Il Garante privacy sanziona la banca per aver comunicato al genitore di una cliente i dati dei rapporti bancari intrattenuti da quest’ultima con la banca.
>>>Leggi qui l’ordinanza n.202 del 26 maggio 2022<<<
Un chemin vers la conquête de ses droits

I fatti
La decisione del Garante

1. I fatti
Una signora aveva inviato, per il tramite del proprio avvocato, un reclamo al Garante privacy con il quale sosteneva che la propria banca aveva compiuto un illecito trattamento dei suoi dati personali. En particulier, la reclamante sosteneva che l’istituto bancario avesse comunicato, senza alcuna presupposto che legittimasse tale comunicazione, al proprio genitore i dati relativi ai rapporti bancari che la stessa reclamante aveva con la suddetta banca. Inoltre, la signora riferiva che tali dati erano poi stati prodotti in un giudizio che era pendente dinanzi al Tribunale di Bari e per di più essi presentavano la dicitura “ad uso interno”.
In considerazione del reclamo ricevuto, il Garante per la protezione dei dati personali aveva prima chiesto chiarimenti alla banca in ordine ai fatti descritti dalla signora e successivamente aveva avviato il procedimento sanzionatorio nei confronti dell’istituto di credito.
La banca si era difesa nel suddetto procedimento sostenendo che la comunicazione dei dati si era verificata in quanto un dipendente della locale filiale dell’istituto di credito aveva accolto la richiesta, formulata oralmente e proveniente dal genitore della reclamante, di avere copia della movimentazione del conto corrente della figlia. La banca precisava, aussi, che tale genitore aveva avuto la facoltà di operare sul conto corrente della figlia fino al raggiungimento della maggiore età di quest’ultima (proprio in quanto esercente la potestà genitoriale sulla stessa) e che l’errore da parte dell’operatore della filiale era avvenuto in buona fede proprio perché per tanto tempo il genitore aveva sempre operato sul conto nell’interesse della figlia quale esercente la potestà genitoriale, quindi l’operatore non aveva verificato se il genitore avesse avuto ancora la facoltà di agire sul conto nell’interesse della figlia.
In secondo luogo, la banca rilevava che l’errore dell’operatore della filiale era avvenuto anche perché il genitore della correntista apparteneva al personale in quiescenza della stessa banca e pertanto c’era una conoscenza personale tra tali due soggetti che aveva indotto l’operatore a non verificare se il genitore aveva ancora la facoltà di accedere ai dati bancari della figlia.
Enfin, l’istituto di credito aveva precisato che lo stesso richiede ai proprio dipendenti di seguire un piano di formazione in materia di protezione dei dati personali proprio con l’intento di sensibilizzarli sui principi di base del trattamento dati.

Potrebbe interessarti anche: Privacy e banche: che fine fanno i dati dei clienti?

2. La decisione del Garante
Dall’istruttoria svolta, il Garante ha ritenuto che sia stato accertato che la banca, attraverso il proprio dipendente operatore di filiale, abbia effettuato un accesso non giustificato ai dati bancari della reclamante e li abbia poi comunicati a un soggetto terzo non autorizzato, senza che vi fosse stato il consenso dell’interessato o comunque un altro presupposto che legittimasse la comunicazione.
Secondo l’Autorità, non è possibile applicare al caso di specie la buona fede, richiamata dalla banca, in quanto essa sussiste (ed esclude la responsabilità per una condotta posta in essere) solo nel caso in cui (conte) condotta è inevitabile, in quanto vi sono degli elementi positivi, estranei all’autore della condotta, che siano idonei a ingenerare in tale autore la convinzione che la sua condotta sia lecita, nonché quando l’autore abbia fatto tutto il possibile per rispettare la legge.
In considerazione di ciò, il Garante ha ritenuto che la banca abbia posto in essere un trattamento illecito, in violazione dei principi generali in materia di protezione dei dati personali ed ha conseguentemente comminato un’ Ordinanza ingiunzione nei confronti della banca.
En particulier, il Garante per la protezione dei dati personali, ai fini della quantificazione della suddetta sanzione pecuniaria, ha preso in considerazione una serie di elementi, fra i quali il fatto che la violazione è stata rilevante in quanto relativa ai principi di base della protezione dei dati personali, il fatto che si trattava di dati di particolare delicatezza (anche se non appartenenti alla categoria dei dati particolari, di cui al GDPR), il fatto che la banca era già stata destinataria solo un anno prima di un provvedimento correttivo per una analoga violazione effettuata dal proprio personale dipendente (da cui il Garante ha ricavato che la necessità che la banca debba prestare più attenzione circa il rispetto delle proprie direttive da parte dei suoi dipendenti), nonché il fatto che la banca non ha neanche avviato una riflessione sulle istruzioni fornite al proprio personale in ordine alle richieste di accesso ai dati bancari.
Ebbene, bilanciando tutti i suddetti elementi e volendo applicare una sanzione che rispetti i principi di effettività, proporzionalità e dissuasività richiamati dal GDPR, il Garante per la protezione dei dati personali ha valutato altresì quale fossero le condizioni economiche della banca (determinate in base ai ricavi conseguiti nell’esercizio di imposta 2020 e ricavati dal relativo bilancio) e conseguentemente ha ritenuto di determinare la sanzione pecuniaria amministrativa a carico della banca nella misura di €.100.000.
Volume recommandé

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

Stefano ComelliniAvvocato in Bologna e patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, di Diritto dell’Informatica e delle Telecomunicazioni e di Diritto della Privacy. Svolge, altresì, l’attività di Data Protection Officer. Relatore in convegni, è autore dei testi “Il Responsabile della Protezione dei Dati (Agent de protection des données – DPO)», “Il Regolamento generale sulla Protezione dei Dati personali e la nomina del DPO nella Pubblica Amministrazione”, “La moneta elettronica. Altri sistemi di pagamento elettronici e valute virtuali (Criptovalute)” e “Blockchain, Criptovalute, I.C.O. e Smart Contract”, pubblicati da Maggioli Editore.

Stefano Comellini, 2020, Editeur Maggs

12.90 €
10.97 €

acheter

Devenez auteur de Diritto.it
En savoir plus!

Vous pourriez aussi être intéressé

Ammortamento alla francese, dovuti solo gli interessi Bot

di Vincenzo Vitale
22 février 2022

Contenziosi bancari aventi ad oggetto la ripetizione dei pagamenti effettuati di interessi e competenze addebitate in conto corrente

di Matteo Peruzzo
24 juin 2021

L’invio da parte di una società di recupero crediti di due sms ad un familiare del debitore sostanzia una violazione della normativa privacy

di Muia’ Pier Paolo
27 mai 2022

Profilo social fake: linee guida da seguire per una tutela legale

di Domenico Vernagallo
5 mars 2021

The post Dati bancari: il genitore del cliente non ha accesso appeared first on Diritto.it.
La source: Diritto.it