>>>Leggi qui l’ordinanza n.202 del 26 maggio 2022<<<
Indice
1. I fatti
Una signora aveva inviato, per il tramite del proprio avvocato, un reclamo al Garante privacy con il quale sosteneva che la propria banca aveva compiuto un illecito trattamento dei suoi dati personali. In particolare, la reclamante sosteneva che l’istituto bancario avesse comunicato, senza alcuna presupposto che legittimasse tale comunicazione, al proprio genitore i dati relativi ai rapporti bancari che la stessa reclamante aveva con la suddetta banca. Inoltre, la signora riferiva che tali dati erano poi stati prodotti in un giudizio che era pendente dinanzi al Tribunale di Bari e per di più essi presentavano la dicitura “ad uso interno”.
In considerazione del reclamo ricevuto, il Garante per la protezione dei dati personali aveva prima chiesto chiarimenti alla banca in ordine ai fatti descritti dalla signora e successivamente aveva avviato il procedimento sanzionatorio nei confronti dell’istituto di credito.
La banca si era difesa nel suddetto procedimento sostenendo che la comunicazione dei dati si era verificata in quanto un dipendente della locale filiale dell’istituto di credito aveva accolto la richiesta, formulata oralmente e proveniente dal genitore della reclamante, di avere copia della movimentazione del conto corrente della figlia. La banca precisava, inoltre, che tale genitore aveva avuto la facoltà di operare sul conto corrente della figlia fino al raggiungimento della maggiore età di quest’ultima (proprio in quanto esercente la potestà genitoriale sulla stessa) e che l’errore da parte dell’operatore della filiale era avvenuto in buona fede proprio perché per tanto tempo il genitore aveva sempre operato sul conto nell’interesse della figlia quale esercente la potestà genitoriale, quindi l’operatore non aveva verificato se il genitore avesse avuto ancora la facoltà di agire sul conto nell’interesse della figlia.
In secondo luogo, la banca rilevava che l’errore dell’operatore della filiale era avvenuto anche perché il genitore della correntista apparteneva al personale in quiescenza della stessa banca e pertanto c’era una conoscenza personale tra tali due soggetti che aveva indotto l’operatore a non verificare se il genitore aveva ancora la facoltà di accedere ai dati bancari della figlia.
Infine, l’istituto di credito aveva precisato che lo stesso richiede ai proprio dipendenti di seguire un piano di formazione in materia di protezione dei dati personali proprio con l’intento di sensibilizzarli sui principi di base del trattamento dati.
Potrebbe interessarti anche: Privacy e banche: che fine fanno i dati dei clienti?
2. La decisione del Garante
Dall’istruttoria svolta, il Garante ha ritenuto che sia stato accertato che la banca, attraverso il proprio dipendente operatore di filiale, abbia effettuato un accesso non giustificato ai dati bancari della reclamante e li abbia poi comunicati a un soggetto terzo non autorizzato, senza che vi fosse stato il consenso dell’interessato o comunque un altro presupposto che legittimasse la comunicazione.
Secondo l’Autorità, non è possibile applicare al caso di specie la buona fede, richiamata dalla banca, in quanto essa sussiste (ed esclude la responsabilità per una condotta posta in essere) solo nel caso in cui (tale) condotta è inevitabile, in quanto vi sono degli elementi positivi, estranei all’autore della condotta, che siano idonei a ingenerare in tale autore la convinzione che la sua condotta sia lecita, nonché quando l’autore abbia fatto tutto il possibile per rispettare la legge.
In considerazione di ciò, il Garante ha ritenuto che la banca abbia posto in essere un trattamento illecito, in violazione dei principi generali in materia di protezione dei dati personali ed ha conseguentemente comminato un’ Ordinanza ingiunzione nei confronti della banca.
In particolare, il Garante per la protezione dei dati personali, ai fini della quantificazione della suddetta sanzione pecuniaria, ha preso in considerazione una serie di elementi, fra i quali il fatto che la violazione è stata rilevante in quanto relativa ai principi di base della protezione dei dati personali, il fatto che si trattava di dati di particolare delicatezza (anche se non appartenenti alla categoria dei dati particolari, di cui al GDPR), il fatto che la banca era già stata destinataria solo un anno prima di un provvedimento correttivo per una analoga violazione effettuata dal proprio personale dipendente (da cui il Garante ha ricavato che la necessità che la banca debba prestare più attenzione circa il rispetto delle proprie direttive da parte dei suoi dipendenti), nonché il fatto che la banca non ha neanche avviato una riflessione sulle istruzioni fornite al proprio personale in ordine alle richieste di accesso ai dati bancari.
Ebbene, bilanciando tutti i suddetti elementi e volendo applicare una sanzione che rispetti i principi di effettività, proporzionalità e dissuasività richiamati dal GDPR, il Garante per la protezione dei dati personali ha valutato altresì quale fossero le condizioni economiche della banca (determinate in base ai ricavi conseguiti nell’esercizio di imposta 2020 e ricavati dal relativo bilancio) e conseguentemente ha ritenuto di determinare la sanzione pecuniaria amministrativa a carico della banca nella misura di €.100.000.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento