Banche e privacy

11 luglio 2022

ll Garante ha  applicato alla banca  Intesa San Paolo una sanzione amministrativa di 100mila euro,  tenuto conto che l’istituto - già in passato destinatario di un provvedimento analogo - non ha dimostrato, nel rispetto del principio di responsabilizzazione (accountability), di aver adottato o solo avviato un’adeguata riflessione sulle istruzioni fornite al personale riguardo alle richieste di accesso ai dati bancari, limitandosi a richiamare le attività formative genericamente erogate.

Le banche devono effettuare verifiche puntuali prima di comunicare i dati dei propri clienti ad altre persone, anche perché soggetti in precedenza autorizzati a conoscerli, nel tempo potrebbero aver perso questa facoltà. Lo ha affermato il Garante per la privacy, definendo il procedimento avviato a seguito del reclamo di una ragazza all’epoca dei fatti già maggiorenne, che contestava a una banca la comunicazione dei dati del proprio conto corrente a suo padre. Tali informazioni erano state poi prodotte in un giudizio pendente dinanzi al Tribunale.

Rispondendo alla richiesta di informazioni del Garante l’istituto di credito confermava quanto denunciato, ma a giustificazione dell’accaduto invocava la buona fede del proprio dipendente. Secondo la banca, infatti, l’operatore aveva consegnato al padre della reclamante copia della movimentazione del conto corrente della figlia perché in precedenza egli era autorizzato ad operare sul rapporto bancario, in quanto esercente la potestà genitoriale fino al raggiungimento della maggiore età della ragazza. Inoltre la conoscenza personale del padre, un ex dipendente della banca, aveva indotto l'impiegato a ritenere il genitore ancora autorizzato ad accedere ai dati contabili della figlia, senza effettuare alcuna verifica.

Giustificazioni insufficienti per l’Autorità, che ha dichiarato fondato il reclamo e ritenuto illecito il comportamento tenuto dalla banca tramite un proprio dipendente, il quale ha effettuato un accesso ai dati bancari della reclamante e li ha comunicati ad un terzo non autorizzato, in violazione della normativa sulla protezione dei dati personali. Inoltre, contrariamente a quanto sostenuto dalla banca, l’Autorità ha ritenuto non applicabile al caso l’esimente della buona fede. In base al costante orientamento della giurisprudenza, infatti, l’errore rileva quale causa di esclusione della responsabilità solo quando è inevitabile, ossia in presenza di circostanze tali da indurre l’autore della violazione al convincimento della liceità del suo agire o se comunque abbia fatto il possibile per osservare la legge. Circostanze che, appunto, non sono state riscontrate nel caso in esame.

Archivio news

 

News dello studio

lug20

20/07/2022

Dramp

Si è concluso il 30 giugno 2022, il progetto del Dipartimento di Giurisprudenza dell’Università di Perugia intitolato DRAMP (diversion, restorative and mediation procedures in

lug11

11/07/2022

Banche e privacy

ll Garante ha  applicato alla banca  Intesa San Paolo una sanzione amministrativa di 100mila euro,  tenuto conto che l’istituto - già in passato destinatario di un provvedimento

lug11

11/07/2022

GDPR: consultazione sull’uso delle certificazioni per trasferire i dati all’estero

Le imprese e le organizzazioni della società civile avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti” dei

News Giuridiche

ago14

14/08/2022

Negoziazione assistita

Il decreto-legge 12 settembre 2014, n.

ago12

12/08/2022

Decreto Trasparenza: le novità in vigore dal 13 agosto

Dal 13 agosto entra in vigore il d.l. n.