|
GARANTE
PRIVACY
Banche: la ''Guida'' del Garante privacy per
l'uso dei dati dei clienti
Vai al testo del
provvedimento Il provvedimento a carattere
generale (G.U.
n. 273 del 23 novembre)
Informazioni
sempre esatte ed aggiornate, richiesta di documenti di riconoscimento solo
nei casi indispensabili, distanze di cortesia, adeguate misure di sicurezza a
protezione dei dati personali, rigoroso rispetto dei casi nei quali è
lecito comunicare a terzi informazioni bancarie.
Sono queste
alcune delle indicazioni fornite dal Garante nelle Linee guida
sul "trattamento dei dati personali della clientela in ambito
bancario", adottate anche tenendo anche conto delle segnalazioni e dei
reclami presentati all'Autorità da parte di numerosi clienti
insoddisfatti di come venivano tutelati i loro dati personali.
Il provvedimento
a carattere generale (G.U.
n. 273 del 23 novembre e consultabile sul sito garanteprivacy.it),
di cui è stato relatore Giuseppe Fortunato, fissa le garanzie per il
corretto uso dei dati personali dei clienti da parte degli
istituti bancari e degli operatori postali, quando operano nell'ambito
bancario e finanziario. E affronta diversi aspetti che regolano il
rapporto tra banca e cliente: i casi specifici nei quali è
lecito comunicare a terzi informazioni bancarie, gli obblighi di riservatezza
da rispettare, le modalità con le quali le banche devono soddisfare le
richieste di accesso dei clienti ai propri dati personali o quelle per
informarli sull'uso che viene fatto di questi dati.
A tutela dei
clienti, il Garante ha stabilito, in particolare, che:
- le
comunicazioni di informazioni bancarie a terzi devono essere effettuate
solo nei casi espressamente previsti dalla legge, dal Codice della
privacy o nel caso in cui sia l'interessato ad autorizzare terzi
(familiari, coniuge, professionisti legati da una rapporto di lavoro) ad
effettuare operazioni per suo conto o a conoscere il tipo di rapporto
intrattenuto con la banca;
- le
banche possono registrare le telefonate effettuate dalla clientela per
dare particolari ordini e istruzioni o nei servizi di "telephone banking",
ma devono informare gli interessati. È necessario
adottate misure di sicurezza contro alterazione o uso indebito del
contenuto delle conversazioni;
- il
personale deve evitare le telefonate e i colloqui ad alta voce con la
clientela e occorre predisporre distanze di cortesia agli sportelli;
- le
informazioni dei clienti trattati dalle banche devono essere sempre
esatte ed aggiornate;
- il
cliente ha diritto a ottenere la comunicazione in forma intelligibile
dei dati che lo riguardano (comprese operazioni effettuate,
registrazioni telefoniche, ordini di investimento), ma non quelli
riferiti ad altre persone (se presenti, nella copia dei documenti da
consegnare al cliente devono essere oscurati);
- nel
caso in cui dare l'informativa singolarmente a ciascun cliente comporti
un impiego sproporzionato di mezzi (es. operazioni di cessione di
sportelli), la banca può assolvere tale obbligo pubblicando
l'informativa sulla Gazzetta Ufficiale.
"Il Garante
prosegue così la sua opera di chiarificazione in un altro importante
settore - dichiara Giuseppe Fortunato, relatore del provvedimento -
"Dopo la sanità, il recupero crediti, la vita condominiale, il
rapporto di lavoro, le imprese, anche per le banche, dove molteplici sono
state le segnalazioni da parte dei cittadini, l'Autorità ha emanato
una "Guida" per garantire i principi di correttezza, liceità
e proporzionalità nell'uso dei dati personali. Evitare
richieste ad alta voce, assicurare distanze di cortesia, poter conoscere
tutto ciò che riguarda le proprie operazioni, pretendere la più
assoluta riservatezza, sapere se le telefonate sono registrate, sono diritti
sul cui pieno rispetto il Garante vigilerà con rigore".
Roma, 28
novembre 2007
Provvedimenti a carattere generale - 25 ottobre
2007
Bollettino del n. 88/ottobre 2007, pag.
0
"Linee guida per trattamenti dati relativi
al rapporto banca-clientela" - 25 ottobre 2007
(G.U. n.
273 del 23 novembre 2007)
Registro delle deliberazioni
Deliberazione n. 53
del 25 ottobre 2007
IL GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI
NELLA riunione
odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice
presidente, del dott. Mauro Paissan e del dott.
Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,
segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali), anche in riferimento
agli artt. 13, comma 5 e
154, comma 1, lett. h);
ESAMINATE le istanze (segnalazioni, reclami e quesiti) di clienti,
associazioni di tutela dei consumatori e banche, pervenute in tema di
trattamento di dati personali della clientela nell'ambito di rapporti
bancari;
VISTE le
pronunce adottate in proposito dall'Autorità anche a seguito di
ricorso di interessati;
RITENUTA
l'opportunità di definire, in tale contesto,
un quadro unitario di misure e di accorgimenti necessari e opportuni in grado
di fornire ulteriori orientamenti utili per gli operatori economici e i
clienti in ordine alle operazioni di trattamento di dati personali connesse
all'attività bancaria, individuando, a tal fine, i comportamenti
più appropriati da adottare;
RILEVATA
l'esigenza che tale quadro sia riassunto in alcune
linee guida, suscettibili di periodico aggiornamento, di cui verrà
curata la pubblicità anche attraverso il sito Internet
dell'Autorità (http://www.garanteprivacy.it);
VISTE
le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del
regolamento del Garante n. 1/2000;
RELATORE il
dott. Giuseppe Fortunato;
DELIBERA
1. di
adottare le "Linee guida in materia di trattamento di dati personali
della clientela in ambito bancario", di cui al documento che
è allegato quale parte integrante della presente deliberazione
(Allegato 1);
2. ai sensi
dell'art. 13, comma 5, lett. c), del Codice che i titolari del trattamento
che si rendano cessionari di sportelli bancari possano effettuare
l'informativa prevista dal medesimo art. 13 secondo le modalità
indicate al punto 3.7. delle allegate "Linee guida", ovvero:
a. mediante pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana dell'informativa avente le
caratteristiche di cui all'art. 13, commi 1 e 2 del Codice;
b. inoltre, mediante la successiva
comunicazione agli interessati, alla prima occasione utile, degli elementi
contenuti nello stesso art. 13, commi 1 e 2;
3. ai sensi
dell'art. 143, comma 2, del Codice, di trasmettere al Ministero della
Giustizia-Ufficio pubblicazione leggi e decreti copia
del presente provvedimento, unitamente alle menzionate "Linee guida",
per la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 25
ottobre 2007
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli
Linee guida in
materia di trattamento di dati personali della clientela in ambito bancario
(Deliberazione n. 53 del 25 ottobre 2007)
Sommario
1. Premessa
1.1. Scopo
delle linee guida
1.2. Ambiti considerati
2. Il rispetto dei princìpi
di protezione dei dati personali
2.1. Liceità, pertinenza, trasparenza
2.2. Principio
di pertinenza e non eccedenza: dati identificativi della clientela
2.3. Principio
di pertinenza e non eccedenza: servizi resi
telefonicamente e registrazione del contenuto delle chiamate
2.4. Principio
di qualità dei dati e pagamenti mediante la procedura "rapporti
interbancari diretti" (Rid)
3.
Comunicazione dei dati personali
3.1. Regole
di protezione dei dati e c.d. segreto bancario
3.2. Comunicazioni indebite
3.3. Comunicazioni dovute o
autorizzate
3.4. Comunicazioni di dati
personali alla Centrale d'allarme interbancaria
3.5. Benefondi
3.6. Comunicazione dei dati
relativi alla clientela e cessione di sportelli
bancari: esonero dall'obbligo di rendere l'informativa
a) presupposti del
trattamento: bilanciamento degli interessi
b) esonero
dall'obbligo di rendere l'informativa
c) misure appropriate
4. Tutela dei propri diritti da parte della banca
5. Esercizio
dei diritti previsti dall'art. 7 del Codice
5.1. Accesso
ai dati personali
5.2. Accesso ai dati
personali ex art. 7 del Codice e accesso alla documentazione bancaria ai
sensi dell'art. 119 del Tub
5.3. Accesso ai dati di
defunti (art. 9 del Codice)
5.4. Accesso ai dati
personali ex art. 7 del Codice e fallito
_file/image001.gif "Sommario")
1. Premessa
1.1.
Scopo delle linee guida. Le presenti linee guida,
redatte tenendo conto di segnalazioni, reclami e quesiti pervenuti, nonché di precedenti decisioni adottate
dall'Autorità, e suscettibili di periodico aggiornamento, mirano a
fornire indicazioni di natura generale in relazione al trattamento di dati
personali della clientela effettuato dalle banche al fine di garantire il
rispetto dei princìpi in materia di
protezione dei dai personali ai sensi del d.lg. 30
giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).
1.2. Ambiti considerati. Le
presenti linee guida trovano applicazione, nella
misura compatibile con eventuali specificità del settore, anche alla
corrispondente attività che, in base alla legge, può essere
svolta da operatori postali nell'ambito dei servizi bancari e
finanziari [1].
2. Il rispetto dei princìpi di protezione dei dati personali
2.1. Liceità, pertinenza, trasparenza.
I dati personali, sempre che siano pertinenti e non eccedenti, possono essere
trattati dalla banca solo per perseguire finalità legittime (quali, ad
esempio, quella di dare esecuzione al rapporto contrattuale o soddisfare
obblighi derivanti dalla legge) [2], osservando tutte le disposizioni della vigente disciplina in
materia di protezione dei dati personali.
Il Codice
prescrive, in particolare, che il trattamento avvenga:
- solo
da parte di incaricati (nonché, se designati, dei responsabili) del
trattamento e limitatamente alle istruzioni loro impartite [3];
- nel
rispetto dei princìpi di
necessità e di qualità dei dati, con riferimento
all'esattezza e all'aggiornamento (artt. 3 e
11);
- informando
preventivamente e adeguatamente gli interessati (art. 13) [4];
- chiedendo
il loro consenso solo quando, tenendo anche conto della natura dei dati,
non sia possibile avvalersi di uno dei presupposti equipollenti al
consenso (artt. 23, 24, 26 e 43 del Codice);
- osservando,
se si trattano dati sensibili o giudiziari, le prescrizioni contenute
nelle autorizzazioni anche di carattere generale rilasciate dal Garante
(artt. 26 e 27 del Codice);
- adottando
le misure di sicurezza idonee a prevenire alcuni eventi (in particolare
accessi e utilizzazioni indebite), in relazione ai quali la banca
può essere chiamata a rispondere anche civilmente e penalmente (artt. 15, 31 ss., 167 e 169 del Codice).
2.2. Principio di
pertinenza e non eccedenza: dati identificativi della clientela. Il principio di
pertinenza dei dati deve essere osservato anche in
relazione al trattamento di informazioni finalizzate a identificare i
clienti in occasione dell'instaurazione del rapporto contrattuale o in sede
di esecuzione di operazioni bancarie (quali, ad esempio, versamenti,
pagamenti, altre disposizioni impartite dalla clientela e presentazioni per
il pagamento di assegni o vaglia postali).
L'identificazione
della clientela –che avviene, di regola, a seguito dell'esibizione di un
documento di riconoscimento e, talvolta, anche acquisendone copia fotostatica
(specie nei confronti di chi non sia cliente o comunque
conosciuto dal personale della banca)– rappresenta un obbligo posto in capo
agli istituti di credito da diverse norme e, in particolare, da quelle in
materia di riciclaggio [5], nonché da quella secondo cui [6] "le banche, la società Poste italiane Spa, gli intermediari finanziari, le imprese di
investimento, gli organismi di investimento collettivo del risparmio, le
società di gestione del risparmio, nonché ogni altro operatore
finanziario, fatto salvo quanto disposto […] per i soggetti non
residenti, sono tenuti a rilevare e a tenere in evidenza i dati
identificativi, compreso il codice fiscale, di ogni soggetto che intrattenga
con loro qualsiasi rapporto o effettui, per conto proprio ovvero per conto o
a nome di terzi, qualsiasi operazione di natura finanziaria ad esclusione di
quelle effettuate tramite bollettino di conto corrente postale per un importo
unitario inferiore a 1.500 euro".
L'onere di
identificare l'interessato ricade sugli istituti di credito anche in caso di
presentazione all'incasso di assegni; in tale
circostanza possono essere utilizzati, oltre a idonei elementi di valutazione
(quali la conoscenza personale o un'eventuale documentazione previamente
acquisita, per esempio all'atto dell'instaurazione del rapporto), i dati
personali degli interessati contenuti in un documento di riconoscimento la
cui esibizione può essere richiesta e i cui estremi possono essere
annotati sul titolo medesimo o sulla documentazione interna relativa
all'operazione [7].
Per tale
trattamento, fatta salva l'osservanza dell'obbligo di informativa
(fornita anche una tantum al cliente [8]), non è necessario richiedere il consenso dal momento
che i dati sono trattati in base a un obbligo di legge o, comunque, per
eseguire obblighi derivanti dal contratto o per adempiere a specifiche
richieste dell'interessato (art. 24, comma 1, lett. a) e b),
del Codice).
2.3. Principio di pertinenza e non eccedenza:
servizi resi telefonicamente e registrazione del
contenuto delle chiamate. Per
particolari ordini e istruzioni della clientela la banca può
registrare il contenuto di conversazioni telefoniche intercorse, anche per
eventuali profili di prova e di tutela di diritti in caso di
controversia. In tal senso provvedono anche specifiche discipline di settore,
con particolare riferimento agli ordini di borsa.
Fuori di questi
specifici casi può risultare altresì
giustificato procedere ad analoghe registrazioni in relazione a concrete
esigenze, come ad esempio per servizi di telephone
banking.
In tutti questi
casi, l'interessato deve essere informato in ordine a
tali registrazioni ai sensi dell'art. 13 del Codice, in sede di conclusione
del contratto o, al più tardi, all'inizio della prima conversazione
telefonica.
Per le registrazioni
e gli eventuali dati personali connessi, se conservati, devono essere
adottate le misure di sicurezza volte a prevenirne l'accesso, l'alterazione o
l'uso non consentito da parte di soggetti non legittimati; il contenuto delle
conversazioni, al quale l'interessato può accedere ai sensi dell'art.
7 del Codice (v. infra punto 5.1.), non deve
essere conservato per un tempo superiore a quello necessario per conseguire
le finalità per le quali la registrazione è stata effettuata [9].
2.4. Principio di qualità dei dati e
pagamenti mediante la procedura "rapporti interbancari diretti" (Rid). Nell'eseguire gli ordini di pagamento
impartiti dal cliente nell'ambito di rapporti interbancari diretti (c.d.
procedura Rid) [10], la banca del debitore/interessato (c.d. banca
domiciliataria) deve verificare la completezza e
l'esattezza dei dati trattati.
