provvedimento 28 maggio 1997; Pres. Rodotà; Banca nazionale del lavoro Source: Il Foro Italiano, Vol. 120, No. 6 (GIUGNO 1997), pp. 317/318-319/320 Published by: Societa Editrice Il Foro Italiano ARL Stable URL: http://www.jstor.org/stable/23192072 . Accessed: 28/06/2014 16:58 Your use of the JSTOR archive indicates your acceptance of the Terms & Conditions of Use, available at . http://www.jstor.org/page/info/about/policies/terms.jsp . JSTOR is a not-for-profit service that helps scholars, researchers, and students discover, use, and build upon a wide range of content in a trusted digital archive. We use information technology and tools to increase productivity and facilitate new forms of scholarship. For more information about JSTOR, please contact [email protected]. . Societa Editrice Il Foro Italiano ARL is collaborating with JSTOR to digitize, preserve and extend access to Il Foro Italiano. http://www.jstor.org This content downloaded from 91.220.202.45 on Sat, 28 Jun 2014 16:58:57 PM All use subject to JSTOR Terms and Conditions
Transcript
provvedimento 28 maggio 1997; Pres. Rodotà; Banca nazionale del lavoroSource: Il Foro Italiano, Vol. 120, No. 6 (GIUGNO 1997), pp. 317/318-319/320Published by: Societa Editrice Il Foro Italiano ARLStable URL: http://www.jstor.org/stable/23192072 .
Accessed: 28/06/2014 16:58
Your use of the JSTOR archive indicates your acceptance of the Terms & Conditions of Use, available at .http://www.jstor.org/page/info/about/policies/terms.jsp
.JSTOR is a not-for-profit service that helps scholars, researchers, and students discover, use, and build upon a wide range ofcontent in a trusted digital archive. We use information technology and tools to increase productivity and facilitate new formsof scholarship. For more information about JSTOR, please contact [email protected].
.
Societa Editrice Il Foro Italiano ARL is collaborating with JSTOR to digitize, preserve and extend access to IlForo Italiano.
http://www.jstor.org
This content downloaded from 91.220.202.45 on Sat, 28 Jun 2014 16:58:57 PMAll use subject to JSTOR Terms and Conditions
rità che possa commettere un revisore abilitato al controllo del
le società fiduciarie. In conclusione, non può non ribadirsi quanto la sezione ha
già avuto modo di affermare in sede cautelare e cioè che la
ragione giustificatrice dell'entità della sanzione irrogata può ri
tenersi, allo stato degli atti, razionalmente rapportata alla parti colare gravità dei fatti e comportamenti emergenti dalla docu
mentazione di causa, tenuto conto che detta documentazione
dà sufficiente contezza dell'incompletezza e, quindi, della non
veridicità dei dati esposti nella relazione di certificazione e con sente di ritenere fondato, perché motivato nei fatti, l'avviso
espresso dall'autorità che i ricorrenti sono venuti meno ai pro
pri doveri discendenti dalle norme recate dal d.p.r. 136/75 e
dalla comunicazione Consob n. 2422 del 31 marzo 1993.
Consegue la reiezione anche del quarto ed ultimo motivo di
gravame.
GARANTE PER LA PROTEZIONE DEI DATI PERSONA LI; provvedimento 28 maggio 1997; Pres. Rodotà; Banca na
zionale del lavoro.
GARANTE PER LA PROTEZIONE DEI DATI PERSONA LI; provvedimento 28 maggio 1997; Pres. Rodotà; Banca na
Persona fisica e diritti delia personalità — Trattamento di dati
personali — Attività bancaria — Informativa e richiesta di
consenso dell'interessato (L. 31 dicembre 1996 n. 675, tutela
delle persone e di altri soggetti rispetto al trattamento di dati
personali, art. 10, 11).
Si deve ritenere non conforme a quanto disposto dall'art. 10
l. 675/96, sulla protezione dei dati personali, una documenta
zione informativa, inviata da una banca alla propria cliente
la, che:
a) non distingua il caso in cui i dati personali siano raccolti
presso l'interessato da quello in cui la raccolta sia operata
presso terzi;
b) indichi in modo generico finalità e modalità del trattamento;
c) nel prospettare la possibilità che i dati siano elaborati da
terzi per conto della banca, non chiarisca il ruolo di tali
soggetti;
d) indichi in modo generico i soggetti ai quali i dati possono essere comunicati;
e) prospetti, come possibile ed indistinta conseguenza del rifiuto di fornire i dati personali richiesti, la mancata esecuzione di
un'operazione, la mancata prosecuzione del rapporto già in
atto o la mancata instaurazione di un nuovo rapporto. (1) Si deve ritenere non conforme a quanto disposto dall'art. 11
I. 675/96, sulla protezione dei dati personali, una richiesta
di consenso al trattamento di dati personali, inviata da una
banca alla propria clientela, che individui categorie di sogget ti nei cui confronti il cliente è chiamato a prestare il suddetto
consenso attraverso un'indicazione indiretta e mediante un'e
lencazione meramente esemplificativa. (2)
(1-2) Prima, e sofferta, applicazione della 1. 675/96 (in Le leggi, 1997, I, 548) ad opera dell'ultima nata fra le autorità amministrative indipen denti, il Garante per la protezione dei dati personali (così ribattezzato dal d.leg. 9 maggio 1997 n. 123, ibid., 1680, emanato il giorno dopo l'entrata in vigore della nuova disciplina come prima applicazione della
delega contenuta nella 1. 676/96). Non senza segnare qualche vistoso scollamento rispetto alla direttiva
95/46/Cee del 24 ottobre 1995 (per i cui tratti salienti v., rispettivamen te, M. Paganelli, in Diritto privato europeo a cura di Lipari, Padova, 1997, I, 148 ss., e R. Delfino, in Corso di sistemi giuridici comparati a cura di Alpa, Torino, 1996, 428 ss.), la 1. n. 675 — di cui si comin ciano a raccogliere i primi, impressionistici commenti: v., fra gli altri, M. Clarich e G. Comandé, in Danno e resp., 1997, 137, 140, e S.
Sica, ibid., 282; ma da 'base installata' funge G. Buttarelli, Banche
dati e tutela della riservatezza, Milano, 1997, cui promette di aggiun
gersi, a tempi brevi, una nutrita raffica di commentari, contributi e lavori collettivi — mirava non solo a schiudere all'Italia le porte del l'accordo di Schengen, ma anche a colmare uno «iato», riportando il
nostro sistema, sin qui «inadeguato e obsoleto» (sono parole di G. Al
pa, Istituzioni di diritto privato, 2a ed., Torino, 1997, 315) in linea
Il Foro Italiano — 1997.
Viste le segalazioni trasmesse dall'Adusbef, dal Movimento
di difesa del cittadino il 13 maggio 1997 e dal Codacons il 19 maggio 1997 ed esaminata la documentazione ivi allegata;
esamiate le deduzioni svolte dall'Adusbef, dal Movimento di
difesa del cittadino, dalla Banca nazionale del lavoro e dall'Abi
nella seduta del 20 maggio 1997 di questa autorità, e le ulteriori
deduzioni comunicate per iscritto dalla Banca nazionale del la
voro e dall'Abi il 26 maggio 1997; rilevato che la documetazione trasmessa alla clientela del pre
detto istituto di credito non è conforme alle disposizioni della 1. 31 dicembre 1996 n. 675, in quanto:
1. - Informativa all'interessato, a) L'informativa scritta non
rende anzitutto chiara la distinzione tra il caso in cui i dati
siano stati raccolti presso l'interessato (art. 10, 1° comma, 1.
n. 675) e l'ipotesi in cui i dati stessi siano raccolti presso terzi (art. 10, 3° comma).
Per quanto riguarda le informazioni fornite direttamente dal
l'interessato, non è necessaria un'informazione data caso per caso in occasione di ciascuna operazione bancaria. È tuttavia
insufficiente un'informativa fornita una tantum e valida senza
termine per qualsiasi operazione effettuata dal cliente che rien
tri nell'esecuzione del rapporto contrattuale al quale si riferisce
l'informativa iniziale. Tuttavia, una specifica ed ulteriore infor
mativa deve essere fornita, di regola, nell'instaurazione di nuo vi rapporti, quando cambino le finalità o le modalità del tratta
mento o altri elementi previsti dall'art. 10. Un'informativa al
l'interessato è altresì necessaria per quanto riguarda i dati raccolti
presso terzi (art. 10, 3° comma).
Qualora s'intenda predisporre un unico modello cartaceo per le due informative previste dall'art. 10, si potrebbero quindi articolare sullo stesso modello distinte caselle da barrare a se
conda delle situazioni; b) le finalità del trattamento (art. 10, 1° comma, lett. a) sono
indicate con una formula tautologica («. . . per finalità istitu zionali, quindi strettamente connesse e strumentali all'attività
della nostra banca») e con un elenco per di più meramente esem
plificativo delle finalità stesse, nel quale compaiono anche for
mule generiche (come: «... per esigenze di tipo operativo e
gestionale» o «per informativa commerciale nell'interesse della
clientela e indagini di mercato»). Risulta generica anche la prospettazione delle modalità del
trattamento (art. 10, 1° comma, lett. a, la quale, pur non pre
supponendo un'elencazione di tutte le operazioni di trattamento
effettuate, richiede tuttavia indicazioni più specifiche relative,
con una deriva transnazionale ormai assolutamente consolidatasi, anzi stratificatasi negli ultimi cinque lustri (per un quadro d'insieme, fra i molti disponibili, cfr. Data Transmission Privacy, [Campbell e Fisher
ed.], Dordrecht e a., 1994, nonché il dossier dal titolo La protezione dei dati personali nei sistemi informatizzati: paesi dell'Unione europea, a cura del servizio studi del senato, febbraio 1996; d'obbligo, in ogni caso, l'ulteriore rinvio all'affresco tracciato, come ultima tappa di un
percorso intellettuale iniziatosi nei primi anni '70, da S. Rodotà, Tec
nologie e diritti, Bari, 1995). Come sovente avviene, l'entusiasmo degli ultimi arrivati rischia di
trasformarsi in sacro furore. Di là dalle molte (e, talora, pretestuose) polemiche mass-mediatiche, il provvedimento su riportato — relativo all'informativa scritta inoltrata dalla Bnl ai suoi clienti in vista dell'im minente entrata in vigore della legge, e quindi prima che il d.leg. n. 123 schiudesse la via alla possibilità di comunicazioni anche soltanto
orali, v. art. 1, che riforma l'art. 10, 1° comma, 1. n. 675 — scrive la prima pagina vera di una vicenda ancora lontana dal raggiungere un apprezzabile livello di chiarezza. Ne è riprova il fatto che l'informa
tiva, la richiesta di consenso e la lettera di accompagnamento, severa mente censurati dal Garante, rispondevano, nella sostanza, alle linee
guida elaborate dall'Abi (riportate per esteso in Guida normativa II Sole 24-Ore del 22 maggio 1997, n. 88, 18 ss.) nel tentativo di divisare un impatto morbido del mondo bancario con la nuova dimensione della
privacy informatica (definizione che però, a detta di G. Buttarelli, Le nuove leggi sul trattamento dei dati personali, in Gazzetta giuridica, 1997, fase. 3, 5, discende dall'«erroneo convincimento che la legge di
sciplini la gestione delle banche dati», laddove «la scelta della Comuni tà europea di assoggettare anche la stampa alle 'nuove carte della priva cy' ha reso indispensabile congegnare le nuove disposizioni in modo da renderle applicabili anche a chi raccoglie e diffonde determinate in formazioni in tempo reale ma non ne conserva una traccia integrale nei propri archivi [come può accadere, talvolta, per il giornalista]»; senonché, proprio sul senso di questa pretesa scelta comunitaria si anni dano ie maggiori perplessità e riserve, che ci ripromettiamo di discutere in dettaglio alla prima occasione utile). [R. Pardolesi]
This content downloaded from 91.220.202.45 on Sat, 28 Jun 2014 16:58:57 PMAll use subject to JSTOR Terms and Conditions
in particolare, alla logica e alle finalità sulle quali si basa il
trattamento (art. 13, 1° comma, lett. c, n. 1); c) l'indicazione della circostanza che i dati possono essere trat
tati «per conto della . . . banca, ... da società, enti o consorti
che . . . forniscano specifici servizi elaborativi, nonché da orga nismi che svolgano attività complementari a quella della . . .
