Newsletter 21 - 27 maggio 2001

• La legge sulla privacy difende il segreto bancario
• Il sito della settimana - www.w3.org
• L’Europa si prepara a combattere per la privacy

La legge sulla privacy difende il segreto bancario

Le banche non possono comunicare illegittimamente informazioni sui conti dei loro clienti a persone estranee che chiedono di conoscere tali informazioni per meglio tutelare le proprie ragioni in sede giudiziaria. Anche la sola conferma dell´esattezza dei dati relativi ad un cliente, fornita ad un terzo che non vi abbia titolo, rappresenta una illegittima divulgazione e una violazione del segreto bancario.

E´ quanto ha stabilito il Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) dando ragione al cliente di una banca che aveva scoperto che il suo istituto di credito aveva comunicato senza titolo al legale dell´ex coniuge alcune informazioni riguardanti i propri rapporti di conto corrente e di deposito titoli. La comunicazione era stata effettuata ad opera di un dipendente dell´istituto (al quale è stata poi applicata una sanzione) e il legale aveva poi utilizzato i dati nell´ambito di una causa civile tra le parti.

Nel corso del procedimento dinanzi al Garante, la banca, pur avendo adottato una sanzione disciplinare nei confronti del dipendente, aveva sollevato dubbi sull´effettiva violazione del segreto bancario e della legge sulla privacy, sostenendo che poiché quei dati erano necessari al coniuge per difendere un suo diritto in sede giudiziaria, la comunicazione poteva effettuarsi senza il consenso dell´interessato.

La comunicazione dei dati da parte della banca è stata, invece, giudicata dal Garante contraria al principio di liceità e correttezza nel trattamento dei dati personali ed effettuata in violazione degli obblighi contrattuali relativi ai rapporti bancari.

L´Autorità ha spiegato, infatti, che la possibilità, prevista dalla legge n. 675 del 1996, per chi detiene i dati personali di comunicarli senza il consenso dell´interessato qualora la loro comunicazione sia necessaria per far valere o difendere un diritto in sede giudiziaria anche da parte di un terzo, rappresenta solo una mera facoltà. Tale facoltà, in quanto tale, non determina a carico di chi detiene i dati alcun obbligo giuridico di comunicare le informazioni, così come non riconosce al terzo che li richiede il diritto di ottenerli.

Dinanzi alla richiesta di una persona estranea di conoscere le informazioni su un cliente, il gestore della banca dati - ha sottolineato il Garante - deve verificare se è tenuto o meno alla comunicazione (o può effettuarla ad altro titolo per effetto di una prestazione o di un servizio bancario richiesto) oppure se tale comunicazione violi disposizioni che derivano dalla legge o dal rapporto contrattuale.

Nel caso esaminato dall´Autorità, il rapporto di conto corrente e quello legato alla gestione dei titoli precludeva la comunicazione dei dati in assenza del consenso del cliente o di un altro obbligo di legge o di contratto.

Nei rapporti delle banche con la clientela opera, infatti, il cosiddetto segreto bancario, inteso come obbligo di mantenere il riserbo sulle operazioni, sui conti e sulle posizioni concernenti gli utenti dei servizi bancari. Il segreto bancario connaturato al rapporto banca-cliente in applicazione dei principi di correttezza e buona fede nell´esecuzione del contratto ed è espressamente richiamato o presupposto da diverse disposizioni normative in materia fiscale tributaria o in materia di riciclaggio, in relazione ai poteri di accertamento che permettono a determinati soggetti pubblici di acquisire notizie ed informazioni presso istituti di credito.

Inoltre, i doveri di confidenzialità connessi al cosiddetto segreto bancario trovano riscontro, oltre che negli usi e nelle consuetudini bancarie, anche negli impegni che gli istituti di credito assumono nei confronti della clientela quando dichiarano di rispettare le regole di comportamento indicate nei codici di autodisciplina predisposti dall´A.B.I., anche per quanto riguarda in particolare la riservatezza nella raccolta e nel trattamento delle informazioni sui clienti.

Da questo quadro, ha sottolineato il Garante, emerge che, al di fuori di casi di eventuale comunicazione dei dati collegati alle ordinarie operazioni eseguite dai clienti, alle prestazioni richieste o ai servizi erogati (emissione di assegni, bonifici, pagamenti tramite bancomat o carta di credito ecc.) e dei casi di adempimenti di obblighi normativi in base ai quali gli istituti di credito devono comunque fornire determinate informazioni a soggetti pubblici, le banche e il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri clienti e non divulgarle a terzi.

Nel caso esaminato dal Garante, il dipendente della banca ha, quindi, fornito le informazioni al legale violando il principio di liceità e correttezza. La circostanza, poi, che il dipendente si sia eventualmente limitato soltanto a confermare l´esattezza di informazioni già asseritamente conosciute dal legale (circostanza peraltro contestata dal cliente della banca) è priva di rilievo, avendo comunque il dipendente divulgato notizie o elementi utili a fornire un contributo aggiuntivo di conoscenza al legale che le richiedeva.

Nel dichiarare pertanto fondata la segnalazione dell´interessata, il Garante ha disposto affinché la banca impartisca ulteriori istruzioni al personale per conformare il trattamento dei dati ai principi di riservatezza richiamati, trasmettendo all´Ufficio del Garante copia delle determinazioni adottate. L´Autorità, ha, infine, trasmesso copia del provvedimento alle associazioni di categoria e di consumatori e agli organismi pubblici e privati interessati.

Il sito della settimana - www.w3.org

Il World Wide Web Consortium (W3C) è un’organizzazione internazionale costituita da oltre 500 membri, finalizzata a promuovere il pieno sviluppo del World Wide Web attraverso la formulazione di protocolli comuni che ne assicurino l’interoperabilità.

Questa settimana il sito del Consorzio (www.w3.org) pubblica, tra le altre, una importante nota riguardante la famosa P3P, la "Piattaforma di preferenze sulla privacy" . Si tratta di una guida, concepita per gli operatori dei siti Web ma di interesse più generale, che spiega come scrivere e pubblicare la propria politica sulla privacy secondo una sintassi che risulti leggibile da un computer. La nota contiene anche istruzioni per comunicare tale politica nel formato adottato dai più diffusi server Web. La P3P consiste in un gruppo di domande a scelta multipla che coprono tutti i principali aspetti delle politiche di privacy di un sito Web. Nel loro insieme costituiscono una fotografia di come un sito gestisce i dati personali dei suoi utenti.

La ragione per cui un sito dovrebbe decidere di indicare la propria "piattaforma di preferenze sulla privacy" è quella di rendere più trasparenti le sue pratiche di privacy ai visitatori del sito. Attraverso l´utilizzazione della tecnologia P3P, il browser di un visitatore può scaricare le dichiarazioni sulla privacy del sito che si intende visitare confrontarne i contenuti con le preferenze espresse dal visitatore. Il browser può così segnalare automaticamente all’utente se le politiche di privacy del sito che egli sta visitando si accordano o no con le sue preferenze, consentendogli quindi di intraprendere le azioni più opportune. 

L’Europa si prepara a combattere per la privacy
(da un articolo di Jeffrey Benner pubblicato su Wired News del 24 maggio)

L’articolo prende spunto dalla pubblicazione di un rapporto da parte di Statewatch (un’organizzazione no-profit inglese che si occupa di diritti e libertà dei cittadini), che la scorsa settimana ha suscitato grande attenzione in Gran Bretagna ed è stato ripreso dal Guardian e dalla BBC.

Secondo Statewatch, è in progetto da parte delle autorità governative europee la richiesta alla Commissione di facilitare l’attività delle forze dell’ordine ammorbidendo le disposizioni in materia di privacy che riguardano, in particolare, la conservazione dei dati raccolti dalle autorità di polizia. Statewatch cita un documento ENFOPOL della fine di marzo 2001 (il gruppo di lavoro per la cooperazione in materia di polizia che riunisce le autorità competenti dei 15 paesi membri dell’UE, nell’ambito del Consiglio dell’Unione europea) in cui si giunge alla conclusione che l’obbligo imposto agli operatori di cancellare e anonimizzare i dati di traffico costituisce un "grave ostacolo" per le indagini penali e che è della "massima importanza garantire l’accesso" a tali dati per scopi di natura investigativa; il Gruppo invita pertanto la Commissione europea a "prendere misure immediate" al fine di garantire che le forze dell’ordine possano accedere ai dati in oggetto per "indagare su reati nei quali siano utilizzati sistemi di comunicazione elettronica", in particolare "riesaminando le disposizioni che obbligano gli operatori a cancellare i dati di traffico o a renderli anonimi".

Statewatch fa notare soprattutto che la richiesta di maggiore libertà investigativa non riguarda reati di particolare gravità (ad esempio, legati alla criminalità organizzata), ma genericamente qualsiasi tipo di reato. Si sottolinea, inoltre, che questa richiesta giunge in un momento in cui altre iniziative (come la Convenzione contro la criminalità informatica del Consiglio d’Europa) sembrano mettere in discussione la tutela dei dati personali in settori assai delicati come quello delle indagini penali, e stanno per essere decise importanti modifiche alle direttive attualmente in vigore per quanto concerne la protezione dei dati (in particolare nel settore delle telecomunicazioni).

Le reazioni al rapporto di Statewatch degli esperti e di altri gruppi di sostegno della protezione dei dati sono piuttosto variegate. Da un lato alcuni ritengono che le conclusioni di Statewatch siano eccessivamente allarmistiche; ad esempio, secondo Marc Rotenberg dell’EPIC (Electronic Privacy Information Center) è difficile che una richiesta del genere possa essere accolta alla luce della legislazione e degli strumenti internazionali esistenti (Convenzione del Consiglio d’Europa sulla protezione dei dati, direttive europee in materia di privacy, giurisprudenza della Corte europea dei diritti dell’uomo). Più sfumata la posizione di Joel Reidenberg, professore di diritto alla Fordham University negli USA e consulente per la Commissione europea in materia di privacy, il quale sottolinea che in tutti i documenti citati si lascia aperta la strada all’adozione di specifici provvedimenti nell’interesse della sicurezza nazionale o dell’ordine pubblico. Tuttavia, anche Reidenberg ritiene che ostacoli di natura pratica e politica rendano impossibile l’adozione di misure restrittive del genere ipotizzato da Statewatch - non in ultimo per la per la scarsa "appetibilità" di posizioni anti-privacy agli occhi dei politici europei.

Sull’altro fronte, Simon Davies di Privacy International (un’altra organizzazione no-profit che da anni si occupa di libertà civili, e fra l’altro assegna regolarmente il premio "Grande Fratello") ha espresso il timore che le richieste di prolungare il periodo di conservazione dei dati siano accolte proprio in nome delle esigenze di sicurezza. Secondo Davies, le proposte "sono perfettamente compatibili con la Convenzione sulla criminalità informatica del Consiglio d’Europa e con altre convenzioni internazionali elaborate nel corso degli ultimi cinque anni."

Va sottolineato che i rappresentanti dei Garanti europei per la protezione dei dati personali hanno già espresso, in un parere dello scorso 22 marzo relativo al Progetto di convenzione del Consiglio d’Europa sulla criminalità informatica, la loro contrarietà a norme che estendano il periodo di conservazione dei dati relativi a TLC ed Internet, ed hanno fatto rilevare l’insufficiente attenzione dedicata al tema della protezione dei dati nelle disposizioni della Convenzione.

Secondo il Guardian, dall’Unione europea non sono giunte né smentite né conferme delle informazioni contenute nel rapporto di Statewatch.