Posto che le
informazioni necessarie a eseguire l'operazione (con
particolare riferimento alle coordinate bancarie e al conto corrente sul
quale effettuare l'addebito) possono essere raccolte presso il debitore anche
a cura del creditore (ad esempio, il fornitore di un servizio) [11] e essere inviati successivamente alla banca domiciliataria tramite la banca di quest'ultimo
(c.d. banca assuntrice o di allineamento) [12], in tali fasi potrebbero verificarsi errori od omissioni.
È
pertanto necessario che, in caso di discordanze o incongruenze nei dati
trasmessi, vengano effettuati (a cura della banca domiciliataria o con la cooperazione del creditore)
appropriati controlli preventivi, se necessario contattando il cliente prima
di dare esecuzione all'ordine, al fine di garantire l'esattezza dei dati trattati
e di prevenire l'eventuale addebito su conti diversi da quello individuato
dal debitore.
3. Comunicazione dei dati
personali
3.1.
Regole di protezione dei
dati e c.d. segreto bancario. La comunicazione a terzi
di dati personali relativi a un cliente è
ammessa se lo stesso vi acconsente (art. 23 del Codice) o se ricorre uno dei
casi in cui il trattamento può essere effettuato senza il consenso
(art. 24 del Codice) [13].
Fuori dei casi di operazioni di comunicazione dei dati strumentali alle
prestazioni richieste e ai servizi erogati (per le quali non è
necessario ottenere il consenso degli interessati: art. 24, comma 1, lett. b),
del Codice), gli istituti di credito e il personale incaricato
dell'esecuzione delle operazioni bancarie di volta in volta richieste devono
mantenere il riserbo sulle informazioni utilizzate.
3.2. Comunicazioni indebite. La
comunicazione indebita di dati a terzi (che comporta gravi conseguenze anche
sul piano della responsabilità civile e penale, alla luce degli artt. 15 e 167 del Codice) può avvenire per una
pluralità di ragioni. Ciò può avvenire, a titolo
meramente esemplificativo e tenendo in considerazione le tipologie di
segnalazioni e ricorsi pervenuti all'Autorità, nei seguenti casi:
- per
la mancata predisposizione di misure idonee a prevenire l'indebita
conoscenza di informazioni personali da parte di terzi, ivi comprese le
"distanze di cortesia" nei luoghi dedicati all'esecuzione di
operazioni bancarie [14];
- per
l'inosservanza delle istruzioni impartite agli incaricati del
trattamento, come nel caso di telefonate o colloqui effettuati
indebitamente ad alta voce in presenza di terzi [15];
- a
seguito della comunicazione di informazioni bancarie a terzi che non
siano in alcun modo autorizzati dall'interessato a porre in essere
operazioni per suo conto o a conoscere il contenuto della relazione
contrattuale in essere con la banca, come, ad esempio, nei confronti:
- del
coniuge, cui venga consegnata documentazione bancaria riferita
esclusivamente all'altro [16];
- di
familiari, contattati talora telefonicamente per comunicazioni dirette
ai clienti, ma il cui contenuto venga invece rivelato
ingiustificatamente ai primi;
- di
professionisti [17] o soggetti legati da un
rapporto di lavoro con l'interessato;
- di
terzi che, per errore nell'imbustamento o
nella spedizione della corrispondenza, divengano destinatari di
comunicazioni scritte aventi ad oggetto informazioni bancarie (ad
esempio, di estratti conto);
- a
seguito della comunicazione di informazioni bancarie presso recapiti non
autorizzati, in modo da consentire a terzi di venire a conoscenza di
dati riferiti all'interessato (ad esempio, in caso di comunicazioni via
fax) [18];
- più
in generale, per l'inosservanza di misure di sicurezza [19].
3.3. Comunicazioni dovute o autorizzate. In
numerosi casi è possibile comunicare dati relativi
alla clientela senza violare le rilevanti disposizioni in materia di
protezione dei dati personali; altre comunicazioni sono anzi doverose in
quanto richieste dalla legge. A titolo meramente esemplificativo possono
menzionarsi i casi di:
- comunicazioni
di informazioni personali per attuare la disciplina in materia di contrasto
del riciclaggio [20]. A questo proposito merita rilevare
che possono formare oggetto di trattamento da parte della banca non solo
informazioni relative a singole transazioni
economiche effettuate, ma un novero più ampio di dati personali
necessari a rilevare l'anomalia di un'operazione in rapporto alle
caratteristiche del cliente [21];
- comunicazioni,
per finalità di contrasto finanziario al terrorismo [22] e alla commercializzazione di
materiale pedopornografico [23], attualmente nei riguardi
dell'Ufficio italiano dei cambi;
- comunicazioni
di informazioni personali per l'accertamento e la repressione di
violazioni tributarie, nei limiti previsti dalla legge [24]. In quest'ambito,
possono essere ricomprese alcune ipotesi quali
quelle contenute:
- nell'ultima
parte del menzionato art. 7, comma 6, d.P.R.
n. 605/1973, secondo cui "l'esistenza dei rapporti, nonché la natura degli stessi sono comunicate
all'anagrafe tributaria, ed archiviate in apposita sezione, con
l'indicazione dei dati anagrafici dei titolari, compreso il codice
fiscale";
- nell'art.
32, comma 7, del d.P.R. 29 settembre 1973, n.
600, in
materia di disposizioni comuni sull'accertamento delle imposte sui
redditi;
- nella
disciplina concernente le comunicazioni verso la c.d. "anagrafe
dei rapporti di conto e di deposito" [25];
- comunicazioni
di informazioni, in conformità alla disciplina che regola la
materia, alla Centrale rischi della Banca d'Italia [26] e al Servizio centralizzato di
rilevazione dei rischi di importo contenuto (Cric) [27] e alla Centrale d'allarme
interbancaria (in merito, v. infra
punto 3.4.);
- comunicazioni
(nelle forme previste dalla legge) nei confronti dell'autorità
giudiziaria [28] e, nell'ambito di una
procedura esecutiva, al creditore procedente (nel rispetto delle vigenti
disposizioni in materia di pignoramento presso terzi: artt. 543 ss. c.p.c., come modificati dalla l. 24 febbraio 2006, n.
52) [29];
- comunicazioni
a seguito di istanza di accesso alla documentazione bancaria ai sensi
dell'art. 119 del testo unico delle leggi in materia bancaria e
creditizia (Tub: d.lg.
1° settembre 1993, n. 385; v. infra punto
5.2.).
Possono, poi,
formare oggetto di comunicazione ai gestori di sistemi (privati) di informazione creditizie, in conformità alla
deliberazione del Garante n. 9 del 16 novembre 2004 [30], i dati personali (di contenuto "negativo")
necessari per effettuare i trattamenti in conformità al "codice
di deontologia e di buona condotta per i sistemi informativi gestiti da
soggetti privati in tema di credito al consumo, affidabilità e
puntualità nei pagamenti" [31], se preceduti dal preavviso previsto (art. 4, comma 7, del
codice di deontologia medesimo) [32].
Possono essere
altresì comunicate lecitamente al soggetto garante alcune informazioni
personali relative al debitore garantito, nella misura in cui le medesime siano pertinenti rispetto al rapporto di garanzia in
essere [33].
3.4. Comunicazioni di dati personali alla
Centrale d'allarme interbancaria. L'art. 36 del decreto
legislativo n. 507/1999 concernente la depenalizzazione di alcuni
reati minori, che ha introdotto nella legge 15 novembre 1990, n. 386 il nuovo
art. 10-bis, ha previsto l'istituzione di un archivio informatizzato
degli assegni bancari e postali e delle carte di pagamento (la c.d. Centrale
d'allarme interbancaria, di seguito Cai), la cui
disciplina di dettaglio è contenuta nel d.m.
