Banche: senza consenso, nessun dato personale a terzi

Senza il consenso del cliente la banca non può inviare documentazione o estratti conto a persone estranee.

Il principio è stato ribadito dall'Autorità Garante per la protezione dei dati personali, in un provvedimento di cui è stato relatore Giuseppe Fortunato, che ha richiamato una banca al rispetto delle norme che disciplinano la comunicazione di dati personali a terzi.

Queste regole prevedono che i dati vengano comunicati solo dopo aver acquisito il consenso della clientela, una volta che questa sia stata adeguatamente informata, oppure, senza consenso, nelle sole ipotesi stabilite dal Codice della privacy: ad esempio, per adempiere ad un obbligo previsto dalla legge o per dare esecuzione ad un contratto.

Il comportamento illecito è stato rilevato dal Garante a seguito del reclamo di un correntista che lamentava la comunicazione al fax dello studio del figlio di informazioni sulla sua situazione bancaria. In particolare la banca non è stata in grado di provare che la comunicazione fosse avvenuta con il consenso del cliente o che rientrasse comunque in una delle ipotesi previste dal Codice. A riprova di ciò, solo in un tempo successivo alla contestata comunicazione è intervenuta una espressa autorizzazione del padre che consentiva al figlio di visionare e fotocopiare documenti depositati presso la banca.

Già in precedenti occasioni il Garante ha affermato che la banca deve verificare che le comunicazioni di dati personali avvengano senza violare obblighi derivanti dalla legge o da un rapporto contrattuale così come stabilito anche dalle regole di comportamento contenute nel codice di autodisciplina elaborato dall'Abi, le quali prevedono che le banche debbano mantenere la riservatezza sulle informazioni acquisite dalla clientela o di cui comunque vengono a conoscenza per la loro funzione.

Nel caso esaminato dal Garante non risulta, invece, che la banca abbia svolto la predetta verifica né abbia rispettato il codice di autodisciplina, comunicando senza autorizzazione dati ad un estraneo in violazione del principio di liceità e correttezza sancito dal Codice della privacy.