g-docweb-display Portlet

Trattamento di dati personali senza informativa da parte di un banca - 2 ottobre 2014 [3634921]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3634921]

Trattamento di dati personali senza informativa da parte di un banca - 2 ottobre 2014

Registro dei provvedimenti
n. 436 del 2 ottobre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro Presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il reclamo presentato dai sigg.ri KK, XX e WW nei confronti di Banca delle Marche S.p.a. in gest. provv.;

Vista la documentazione in atti;

Visto il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

Visto il "Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti" promosso dal Garante ai sensi dell´art. 12 del Codice (Provv. del Garante n. 8 del 16 novembre 2004, pubblicato nella Gazzetta Ufficiale del 23 dicembre 2004, n. 300);

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Con reclamo pervenuto il 6 agosto 2013, i sigg.ri XX e la sig.ra KK, e la sig.ra WW hanno riferito che, in data 29 ottobre 2010, si erano recati presso la filiale di Montemarciano di Banca delle Marche S.p.a. (di seguito, Banca) per sottoscrivere un contratto di fideiussione in favore del sig. JJ, rispettivamente genero e coniuge dei reclamanti. Inoltre, i predetti hanno asserito che, nell´occasione, avevano sottoscritto tre moduli, "nella convinzione di aver firmato il contratto di fideiussione (per 21.000,00 euro), la documentazione relativa al trattamento della Privacy e il documento di sintesi con le informative al cliente".

Solo a distanza di tempo, i reclamanti, destinatari di una richiesta di rientro inviata dalla Banca, avevano appreso che, contrariamente a quanto sino ad allora ritenuto e, comunque, senza che ciò fosse mai stato loro specificato, stante la mancata ricezione di qualsiasi "informativa da parte del personale preposto", di fatto avevano "sottoscritto fideiussioni estese [anche] alle precedenti posizioni debitorie del sig. JJ per ulteriori Euro 45.000,00 e 7.500,00".

A seguito di ciò, il sig. XX, con missiva dell´11 dicembre 2012, aveva avanzato le proprie rimostranze alla Banca, asserendo di aver inteso concedere la garanzia fidejussoria soltanto per il finanziamento ammontante a 21.000,00 Euro; la Banca, nel fornire riscontro attraverso il proprio "Ufficio reclami", con nota del 25 gennaio 2013 sosteneva che, in occasione della stipula del rapporto di garanzia, il "Titolare della Filiale" aveva "ritenuto che la solidarietà familiare dovesse essere estesa anche a pregresse situazioni debitorie del sig. JJ, come condizione necessaria per la concessione del finanziamento medesimo". In ragione di tale affermazione, il sig. XX aveva chiesto alla Banca di avere "copia della documentazione sottoscritta" e, in particolare, "dell´informativa Privacy" sottoscritta dagli odierni reclamanti; in risposta a tale richiesta, la Banca aveva inviato "una copia delle tre fideiussioni ed una copia dell´informativa privacy sottoscritta dal solo XX nel 1998", peraltro "come correntista in un´altra filiale dello stesso Istituto di credito" (v. cit. reclamo del 6 agosto 2013).

Pertanto, i reclamanti concludevano chiedendo la declaratoria d´illiceità del trattamento posto in essere dalla Banca con riferimento ai loro dati personali, con prescrizione, da parte dell´Autorità adita, di misure opportune o necessarie per rendere il trattamento conforme alle disposizioni di legge.

2. Con nota del 30 settembre 2013, la Banca, nel fornire riscontro ad una specifica richiesta di informazioni di questa Autorità, ha dichiarato –assumendo al riguardo ogni responsabilità ai sensi dell´art. 168 del Codice- che "il modello di consenso sottoscritto il 2 gennaio 1998" era "antecedente alla firma delle fideiussioni del 29 ottobre 2010, in quanto il sig. XX era già cliente della […] Banca"; inoltre, l´istituto, nel produrre apposita documentazione, ha altresì rappresentato che i modelli recanti l´informativa prevista dal codice di deontologia di settore erano "stati debitamente firmati il 18 ottobre 2010 dai sigg.ri KK e XX", con rilascio di contestuale autorizzazione alla Banca per "consultare le banche dati per valutare l´affidabilità dei clienti stessi". Infine, la Banca ha anche precisato che, per "concedere il nuovo finanziamento", si era reso "necessario estendere la garanzia anche ai rapporti preesistenti poiché, in mancanza, non sarebbe stato possibile concedere tale finanziamento".

