Banche e privacy

11 july 2022

ll Garante ha  applicato alla banca  Intesa San Paolo una sanzione amministrativa di 100mila euro,  tenuto conto che l’istituto - già in passato destinatario di un provvedimento analogo - non ha dimostrato, nel rispetto del principio di responsabilizzazione (accountability), di aver adottato o solo avviato un’adeguata riflessione sulle istruzioni fornite al personale riguardo alle richieste di accesso ai dati bancari, limitandosi a richiamare le attività formative genericamente erogate.

Le banche devono effettuare verifiche puntuali prima di comunicare i dati dei propri clienti ad altre persone, anche perché soggetti in precedenza autorizzati a conoscerli, nel tempo potrebbero aver perso questa facoltà. Lo ha affermato il Garante per la privacy, definendo il procedimento avviato a seguito del reclamo di una ragazza all’epoca dei fatti già maggiorenne, che contestava a una banca la comunicazione dei dati del proprio conto corrente a suo padre. Tali informazioni erano state poi prodotte in un giudizio pendente dinanzi al Tribunale.

Rispondendo alla richiesta di informazioni del Garante l’istituto di credito confermava quanto denunciato, ma a giustificazione dell’accaduto invocava la buona fede del proprio dipendente. Secondo la banca, infatti, l’operatore aveva consegnato al padre della reclamante copia della movimentazione del conto corrente della figlia perché in precedenza egli era autorizzato ad operare sul rapporto bancario, in quanto esercente la potestà genitoriale fino al raggiungimento della maggiore età della ragazza. Inoltre la conoscenza personale del padre, un ex dipendente della banca, aveva indotto l'impiegato a ritenere il genitore ancora autorizzato ad accedere ai dati contabili della figlia, senza effettuare alcuna verifica.

Giustificazioni insufficienti per l’Autorità, che ha dichiarato fondato il reclamo e ritenuto illecito il comportamento tenuto dalla banca tramite un proprio dipendente, il quale ha effettuato un accesso ai dati bancari della reclamante e li ha comunicati ad un terzo non autorizzato, in violazione della normativa sulla protezione dei dati personali. Inoltre, contrariamente a quanto sostenuto dalla banca, l’Autorità ha ritenuto non applicabile al caso l’esimente della buona fede. In base al costante orientamento della giurisprudenza, infatti, l’errore rileva quale causa di esclusione della responsabilità solo quando è inevitabile, ossia in presenza di circostanze tali da indurre l’autore della violazione al convincimento della liceità del suo agire o se comunque abbia fatto il possibile per osservare la legge. Circostanze che, appunto, non sono state riscontrate nel caso in esame.

 

 

News archive

 

Firm news

set29

29/09/2022

JUDGMENT OF THE COURT IN JOINED CASES C-793/19 - SPACENET AND C-794/19 - TELEKOM DEUTSCHLAND

The Court of Justice confirmed that EU law precludes the general and indiscriminate retention of traffic and location data, except in the case of a serious threat to national security However, in order

set29

29/09/2022

talian Competition Authority: investigation initiated against Intesa Sanpaolo for an alleged unfair commercial practice

The Authority is scrutinising how the banking group marketed its fixed-rate and floating-rate real estate mortgage loans: the bank allegedly failed to provide consumers with clear information

set29

29/09/2022

Italian Competition Authority has commenced an investigation against Arval Service Lease Italia S.p.A. for alleged misleading and aggressive practices

The Authority will assess the behaviour of the company with regard to the service of long-term car rental for consumers and micro-enterprises The Italian Competition Authority has commenced investigation

Lawyer News