banca, ovvero necessarie all'esecuzione delle operazioni o dei
servizi . . . richiesti» non chiarisce se tali soggetti effettuino il
trattamento presso una struttura esterna «responsabile» del trat
tamento, o nella quale operi il «responsabile» del trattamento,
oppure quali terzi estranei all'originario trattamento effettuato
presso la Bnl, ai quali i dati stessi siano stati comunicati o diffusi;
d) del tutto generica risulta l'indicazione dei soggetti ai quali i dati possono essere comunicati o diffusi, la quale si risolve
o in un richiamo dei casi in cui la comunicazione dei dati a
terzi sia obbligatoria per legge o per regolamento (ipotesi per cui l'art. 10, 4° comma, permette di non inviare l'informativa), o in una menzione dei soggetti verso i quali il trasferimento
dei dati sia «necessario» o più semplicemente «fuzionale» per 10 svolgimento dell'attività della banca, senza precisazione alcu
na delle categorie dei soggetti stessi, come pure è richiesto dal
l'art. 10, 1° comma, lett. d). Del pari, non può ritenersi conforme all'art. 10 la comunica
zione all'interessato della semplice esistenza presso la banca di
un elenco di tali categorie, in quanto questa soluzione non con
sente un'effettiva conoscenza ed è basata su un elenco mutevole
(le cui variazioni possono comunque essere agevolmente rese
note alla clientela tramite le ordinarie comunicazioni);
e) analogamente a quanto previsto nella lettera precedente, l'indicazione del responsabile del trattamento deve rendere pos sibile l'individuazione del soggetto preposto;
f) non è conforme alla legge la prospettazione della circostan
za che il rifiuto a fornire i dati personali può comportare la
mancata esecuzione di un'operazione, la mancata prosecuzione del rapporto ovvero la mancata instaurazione di nuovi rapporti.
Non è infatti chiarito, come esplicitamente previsto dall'art.
10, 1° comma, lett. b), il carattere obbligatorio o facoltativo
del conferimento dei dati, inducendo così l'interessato a con
fondere situazioni che hanno rilevanza giuridica diversa. È indi
spensabile una chiara distizione tra i casi in cui taluni dati devo
no essere forniti in base ad un obbligo di legge (ad esempio per individuare operazioni di riciclaggio di denaro o valori), quelli in cui le informazioni sono strettamente funzionali all'e secuzione del rapporto contrattuale (per le quali il consenso del
l'interessato non è necessario: art. 12, 1° comma, lett. b) e 20, 1° comma, lett. e), e quelli che si riferiscono allo svolgimento di ulteriori attività da parte dell'istituto di credito (subordinate ad uno specifico consenso dell'interessato).
Inoltre, la stessa mancanza di distinzione si avverte nella ge nerica previsione dell'interruzione complessiva o mancata instau
razione del rapporto, qualora non siano state fornite le infor mazioni richieste per singole operazioni o servizi.
