarante sull'importanza della sua manifestazione di volontà. Il requisito della forma scritta differenzia notevolmente la disciplina dei dati sensibili da quella dei dati comuni, per i quali si richiede il solo consenso orale, ferma restando la possibilità di richiederlo in forma scritta, al fine di avere maggiori certezze probatorie, nel caso di una eventuale contestazione giudiziale. A differenza di quanto previsto per i dati comuni, non è stata prevista alcuna esenzione dall'obbligo di acquisizione del consenso per la raccolta ed elaborazione delle informazioni sensibili.

La prestazione della informativa e del consenso ha rappresentato, nella concreta operatività delle aziende del settore, un problema di grande rilievo. Gli istituti di credito hanno, infatti, dovuto affrontare, non solo i rapporti con la nuova clientela, ma anche quelli già in essere. L'esperienza delle banche ha rivelato come non sia mutata considerevolmente la bassa percentuale (circa il 30%) di ritorno dei consensi che erano stati richiesti dalle stesse in una prima fase di applicazione della legge. Ciò che si poteva ritenere un livello fisiologico di risposte a richieste che presuppongono un comportamento attivo del cliente, ora appare, invece, il riflesso di una difficile applicazione della legge n.675/1996 al mondo bancario e creditizio, tanto da ritenere sempre più urgente un dialogo costruttivo tra le autorità del settore volto a sollecitare un preciso e mirato intervento legislativo.

Roma, marzo 2001