7 novembre 2001, n. 458 [34] e nel regolamento del Governatore della Banca d'Italia
del 29 gennaio 2002 [35].
Dall'esame delle
fattispecie presentate al Garante, anche a seguito dell'esercizio dei diritti
previsti dall'art. 7 del Codice (nei confronti sia degli intermediari
segnalanti, sia della Banca d'Italia, in qualità di
titolari del trattamento) [36], emerge la necessità che gli enti segnalanti prestino
la massima cautela nell'accertare l'esattezza e la completezza dei dati
personali trattati prima di procedere alla segnalazione (art. 3, comma 2, d.m. n. 458/2001). Ciò, al fine di prevenire
l'inserimento nella Cai di nominativi
di vittime di furto d'identità (e, comunque, provvedendo con
tempestività alle necessarie verifiche e alle eventuali cancellazioni,
anche a seguito dell'esercizio del diritto d'accesso da parte
dell'interessato) [37], come pure di soggetti che, pur avendo comunicato
correttamente alla banca il furto o lo smarrimento di assegni (che devono
formare oggetto di successiva e tempestiva segnalazione a cura degli enti
segnalanti nel segmento "Pass" della Cai),
vengano segnalati in tale archivio a seguito di un'abusiva negoziazione dei
medesimi titoli (ad esempio, per mancanza di provvista o per emissione degli
assegni in difetto di autorizzazione) [38].
Gli enti
segnalanti, oltre a dover effettuare le operazioni
di trattamento in modo lecito (osservando quindi anche la disciplina di settore
che regola il complessivo funzionamento dell'archivio), devono comportarsi
secondo correttezza (art. 11, comma 1, lett. a), del Codice) [39].
La segnalazione
è lecita anche in caso di "richiamo" dell'assegno da parte
della banca negoziatrice atteso che, nel caso di assegni
emessi senza autorizzazione, l'illecito si perfeziona all'atto dell'emissione
e, nel caso di assegni emessi senza provvista, al momento della presentazione
al pagamento [40].
Limitatamente ai
casi di mancato pagamento di un assegno per difetto di provvista (art. 9-bis
legge n. 386/1990) [41], la segnalazione alla Cai non
può essere effettuata se il debitore pone
tempestivamente in essere i comportamenti analiticamente indicati all'art. 8
della legge n. 386/1990 [42]. Nel caso in esame, inoltre, l'iscrizione del traente nella Cai non può avvenire se la banca segnalante non ha inviato preventivamente un preavviso di revoca (ai
sensi dell'art. 9-bis della legge n. 386/1990), dal ricevimento del
quale devono decorrere almeno dieci giorni prima di provvedere all'iscrizione
medesima.
Tali presupposti
non ricorrono, invece, per quanto riguarda le revoche delle carte di
pagamento nella Cai: alla luce della vigente
disciplina, infatti, nessuno specifico rilievo è assegnato alla
circostanza che l'obbligazione pecuniaria nascente dall'utilizzo di una carta
di pagamento sia stata o meno successivamente
adempiuta [43].
Le banche sono
altresì tenute a segnalare nella Cai i casi
di revoca delle carte di pagamento utilizzate per
l'acquisto di materiale pedopornografico sulla rete
Internet o su altre reti di comunicazioni [44].
3.5. Benefondi. Il c.d. benefondi fa riferimento a una
prassi interbancaria che prevede, nell'ambito della negoziazione di assegni
tra banche per la realizzazione del credito portato dal titolo, la
comunicazione dell'esistenza di una provvista sufficiente in relazione al
pagamento di assegni da addebitare sul conto corrente del traente [45]. Le informazioni possono essere fornite dagli istituti di
credito nel rispetto dei princìpi generali
che la legge prevede per tutti i trattamenti di dati personali svolti dalle
banche e secondo le indicazioni riportate nei modelli di informativa
distribuiti alla clientela, nei quali può rientrare anche questo tipo
di comunicazione alla banca mandataria per l'incasso.
La prassi del benefondi, tuttavia, deve trovare corretta attuazione: le
informazioni devono essere fornite ai soli soggetti legittimati all'incasso o
alla negoziazione dell'assegno, anziché a terzi non autorizzati; inoltre, le
informazioni fornite dalla banca devono essere esatte, aggiornate e non
eccedenti rispetto allo scopo per il quale il benefondi è utilizzato, che è relativo alla
semplice informazione dell'esistenza o meno sul conto corrente del cliente
della banca trattaria dei fondi necessari al pagamento dell'assegno [46].
3.6. Comunicazione dei dati relativi
alla clientela e cessione di sportelli bancari: esonero dall'obbligo
di rendere l'informativa. Un esame più
approfondito, sotto i profili della comunicazione dei dati e dell'informativa
da rendere alla clientela, merita la fattispecie della cessione di sportelli
bancari: essa implica, di regola, limitatamente agli sportelli ceduti, il
trasferimento dell'intero compendio di beni, rapporti giuridici attivi e
passivi, oltre che dei rapporti contrattuali esistenti a favore della banca
cessionaria.
In tale contesto sussistono, come analiticamente indicato di
seguito, i presupposti per l'esonero dall'obbligo di rendere l'informativa
per la banca cessionaria, la quale potrà pertanto utilizzare
modalità più snelle per rendere edotta la clientela in ordine
al trattamento dei dati personali correlato alla cessione degli sportelli;
a) presupposti
del trattamento: bilanciamento degli interessi. La cessione di sportelli
bancari, infatti, non esaurisce i propri effetti sul solo piano negoziale, ma
determina in pari tempo la comunicazione di dati personali (riferibili, ad
esempio, alla clientela, a fornitori, o connessi all'esecuzione del rapporto
di lavoro del personale dipendente) dalla banca
cedente alla cessionaria, con conseguente applicazione del Codice.
In
relazione a
tali operazioni la banca cedente (titolare del trattamento) non provvede, di
regola, ad acquisire il consenso degli interessati; deve pertanto verificarsi
se sussista un altro fondamento per porre in essere la comunicazione.
Come
è
noto, la cessione di innumerevoli rapporti attivi e passivi in corrispondenza
del mutamento del centro di imputazione soggettiva dei medesimi (dalla banca
cedente a quella cessionaria) trova una disciplina apposita e articolata
nell'art. 58 del menzionato Tub, della quale
è necessario tener conto in ragione dei riflessi che la stessa
può spiegare rispetto ai profili di protezione dei dati
personali [47].
Detta
disciplina, infatti, introduce modalità atte ad agevolare, snellendone
gli adempimenti, la cessione in blocco di rapporti giuridici, riducendone i
costi e preservando in pari tempo i legittimi interessi dei soggetti
coinvolti, a vario titolo, nella cessione [48].
Il favor che
l'ordinamento riserva alle cessioni "in blocco" di rapporti
giuridici in materia bancaria spiega effetti anche
sul profilo accessorio della comunicazione dei dati personali che le medesime
implicano. Stante la peculiare disciplina approntata dall'ordinamento
all'art. 58 del Tub e attesa la natura dei dati
trattati (di regola anagrafici o relativi a transazioni di natura economica),
i diritti e il legittimo interesse dei soggetti ceduti in
ordine al trattamento dei dati che li riguardano non risultano nel
caso di specie prevalenti rispetto al legittimo interesse alla comunicazione
della banca cedente. Ciò, anche in ragione
dell'immutata finalità del trattamento dei dati oggetto della
cessione.
Deve quindi
ritenersi integrata la fattispecie prevista nell'art. 24, comma 1, lett. g),
del Codice sì che, per effetto del presente provvedimento, la
comunicazione dei dati personali oggetto della
cessione degli sportelli bancari deve ora ritenersi lecita (per le sole
finalità sopra menzionate), limitatamente ai dati diversi da quelli
sensibili, anche in assenza del consenso degli interessati;
b) esonero
dall'obbligo di rendere l'informativa. Rispetto alle ipotesi di cessione
di sportelli bancari regolata dall'art. 58 del Tub,
il cessionario che raccoglie i dati presso il terzo (banca cedente) è comunque tenuto a rendere, al momento della registrazione
dei dati, ai soggetti ceduti l'informativa sul trattamento (art. 13, comma 4,
del Codice).
L'informativa,
se resa singolarmente a ciascun interessato con la tempistica richiesta dal
menzionato art. 13, comma 4 (stante l'elevato numero di soggetti ceduti nelle
menzionate operazioni), potrebbe risultare
impossibile e, comunque, risulta comportare costi e oneri amministrativi
manifestamente sproporzionati rispetto al diritto tutelato, anche perché deve
essere fornita in un contesto temporale circoscritto a innumerevoli soggetti,
individuati ovvero individuabili per relationem grazie
alla ricognizione degli sportelli oggetto dell'operazione.
Alla luce di
ciò, in via generale e in relazione a
ciascuna delle operazioni di cessione di sportelli bancari, il Garante, ai
sensi dell'art. 13, comma 5, lett. c), del Codice, dichiara che
l'impiego dei mezzi necessari a rendere l'informativa singolarmente a
ciascuno degli interessati coinvolti nell'operazione risulta sproporzionato
rispetto all'interesse che il precetto contenuto nel menzionato art. 13,
comma 4, del Codice intende tutelare.
Per queste
ragioni l'informativa può essere quindi resa nelle medesime forme
previste, seppur a diverso fine, dall'art. 58 del Tub;
c) misure
appropriate. Tuttavia, come già disposto in passato
dall'Autorità [49], è necessario che venga
assicurata comunque un'adeguata informativa a vantaggio degli interessati.
Occorrono, quindi, misure appropriate a cura delle banche cessionarie che siano parte delle operazioni di cessione di sportelli
bancari.
Ciò,
dovrà essere assicurato mediante la pubblicazione dell'informativa
contenente gli elementi previsti dall'art. 13, commi 1 e 2, del Codice sulla Gazzetta
Ufficiale della Repubblica italiana, contestualmente alla
pubblicazione dell'avviso previsto dal menzionato art. 58.
In applicazione
del principio di semplificazione (art. 2 del Codice), i titolari del
trattamento non dovranno presentare al Garante una richiesta preventiva di esonero dall'informativa. L'elevato livello di tutela
degli interessati (art. 2 cit.) dovrà essere, comunque,
garantito adottando anche l'ulteriore misura che risulta appropriata (art.
13, comma 5, lett. c), del Codice), di seguito indicata: i cessionari
dovranno in ogni caso fornire direttamente ai soggetti ceduti gli elementi
contenuti nell'art. 13, commi 1 e 2, del Codice, alla prima occasione utile
successiva all'avvenuta cessione in blocco (ad esempio, in sede di invio dell'estratto
conto). Tale modalità aggiuntiva favorisce una maggiore
conoscibilità dell'avvenuta raccolta dei dati presso terzi ad opera della cessionaria [50].
4. Tutela
dei propri diritti da parte della banca
L'istituto di
credito può utilizzare in sede giudiziaria informazioni relative ai rapporti intrattenuti con la clientela per
tutelare i propri diritti nelle controversie con gli interessati, non
assumendo valore ostativo, in questa ipotesi, l'impegno di riservatezza
assunto in relazione ai servizi prestati, che non può tradursi in un
vincolo tale da produrre effetti lesivi nella sfera giuridica della stessa
banca e in un limite all'esigenza di difesa giudiziaria dei propri diritti (cfr., al riguardo, art. 24, comma 1, lett. f), del
Codice).
Il cliente non
può infatti pretendere dalla banca un
comportamento che si risolva in una lesione dei propri interessi
giuridicamente rilevanti e del proprio diritto di difesa.
Tuttavia, i dati
che possono essere prodotti in giudizio devono essere solo quelli pertinenti
all'esigenza di far valere o difendere un diritto dell'istituto di credito;
si deve evitare, ad esempio, l'ingiustificata produzione di
interi tabulati (ad es., interi estratti
conto) contenenti dati personali (a volte anche riferiti a terzi) non
rilevanti per le citate finalità di difesa [51].
5. Esercizio dei diritti previsti dall'art. 7 del
Codice
5.1. Accesso ai dati. L'art. 7
del Codice obbliga la banca (in qualità di
titolare del trattamento) a fornire idoneo riscontro alle richieste di
accesso avanzate dagli interessati con riferimento ai dati personali che li
riguardano [52].
Tra questi
devono essere annoverate anche tutte le informazioni personali relative alle
operazioni effettuate dagli interessati, nonché
quelle relative alle registrazioni telefoniche degli ordini di negoziazione
dagli stessi impartiti [53], come pure le informazioni di carattere personale,
eventualmente raccolte dalla banca nell'eseguire ordini di investimento della
clientela e idonee a manifestarne obiettivi e propensione al rischio.
L'istanza presentata ai sensi degli artt.
7 e 8 del Codice comporta l'obbligo per la banca di estrapolare dai propri
archivi e dai documenti effettivamente conservati i dati personali relativi
all'interessato oggetto della richiesta, e di comunicarli allo stesso in modo
intelligibile nei modi di cui all'art. 10 del Codice, fornendo se necessario
i criteri e i parametri per la comprensione del significato di eventuali codici associati alle informazioni riferite
all'interessato medesimo (art. 10, comma 6, del Codice) [54].
In particolare,
nel caso in cui l'estrazione dei dati risulti
particolarmente difficoltosa, la banca può fornire riscontro alla
richiesta dell'interessato anche "attraverso l'esibizione o la
consegna in copia di atti e documenti contenenti i dati personali richiesti"
(art. 10, comma 4, del Codice) [55], ancorché la disciplina di protezione dei dati non preveda
l'obbligo per il titolare del trattamento di esibire o di allegare copia di
ogni singolo documento contenente i dati personali dell'interessato [56].
Il diritto di
ottenere la comunicazione in forma intelligibile dei dati non riguarda dati
personali relativi a terzi; tali dati, quindi, nel
caso di consegna di copia di documentazione che li contenga, debbono essere
oscurati [57].
L'esercizio da
parte dell'interessato del diritto di accesso ai
dati personali che lo riguardano e degli altri diritti previsti dall'art. 7
del Codice è gratuito, salva la previsione contenuta nell'art. 10,
commi 7 e 8, del Codice che prevede la possibilità di chiedere
all'interessato un contributo spese quando "si determina un notevole
impiego di mezzi in relazione alla complessità o all'entità
della richiesta" (art. 10, comma 8, del Codice).
5.2. Accesso ai dati
personali ex art. 7 del Codice e accesso alla documentazione bancaria ai
sensi dell'art. 119 Tub. Il diritto di accedere ai dati personali previsto dall'art. 7 del Codice
deve essere distinto dal diritto di accesso alla documentazione bancaria
previsto dall'art. 119 del Tub [58].
Va al riguardo
considerato che quest'ultimo, a differenza di
quanto previsto dagli artt. 7 ss. del Codice,
riconosce al cliente, a colui che gli succede a
qualunque titolo e a chi subentra nell'amministrazione dei suoi beni, il
diritto di ottenere copia di atti o documenti bancari (sia che essi
contengano dati personali relativi all'interessato, sia nel caso in cui
ciò non accada) [59].