3. La vicenda riguarda il trattamento dei dati personali degli interessati operato dalla Banca in occasione dell´instaurazione di un rapporto di fideiussione in favore di un loro congiunto.

Preliminarmente deve rilevarsi che esula dal presente procedimento la questione concernente l´effettiva estensione della garanzia prestata dai singoli fideiussori (e cioè se sia stato garantito soltanto l´ultimo finanziamento concesso in ordine di tempo al sig. JJ, debitore principale, oppure anche i precedenti finanziamenti),  trattandosi di aspetti civilistici su cui questa Autorità non ha alcuna competenza a decidere.

Sul piano concernente la disciplina in materia di protezione dei dati personali, si rileva che la Banca, in qualità di titolare del trattamento, nel caso specifico avrebbe dovuto fornire ai singoli interessati l´informativa di cui all´art. 13 del Codice, volta ad informare i predetti sugli aspetti fondamentali del trattamento che la Banca avrebbe intrapreso in vista dell´instaurazione e della gestione del rapporto contrattuale, comprendente anche gli ulteriori elementi indicati dall´art. 5 del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilità e puntualità nei pagamenti (Provvedimento del Garante n. 8 del 16 novembre 2004, G. U. 23 dicembre 2004, n. 300, come modificato dall´errata corrige pubblicata in G. U. 9 marzo 2005, n. 56- all. A.5 del Codice), volti ad evidenziare adeguatamente e specificamente le modalità di trattamento di tali dati anche nell´ambito dei sistemi di informazione creditizia.

4. Ciò premesso, all´esito dell´istruttoria è emerso che la Banca risulta aver fornito tale informativa sia al sig. XX, sia alla sig.ra KK.

In particolare, la Banca ha prodotto non solo un´originaria informativa sul trattamento dei dati personali resa al sig. XX sin dal 2 gennaio 1998, allorché costui ebbe ad instaurare un rapporto contrattuale con la Banca, ma ha anche prodotto copia di due distinte informative datate 18 ottobre 2010, sottoscritte dai predetti coniugi in occasione del rilascio della garanzia fideiussoria, entrambe recanti tutti gli elementi indicati dall´art. 13 del Codice e dall´art. 5 del citato Codice deontologico (v. all.ti alla cit. nota della Banca del 30 settembre 2013).

Al contrario, la Banca, su cui incombeva l´onere probatorio, non ha prodotto copia dell´informativa che avrebbe dovuto essere resa alla sig.ra WW, anch´essa parte del rapporto fideiussorio, con la conseguenza che, limitatamente alla posizione della predetta, il trattamento dei dati personali posto in essere dalla Banca non risulta essere stato conforme a legge. Rispetto a tale profilo, l´Autorità si riserva di instaurare autonomo procedimento per contestare in sede amministrativa la violazione di quanto disposto dal citato art. 13 del Codice (artt. 13 e 161 del Codice).

Tale circostanza, peraltro verificatasi in riferimento ad un unico rapporto di garanzia concernente più fideiussori, fa ritenere che le attuali procedure adottate dalla Banca per garantire la costante e puntuale osservanza, da parte degli incaricati del trattamento, delle norme in materia di protezione dei dati personali dei clienti debbano essere oggetto di revisione, per escludere la futura ripetizione di operazioni di trattamento non conformi a legge; pertanto, si prescrive alla Banca stessa di adottare, entro 60 giorni dalla ricezione del presente provvedimento, misure necessarie al riguardo, con obbligo di fornire, ai sensi dell´art. 157 del Codice, adeguato riscontro documentato a questa Autorità entro 30 giorni dalla loro adozione.

TUTTO CIÒ PREMESSO, IL GARANTE:

−  dichiara l´illiceità del trattamento posto in essere da Banca delle Marche S.p.A. in gest. provv. in riferimento ai dati personali della sig.ra WW, per violazione dell´obbligo di informativa (art. 13 del Codice e art. 5 del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilità e puntualità nei pagamenti;

− ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive a Banca delle Marche S.p.A. in gest. provv., in persona del legale rappresentante pro tempore, di adottare, entro 60 giorni dalla ricezione del presente provvedimento, le misure necessarie per garantire la costante e puntuale osservanza, da parte degli incaricati del trattamento, delle norme in materia di protezione dei dati personali dei clienti, con obbligo di fornire, ai sensi dell´art. 157 del Codice, adeguato riscontro documentato a questa Autorità entro 30 giorni dalla loro adozione;

−  ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 2 ottobre 2014

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia