notabnl.html

Prime considerazioni sulla decisione del Garante per la protezione dei dati personali in data 28 maggio 1997: il "caso BNL".

di Bruno Panieri

Il 28 maggio l'Autorità Garante per la protezione dei dati personali ha emanato la sua prima decisione a risoluzione della questione meglio nota come il "caso BNL".
La Banca Nazionale del Lavoro, infatti, in prossimità della entrata in vigore della legge n. 675/96, al fine di dare prima applicazione agli obblighi di informativa e di acquisizione del consenso degli interessati, aveva provveduto a spedire, ai propri correntisti, una nota nella quale, oltre ad informarli sulla nuova legge, sottoponeva alla loro approvazione modelli standard di informativa e consenso, con l'avvertenza che, in caso di rifiuto a fornire i propri dati personali o a prestare il consenso, ne sarebbe potuta derivare l'impossibilità di proseguire il rapporto contrattuale o la mancata esecuzione delle operazioni bancarie.
Detto comportamento sollevava le obiezioni di molte associazioni dei consumatori ed il particolare l'Adusbef, il Movimento del Cittadino, prima, il Codacons, più tardi, si rivolgevano al Garante sollecitandone l'intervento.
Il 28 maggio, come detto, l'Autorità rilevava la non conformità della documentazione predisposta dalla BNL alla legge n. 675/96, fornendo, in una corposa decisione, importanti indicazioni che noi, nel seguito, ci proponiamo di analizzare fornendo alcune prime considerazioni.

L'informativa all'interessato.

L'articolo 10 della legge 31 dicembre 1996, n. 675, prevede che l'interessato o la persona dalla quale i dati sono raccolti vengano, al momento della raccolta, preventivamente informati per iscritto in ordine a:
a) finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 13;
f) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile.
Il medesimo articolo 10 chiarisce che, qualora i dati personali non siano raccolti direttamente presso l'interessato, le informazioni debbano comunque obbligatoriamente essere date al medesimo interessato all'atto della registrazione dei dati o, qualora sia prevista la loro comunicazione, non oltre la prima comunicazione.
Dunque, la legge distingue due ipotesi - la raccolta diretta presso l'interessato e la raccolta presso terzi - che, secondo quanto rilevato dal Garante, devono essere mantenute nettamente distinte nella informativa.
Secondo l'Autorità, infatti, nella formulazione dell'informativa l'interessato deve poter distinguere immediatamente quali siano i trattamenti effettuati su dati da egli forniti direttamente e quali siano, invece, i trattamenti effettuati su suoi dati raccolti presso altri soggetti: la spiegazione di tale orientamento è evidente, se si considera che l'informativa è prevista dalla legge per garantire il diritto di accesso ai trattamenti da parte dell'interessato, sia direttamente, sia mediante il Garante, ai sensi dell'articolo 13 della legge, per cui il tenore dell'informativa non può dare adito a dubbio, nell'interessato, in ordine a quali siano e quale sia la fonte dei suoi dati che vengono trattati.
Per quanto riguarda l'informazione fornita direttamente dal soggetto che raccoglie i dati, il Garante ha chiarito che questa non è necessaria caso per caso, ma può essere acquisita una tantum e per una durata commisurata al mantenimento delle condizioni dichiarate nella stessa: in tal caso l'informativa è da ritenersi valida sino a quando non mutino gli elementi fondamentali del trattamento, come nel caso in cui si instaurino nuovi rapporti, magari collaterali o complementari al rapporto principale, quando cambino le finalità o le modalità di trattamento (per esempio nel caso di utilizzazione dei dati per finalità difformi o ulteriori rispetto a quelle dichiarate in origine o nel caso in cui varino gli elementi caratterizzanti del trattamento: il titolare, il responsabile, il luogo in cui sono custoditi i dati, gli strumenti di trattamento etc.).
Proprio con riferimento alle finalità del trattamento, peraltro, è stato chiarito che la formula dichiarativa delle stesse non può rivestire natura meramente esemplificativa, attraverso la indicazione di formule generiche ("... per esigenze di tipo operativo e gestionale"), ma devono essere riportate le finalità specificamente perseguite (gestione del rapporto di conto corrente bancario, esecuzione degli obblighi derivanti dal contratto di assicurazione, gestione della contabilità, comunicazione interattiva, etc.).
Per quanto attiene alle modalità, anche queste non possono essere indicate genericamente, ma devono essere tali da far rinvenire, pur senza l'elencazione di tutte le operazioni di trattamento, quanto meno la logica e le finalità sulle quali si basa il trattamento, sulla base delle indicazioni contenute nell'articolo 13, comma 1, lettera c), n. 1).
Altra importante considerazione è quella relativa ai trattamenti effettuati da terzi "per conto" del titolare, relativamente ai quali deve essere ben chiarito se tali soggetti effettuino il trattamento presso una struttura esterna "responsabile" del trattamento, o nella quale operi il "responsabile" del trattamento oppure quali terzi estranei all'originario trattamento effettuato presso il soggetto titolare, ai quali i dati stessi siano stati comunicati o diffusi.
La richiamata precisazione del Garante tende a garantire una corretta informazione dell'interessato in ordine ai possibili accessi, da parte di soggetti terzi, ai propri dati personali: in tal caso, a nostro modo di vedere, deve essere specificato all'interessato se i trattamenti effettuati dai terzi sono relativi alla medesima filiera e, pertanto, le operazioni compiute, sono da ritenersi compiute nell'ambito di un "incarico", ovvero se la trasmissione avviene con la finalità di "dare conoscenza" propria dell'attività di comunicazione e diffusione dei dati, come qualificate dall'articolo 1 della legge, nella cui ipotesi si realizza una interruzione del trattamento. Nel primo caso, anche in presenza di un rapporto con soggetti terzi, riteniamo possa configurarsi l'ipotesi presa in considerazione dall'articolo 19 della legge che esclude, dall'ambito della comunicazione, la conoscenza dei dati da parte degli incaricati per iscritto di compiere le operazioni del trattamento da parte del titolare o del responsabile e che operano sotto la loro diretta autorità (ad esempio il ricorso a soggetti terzi per le operazioni di riproduzione, smistamento ed inoltro della corrispondenza), mentre nella seconda ipotesi, si tratta di comunicazione o di diffusione dei dati in senso proprio: ai fini della informativa agli interessati ciò comporta che questi debbano, nella seconda ipotesi, essere compiutamente informati circa la natura di tali soggetti e l'ambito di comunicazione/diffusione.
In questi casi di comunicazion, infatti, l'informativa non può essere generica, ma deve contenere una precisa individuazione, quanto meno, delle categorie dei soggetti ai quali i dati sono destinati, non essendo sufficiente neanche l'indicazione per relationem mediante il riferimento ad elenchi esterni all'informativa stessa, poiché, in quanto mutevoli, non consentono una effettiva e completa conoscenza da parte degli interessati.
Anche l'indicazione del responsabile del trattamento, quando designato dal titolare ai sensi dell'articolo 8, deve rendere possibile l'individuazione del soggetto preposto, con riferimento, riteniamo, o alla funzione, con indicazione della persona alla quale, pro-tempore, è assegnata, o alla persona fisica, o all'ente al quale la responsabilità è affidata in outsourcing.
Uno dei passaggi più rilevanti della decisione del Garante attiene alla informativa sugli elementi indicati dall'articolo 10, comma 1, lettere b) e c) della legge: al proposito è stato chiarito uno degli aspetti più delicati della vicenda "BNL", affermando che "non è conforme a legge la prospettazione della circostanza che il rifiuto a fornire i dati personali può comportare la mancata esecuzione di un'operazione, la mancata prosecuzione del rapporto ovvero la mancata instaurazione di nuovi rapporti", indicazione che rende ingannevole o del tutto impossibile, per l'interessato, discriminare tra informazioni "obbligatorie" ed informazioni che è facoltativo conferire, "inducendo così l'interessato a confondere situazioni che hanno rilevanza giuridica diversa". E' indispensabile, infatti, che l'interessato venga posto nella condizione di distinguere se i dati che deve fornire corrispondono ad un obbligo previsto dalla legge, ovvero se sono strettamente funzionali all'esecuzione del rapporto contrattuale (cosa che esclude l'obbligo di acquisire il consenso, ai sensi dell'articolo 12, comma 1, lettera b) della legge), o, ancora, se sono riferiti allo svolgimento di ulteriori attività da parte del titolare, subordinate alla acquisizione del consenso.
L'interessato, infatti, deve essere messo nella condizione di esercitare liberamente la propria scelta in ordine alla utilizzazione dei propri dati personali, distinguendo ciò che è necessario per l'esecuzione di un contratto del quale è parte interessata, da ciò che, invece, è meramente eventuale ed estraneo rispetto al rapporto obbligatorio.

Il consenso dell'interessato.

Dalle considerazioni prime dell'Autorità Garante si ricava che l'informativa all'interessato e la formula attraverso la quale si acquisisce il consenso devono essere strettamente correlate tra di loro, non potendosi, attraverso la formula di consenso, provvedersi ad una richiesta ultimativa, incondizionata e generalizzata, tale da far ritenere del tutto superflua l'informativa resa.
I principi richiamati sono quelli che regolamentano le cosiddette "clausole vessatorie" nei contratti, con riferimento alle più recenti indicazioni normative date dall'Unione Europea, attraverso la direttiva 93/13/CEE, trasferite nel corpo dell'articolo 1496-bis e ss. del codice civile, che qualifica come vessatorie quelle clausole che, malgrado la buona fede, determinano a carico del consumatore/utente un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto.
I principi appena enunciati sono conferenti con la previsione della legge n. 675/96 sulla base della quale il consenso può essere ritenuto "liberamente" prestato soltanto se si presenta come manifestazione del diritto "all'autodeterminazione informativa e, dunque, al riparo da qualsiasi pressione e se non viene condizionato all'accettazione di clausole che determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto", come avviene nel caso di un "consenso generalizzato e fondato su informazioni generiche o insufficienti, accompagnate dall'esplicita previsione di una possibile rottura dei rapporti contrattuali".
Anche relativamente alla formula di acquisizione del consenso deve essere ripetuto il discorso legato alla specifiche fattispecie della comunicazione e della diffusione dei dati: il Garante, infatti, ha ritenuto "impraticabile" la richiesta di consenso nei confronti di categorie di destinatari dei dati, individuate, per relationem tramite un elenco pubblicato esternamente all'informativa o mediante un'ampia elencazione.
Nel caso in cui, peraltro, il consenso richiesto coinvolga non soltanto la comunicazione e la diffusione, ma anche il trattamento effettuato a cura del terzo, ferma restando, in linea generale, la liceità della modalità di acquisizione del consenso "conto terzi", è stato chiarito che "tale evenienza deve essere realizzata tenendo conto del disposto dell'articolo 11, comma 3, secondo cui il consenso deve essere prestato 'in forma specifica' e deve quindi riguardare un preciso genere di trattamento effettuato a cura di un ben individuato titolare del trattamento".
Poiché, inoltre, il consenso è valido soltanto se sono state correttamente fornite le informazioni di cui all'articolo 10 della legge, nel caso in cui tale obbligo non sia stato correttamente adempiuto dal "primo titolare", le conseguenze di invalidità del consenso coinvolgerebbero tutti i trattamenti effettuati da terzi sulla base di quel medesimo consenso.
Il Garante conclude rilevando che, "quale che sia la soluzione prescelta circa l'ambito di operatività del consenso, la formula deve essere resa più specifica sotto un ulteriore duplice profilo, tenendo conto cioè, del principio di finalità di cui all'articolo 9, nonché della necessità di evitare indicazioni generiche che non permettano all'interessato di rendersi sempre conto della reale ampiezza della sua manifestazione di consenso, quando questo appaia riferibile ad attività diverse da quelle relative al rapporto contrattuale", come nel caso di richiesta del consenso anche per il trattamento di dati sensibili "il cui trattamento generalizzato non può ritenersi certo connaturato alle esigenze nascenti da un comune contratto bancario.