Tale diritto non
prevede limitazioni rispetto all'ostensibilità
delle informazioni contenute nella documentazione richiesta (ivi compresi
dati personali relativi a terzi che dovessero esservi contenuti), neanche
nelle forme di un parziale oscuramento delle informazioni stesse; il suo
esercizio prevede il pagamento delle spese a carico del cliente.
5.3. Accesso ai dati di defunti (art. 9 del
Codice). La disciplina in materia di protezione dei dati
personali prevede che il diritto di accesso ai dati
riferiti a persone decedute possa essere esercitato "da chi ha un
interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari
meritevoli di protezione" (art. 9, comma 3, del Codice) legittimando
i soggetti che si trovino in tali condizioni ad esercitare tale diritto in
rapporto a dati personali (inclusi rapporti bancari e finanziari) riferibili
al defunto.
L'istituto di
credito è quindi tenuto a comunicare ai soggetti indicati al
menzionato art. 9, comma 3,
in modo chiaro e comprensibile informazioni
riguardanti la consistenza patrimoniale del defunto, le movimentazioni
bancarie, i saldi riferiti ai depositi "al portatore", anche
se estinti da terzi successivamente al decesso, nonché la data in cui
è stata disposta l'estinzione del conto o il trasferimento del saldo
ad altro conto.
Non possono,
invece, formare oggetto di comunicazione ai sensi degli artt.
7 e 9, comma 3, del Codice informazioni che siano
dati personali riferibili non all'interessato, ma a terzi [60]. Ad esempio, non è conoscibile in base alle norme
appena richiamate il nominativo del percettore del
saldo di deposito, pur intestato al de cuius,
in quanto tale informazione riguarda non il cliente deceduto, ma un
terzo [61]; ciò, salvo che ricorra un'ipotesi di cointestazione con il defunto [62]. In base, poi, a tale disciplina non può essere
accolta la differente richiesta di accesso a dati
personali trattati da una banca e riferiti ad una persona deceduta, se volta
a conoscere specificamente e direttamente l'identità della persona
delegata dal defunto ad effettuare determinate operazioni bancarie [63].
5.4. Accesso ai dati
personali ex art. 7 del Codice e fallito. Il diritto d'accesso
previsto dall'art. 7 del Codice può essere esercitato dal fallito il
quale, per effetto del fallimento, è privato esclusivamente
dell'amministrazione e della disponibilità dei suoi beni. A tale
proposito, l'amministrazione del patrimonio fallimentare, rimessa al
curatore, non riguarda i diritti di natura strettamente personale esercitabili senza autorizzazione o sostituzione del
curatore [64].
[1] Allo stato, in base al d.P.R. 14
marzo 2001, n. 144 (Regolamento recante norme sui servizi di bancoposta), adottato in attuazione della delega
contenuta nell'art. 40 della l. 23 dicembre 1998, n. 448.
[2] Così, al fine di
elevare il grado di sicurezza di beni e persone (segnatamente, del personale
dipendente degli istituti di credito e della clientela), le banche possono effettuare trattamenti di dati personali della clientela,
nella forma della rilevazione di impronte digitali e di immagini, nei limiti
e in conformità alle misure e agli accorgimenti stabiliti nel Provv. 27 ottobre 2005, in www.garanteprivacy.it,
doc. web n. 1246675
(pubblicato in G.U. 22 marzo 2006, n. 68).
[3] Cfr. Provv.
8 marzo 2007, doc. web n. 1390872,
relativo all'accesso per finalità personali (e non istituzionali) da
parte di un funzionario di banca alla Centrale dei rischi della Banca
d'Italia e al sistema centralizzato di rilevazione dei rischi di importo contenuto.
[4] In merito, vigente la l. n. 675/1996, l'Autorità
(anche a seguito del Provv. 28 maggio
1997, doc. web n. 40425)
si era espressa in termini generali in ordine al
rispetto della disciplina relativa all'informativa da rendere alla clientela
e alle modalità per raccogliere, ove necessario, il consenso degli
interessati: cfr. Newsletter
10 maggio 1999.
[5] Allo stato, v. art. 2 d.l. 3 maggio 1991, n. 143 (Provvedimenti
urgenti per limitare l'uso del contante e dei titoli al portatore nelle
transazioni e prevenire l'utilizzazione del sistema finanziario a scopo di
riciclaggio), convertito con modificazioni dalla l. 5 luglio 1991, n. 197
e successivamente modificato dal d.lg.
26 maggio 1997, n. 153. In merito v. pure
Comitato di Basilea per la vigilanza bancaria (Dovere di diligenza delle
banche nell'identificazione della clientela), ottobre 2001.
[6] Art. 7, comma 6, del d.P.R. 29 settembre 1973, n. 605, come sostituito, a far
data dal 1° gennaio 2006, dal comma 332 dell'art. 1 l. 30 dicembre 2004, n. 311
e, infine, così modificato dal d.l. 30 settembre 2005, n. 203.
[7] Cfr. Provv.
27 ottobre 2005, doc. web n. 1189435,
relativo all'identificazione della clientela.
[8] Provv. 28
maggio 1997, doc. web n. 40425,
in materia di informativa e consenso della clientela
nell'ambito dei servizi bancari.
[9] In merito v. le prescrizioni contenute nel regolamento Consob 1° luglio 1998 n. 11522 (Regolamento di
attuazione del decreto legislativo 24 febbraio 1998, n. 58, concernente la
disciplina degli intermediari), con particolare riguardo all'art. 69.
[10] In particolare, la prassi conosce tre tipologie
di tale procedura corrispondenti a diverse esigenze commerciali: Rid utenze, Rid commerciale e Rid veloce. In merito cfr. circolare Abi n. 45, serie
tecnica O del 6 giugno 1983; v. altresì le circolari Abi Prot. SP6014
del 22 dicembre 2004; prot. SP1453
del 29 marzo 2005; prot. SP/003076 del 17 giugno
2005.
[11] Cfr. circolari cit.
[12] Nel Rid utenze si
consente al debitore che vuole avvalersi della procedura per il pagamento del
servizio reso da una società di ricevere da quest'ultima
il modulo di autorizzazione permanente all'addebito in conto corrente,
consegnandolo poi alla banca presso la quale intrattiene il rapporto di conto
corrente, ovvero al medesimo creditore; in quest'ultimo
caso è essenziale che i moduli riportino "la indicazione degli
estremi completi dell'azienda di credito presso la quale è
intrattenuto il conto da addebitare (intestazione e numero filiale, numero
dell'agenzia, indirizzo)": cfr. punto 2.2.1 della menzionata circolare Abi
del 6 giugno 1983.
[13] Ciò, è in armonia con il cd.
segreto bancario che si sostanzia nel dovere della banca di mantenere il
riserbo in ordine alle notizie riguardanti i clienti nell'esercizio
dell'attività bancaria, rispetto alle quali sussiste un interesse,
meritevole di tutela, a che non siano divulgate o comunicate a terzi.
Peraltro, come è noto, la Corte
costituzionale (sentenza 18 febbraio 1992, n. 51) ha precisato che la tutela
del cd. segreto bancario, talora desunto dalla clausola generale di
correttezza e di buona fede tra banca e cliente (artt.
1175 e 1375 c.c.), non può spingersi "fino al punto di fare di
questo ultimo un ostacolo all'adempimento di doveri
inderogabili di solidarietà, prima fra tutti quella di concorrere alle
spese pubbliche in ragione della propria capacità contributiva (art.
53 della Costituzione), ovvero fino al punto di farne derivare il benché
minimo intralcio all'attuazione di esigenze costituzionali primarie, come
quelle connesse all'amministrazione della giustizia e, in particolare, alla
persecuzione dei reati". V. altresì Provv.
23 maggio 2001, doc. web n. 39821.
[14] V. pure art. 1 del codice di comportamento del
settore bancario e finanziario adottato dall'Abi.
[15] Cfr. Provv. 6 febbraio 2001,
doc. web n. 40879.
[16] Cfr. Provv. 17 settembre 2002,
doc. web n. 1066132.
[17] Tale è il caso in cui il dipendente aveva
divulgato dati su rapporti di conto corrente e di deposito titoli ad un
legale esterno il quale, a sua volta, li aveva utilizzati in una controversia
tra il cliente e un terzo (si trattava, in concreto, di una controversia
relativa all'aumento dell'assegno di divorzio): Provv.
23 maggio 2001, doc. web n. 39821.
[18] Cfr. Provv. 8 marzo 2007, doc.
web n. 1390910.
[19] Cfr. con particolare riguardo allo svolgimento
dell'attività di e-banking, il Provv. 11 novembre 2002, doc. web n. 1067296.
[20] Cfr. l. 5 luglio 1991, n. 197, con particolare riferimento
all'art. 3, comma 7; si prendano pure in considerazione i successivi decreti
ministeriali attuativi del 19 dicembre 1991, 26 giugno 1992, 7 luglio 1992 e
7 agosto 1992.
[21] Già nelle "Indicazioni operative
per la segnalazione di operazioni sospette" (c.d.
"Decalogo"), impartite dalla Banca d'Italia il 12 gennaio 2001 ai
sensi dell'art. 3 bis, comma 4, l. 5 luglio 1991, n. 197, punto 2.1. (c.d.
know your customer rule), si
precisava che "il dato oggettivo va integrato con le informazioni sul
cliente in possesso dell'intermediario, nel valutare la coerenza e la
compatibilità dell'operazione con il profilo economico-finanziario che
deve essere dichiarato dal cliente medesimo; particolare attenzione è
richiesta qualora risulti che il cliente non svolge attività con
rilievo economico. Ingiustificate incongruenze rispetto alle caratteristiche
soggettive del cliente e alla sua normale operatività -sia sotto il
profilo quantitativo, sia sotto quello degli schemi contrattuali utilizzati- richiedono l'attivazione della procedura di segnalazione"
[…] "Gli accertamenti bancari e gli ulteriori provvedimenti disposti
dall'autorità giudiziaria (misure di prevenzione, rinvii a giudizio,
ecc.) sono utilizzati per la valutazione sulla qualità dei clienti
così come le notizie di stampa, specie se relative a operazioni
finanziarie internazionali irregolari, le comunicazioni pubblicate nella
Gazzetta Ufficiale e tutte le altre informazioni desumibili sulla piazza".
[22] V., allo stato, il Provv.
del 9 novembre 2001 dell'Ufficio italiano dei cambi
(Istruzioni in materia di contrasto finanziario al terrorismo),
pubblicato sulla G.U. 15 novembre 2001, n. 266; v. anche, in
particolare, l'art. 10, d.lg. 22 giugno 2007, n.
109, recante Misure per prevenire, contrastare e reprimere il finanziamento
del terrorismo e l'attività dei Paesi che minacciano la pace e la
sicurezza internazionale, in attuazione della direttiva 2005/60/Ce, in G.U.
26 luglio 2007, n. 172 (disciplina che, tra l'altro, ha abrogato le previgenti pertinenti disposizioni del d.l. 12 ottobre
2001, n. 369, recante "Misure urgenti per reprimere e contrastare il
finanziamento del terrorismo internazionale").
[23] Cfr. art. 14-quinquies, comma 2, della l. 3 agosto 1998,
n. 296 come novellata dall'art. 19
l. 6 febbraio 2006, n. 38, recante Disposizioni in
materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet.
[24] Cfr., ad esempio, art.
7, comma 6, d.P.R. 29 settembre 1973, n. 605 (Disposizioni
relative all'anagrafe tributaria e al codice fiscale dei contribuenti) e art.
1, comma 3, d.l. 28 giugno 1990 n. 167 (Rilevazione a fini fiscali di
taluni trasferimenti da e per l'estero di denaro, titoli e valori), in G.U.
30 giugno 1990, n. 151 (e convertito in legge, con modificazioni, dall'art.
1, comma 1, l.
4 agosto 1990, n. 227).
[25] Detta "anagrafe" è stata a suo
tempo prevista dall'art. 20, comma 4, della l. 30 dicembre 1991, n. 413 e
successivamente regolata con il d.m. 4 agosto 2000,
n. 269; v. ora d.l. 4 luglio 2006, n. 223, conv.,
con mod., dalla legge 4 agosto 2006, n. 248); Provv. Agenzia delle entrate del 19
gennaio 2007 "Modalità e termini di comunicazione dei dati
all'Anagrafe Tributaria da parte degli operatori finanziari di
cui all'art. 7, sesto comma, del decreto del Presidente della Repubblica 29
settembre 1973, n. 605, e successive modificazioni".
[26] Cfr. del. Cicr 29 marzo 1994; Provv. Banca d'Italia 10
agosto 1995; Circ. Banca d'Italia 11 febbraio 1991,
n. 139 e successivi aggiornamenti.
[27] V., in particolare, la del. Cicr
3 maggio 1999 (Istituzione di un archivio accentrato per la rilevazione
dei rischi di importo contenuto) e le Istruzioni della Banca d'Italia (Sistema
centralizzato di rilevazione dei rischi di importo contenuto), in G.U.
21 novembre 2000, n. 272.
[28] Cfr. Cass. 7 agosto 1990, n. 7953; Cass. 27 settembre 2001, n. 12093;
Corte app. Milano, 22 luglio 1997,
in Giust.
civ. 1998, I, 246.
[29] L'art. 547 c.p.c.
(come modificato dall'art. 12,
l. n. 52/2006) dispone che il terzo pignorato (nel
caso in esame, la banca) debba "specificare di quali cose o di quali somme è debitore o si trova in
possesso", dandone comunicazione al creditore procedente in
conformità alla previsione contenuta nell'art. 543, comma 2, n. 4 c.p.c.
[30] Del. 16 novembre 2004, n. 9 (Bilanciamento di
interessi), in G.U. 23 dicembre 2004, n. 300 e doc. web
n. 1070779.
[31] V. Del. 16 novembre 2004, n. 8, in G.U. 23
dicembre 2004, n. 300, come modificato dall'errata corrige pubblicata
in G.U. 9 marzo 2005, n. 56 e doc. web n. 1070713.
[32] In tal senso v. Provv.
1° febbraio 2007, doc. web n. 1388576;
Provv. 18 gennaio 2007, doc. web n. 1386384; Provv.
21 dicembre 2006, doc. web n. 1381657;
Provv. 21 dicembre 2006, doc. web n. 1378189;
Provv. 7 dicembre 2006, doc. web n. 1375058;
Provv. 7 dicembre 2006, doc. web n. 1375085;
Provv. 7 dicembre 2006, doc. web n. 1375133;
Provv. 7 dicembre 2006, doc. web n. 1375150;
Provv. 20 aprile 2006, doc. web n. 1289957.
[33] Cfr. Provv. 8 ottobre 2003,
doc. web n. 1132740.
[34] Regolamento sul funzionamento
dell'archivio informatizzato degli assegni bancari e postali e delle carte di
pagamento, pubblicato nella G.U. 4 gennaio 2002, n. 3.
[35] Relativo al "Funzionamento dell'archivio
informatizzato degli assegni bancari e postali e delle carte di pagamento",
pubblicato in G.U. 1° febbraio 2002, n. 27 e successive modificazioni.
[36] Cfr. art. 11 d.m. n. 458/2001 e art. 13 del regolamento della Banca d'Italia che (in
conformità ai princìpi contenuti
nell'art. 7 del Codice) prevede che l'interessato possa accedere "ai
dati contenuti nell'archivio che lo riguardano tramite gli enti segnalanti
privati o tramite le filiali della Banca d'Italia".
[37] Cfr. Provv. 25 gennaio 2007, doc. web
n. 1387164, in relazione all'inserimento
nella Cai di dati personali, solo in parte
veritieri, connessi all'emissione di una carta di pagamento non richiesta, né
ricevuta dall'interessato.
[38] V. in merito Provv.
21 dicembre 2006, doc. web n. 1378399
(e, in ordine alla medesima vicenda, il successivo Provv. 22 febbraio 2007, doc. web n. 1391891).
[39] Tenendo in considerazione le circostanze del
tutto particolari che in concreto si erano presentate il Garante ha disposto
la cancellazione dei dati dall'archivio Cai con Provv. 27 settembre 2004, doc. web n. 1069074.
[40] Provv.
15 febbraio 2005, doc. web n. 1148524,
che richiama in tal senso le Istruzioni della Banca d'Italia del 21 novembre
2002 e dell'11 luglio 2003.
[41] Provv.
17 marzo 2005, doc. web n. 1152149.
[42] In particolare il debitore, entro sessanta
giorni dalla data di scadenza del termine di presentazione del titolo
(dall'art. 9-bis, l. n. 386/1990), deve provvedere tempestivamente al
pagamento dell'assegno, degli interessi, della penale e delle eventuali spese
per il protesto o per la constatazione equivalente e documentare,
altresì, l'avvenuto pagamento nelle forme puntualmente previste dal
menzionato art. 8: cfr. in
merito Provv. 22 febbraio 2007, doc. web n. 1391942;
Provv. 26 luglio 2005, doc. web n. 1157986; Provv.
3 marzo 2005, doc. web n. 1149190;
sulla tempestività delle attività rimesse al debitore cfr. Provv. 26 ottobre 2006, doc. web n. 1367653.
[43] Provv.
19 ottobre 2005, doc. web n. 1192373;
Provv. 4 ottobre 2004, doc. web n. 1102353;
v. ora, d.m. 30 aprile
2007, n. 112 di attuazione della legge 17 agosto 2005, n. 166, recante "Istituzioni
di un sistema di prevenzione delle frodi sulle carte di pagamento".
[44] Cfr. art. 14-quinquies, commi 5 e 6, l. n. 296/1998, cit.
[45] In ordine a tale prassi la disciplina
in materia di protezione dei dati personali non prevede alcun divieto: cfr. Parere del 30 novembre 1998 (in Bollettino n. 6, p.
85 e) doc. web n. 39416.
In ordine alla legittimità del c.d. benefondi v. pure Cass., 27
novembre 2003, n. 18118; Cass. 10 marzo 2000, n. 2742.
[46] Cfr. Cass. 6 giugno 2003, n. 9103; Cass. 7 febbraio 1979, n. 820.
[47] Banca d'Italia, Istruzioni di vigilanza per
le banche, tit. III, cap. 5, assume che nella dizione "ramo di
azienda", utilizzata dall'art. 58 Tub, possano
comprendersi "le succursali e, in genere, ogni insieme omogeneo di
attività operative, a cui siano riferibili rapporti contrattuali e di
lavoro dipendente nell'ambito di una specifica struttura organizzativa".
[48] Ciò, è stato reso possibile con la
previsione di modalità semplificate per notificare la cessione,
consentendo comunque al contraente ceduto di recedere entro tre mesi
(dall'avvenuta cessione) dal contratto in presenza di giusta causa
(analogamente alla disciplina relativa alla cessione d'azienda di cui
all'art. 2558 c.c. e distaccandosi, invece, dai princìpi
di diritto comune relativi alla cessione del contratto di cui all'art. 1406
c.c.).
[49] In materia di cessione in blocco e cartolarizzazione dei crediti: Provv.
18 gennaio 2007, doc. web n. 1392461.
[50] Analoga prescrizione è stata impartita
dalla Banca d'Italia, seppure a diverso fine, in relazione alle operazioni di
cessione in blocco di rapporti giuridici ai sensi dell'art. 58 del Tub: cfr. Banca
d'Italia, Istruzioni di vigilanza per le banche, tit. III, cap. 5,
sez. II.
[51] Restano comunque ferme, ai sensi dell'art. 160,
comma 6, del Codice, le autonome determinazioni che l'autorità giudiziaria
riterrà di adottare in ordine all'efficacia e
all'utilizzabilità di atti e documenti nel procedimento giudiziario.
[52] A tal proposito si vedano altresì le
indicazioni già fornite in termini generali dal Garante con le Linee
guida in materia di trattamento di dati personali di lavoratori per
finalità di gestione del rapporto di lavoro alle dipendenze di datori
di lavoro privati (Del. n. 53 del 23 novembre 2006), punto 9.
[53] Cfr. Provv. 23 luglio 2004,
doc. web n. 1099411;
v. pure, in relazione all'accesso a
registrazioni di conversazioni aventi ad oggetto l'acquisto di pacchetti
azionari, Provv. 19 giugno 2002, doc.
web n. 1065269;
v. pure Provv.
19 maggio 2005 , doc. web n. 1151188.
[54] Cfr. Provv. 12 marzo 2004, doc.
web n. 1090100.
[55] Cfr. tra gli altri Provv.
29 ottobre 2003, doc. web n. 1144061; Provv. 13 luglio 2006, doc. web n. 1321296;
Provv. 20 dicembre 2006, doc. web n. 1376382; Provv.
16 marzo 2007, doc. web n. 1399446.
[56] Provv.
13 luglio 2006, doc. web n. 1320699;
Provv. 23 marzo 2006, doc. web n. 1285350.
[57] Cfr. Provv. 9 novembre 2006,
doc. web n. 1366189;
Provv. 10 dicembre 2003, doc. web n. 1053648;
Provv. 27 dicembre 2001, doc. web n. 40987.
[58] Provv.
20 luglio 2006, doc. web n. 1322844.
[59] Provv.
28 settembre 2006, doc. web n. 1349798;
Provv. 1° giugno 2005, doc. web n. 1139982;
Provv. 1° giugno 2005, doc. web n. 1139991.
[60] In tal senso cfr. Provv. 20 maggio 2004, doc. web
n. 1098787; Cass.,
12 maggio 2006, n. 11004; Circ. n. 229 del 21
aprile 1999, p. 18 e ss.
[61] Provv.
27 aprile 2000, doc. web n. 1113611.
[62] In tal caso, con Provv.
3 aprile 2002, doc. web n. 1065256,
si è affermato che "il diritto di accesso
ai dati personali conferisce […] la possibilità di acquisire piena
cognizione di tutte le informazioni personali detenute dalla Cassa,
permettendo allo stesso di comprendere il loro contenuto, anche attraverso il
chiaro richiamo alle generalità dei cointestatari
predetti (dati che lo stesso de cuius avrebbe avuto
a suo tempo il diritto di conoscere)"; v. pure Provv.
8 ottobre 2003, doc. web n. 1053855.
[63] Provv.
13 novembre 2003, doc. web n. 1053654.
[64] Per precedenti in materia v. Provv.
9 marzo 2006, doc. web n. 1268821,
con richiami ulteriori a Cass.,
23 luglio 1994, n. 6873 e Cass. 21 aprile 1997, n. 3400; v. pure artt. 31, 42 e ss. r.d. n.
267/1942, come modificato, allo stato, dal d.lg. 9
gennaio 2006, n. 5.
|