La violazione non è eliminata dalla circostanza che l'interru zione del rapporto con la banca è posta in termini eventuali
(«. . . può comportare . . .), ed è resa più marcata dal fatto che tale evento è prospettato anche in riferimento alla mancata
prestazione del consenso alla comunicazione dei dati a terzi, anche per situazioni non dipendenti dall'economia negoziale e che possono essere prese in considerazione dal cliente interessto in base ad una sua libera scelta» (es.: comunicazione dei dati da parte della banca ad una società di customer satisfaction).
2. - Consenso, a) La formula del consenso che la Bnl ha richiesto ai propri clienti riflette i vizi dell'informativa all'inte ressato.
La richiesta ultimativa di un consenso generale e incodiziona
to, proveniente da un soggetto in posizione nettamente più for te rispetto al destinatario dell'informativa, si risolve in una vio lazione della libertà contrattuale di quest'ultimo.
In base ai criteri generali che ormai sempre più nettamente
ispirano il nostro ordinamento giuridico (in ossequio anche alle
regole dettate in sede europea: si vedano, ad esempio, gli art. 1469 bis ss. c.c., attuativi della direttiva Cee 93/13) e specifica mente in base alle finalità della 1. n. 675 (rese esplicite già dal l'art. 1), il consenso può essere ritenuto effettivamente libero solo se si presenta come manifestazione del diritto all'autode terminazione informativa, e dunque al riparo da qualsiasi pres sione, e se non viene condizionato all'accettazione di clausole che determinano un significativo squilibrio dei diritti e degli ob
blighi derivanti dal contratto.
11 Foro Italiano — 1997.
Ciò è esattamente quanto avverrebbe nel caso di un consenso
generalizzato e fondato su informazioni generiche o insufficien
ti, accompagnate dall'esplicita previsione di una possibile rottu
ra dei rapporti contrattuali. Verrebbero così negati proprio i
diritti configurati dall'art. 1 1. n. 675 come «fondamentali».
b) È evidente, peraltro, l'impraticabilità di un consenso ri
chiesto nei confronti di categorie di destinatari individuati solo
indirettamente (tramite un elenco disponibile presso la banca) e mediante una mera elencazione esemplificativa, anziché se
condo una precisa elencazione che menzioni puntualmente, se
non i singoli destinatari, almeno le relative categorie. In secondo luogo, l'ampia elencazione dei soggetti in favore
dei quali il cliente è chiamato a prestare il consenso è contraria
alla legge sotto più profili.
Infatti, il consenso è richiesto sia per la comunicazione a terzi
da parte della Bnl, sia per l'ulteriore trattamento effettuato a
cura dei terzi medesimi.
Nulla osta, in linea di principio, a che il consenso sia richie
sto da un primo titolare anche nell'interesse di altri titolari.
Tuttavia, tale evenienza deve essere realizzata tenendo conto
del disposto dell'art. 11, 3° comma, secondo cui il consenso
deve essere prestato «in forma specifica» e deve quindi riguar dare un preciso genere di trattamento effettuato a cura di un
ben individuato titolare del trattamento.
Inoltre, poiché il consenso è valido solo se sono fornite le
informazioni di cui all'art. 10 (mentre nel caso di specie l'infor
mativa resa dalla Bnl si riferisce solo alle attività effettute dalla
Bnl stessa anziché a quelle svolte dai terzi nell'interesse dei qua li il consenso è stato sollecitato), l'informativa stessa dovrebbe
essere rivista in modo tale da collegarla anche alle attività svolte
dai terzi. Resta ferma, ovviamente, la possibilità che si circo scriva l'ambito di operatività dell'attuale formula di consenso
con riferimento ai soli trattamenti effettuati dalla Bnl (compre sa la comunicazione a terzi).
Qualora, invece, si richieda il consenso anche in relazione
a terzi, oltre alla revisione del modello di informativa, si deve
procedere ad un'elencazione non esemplificativa e puntuale dei
terzi in favore dei quali il consenso potrebbe valere.
Quale che sia la soluzione prescelta circa l'ambito di operati vità del consenso, la formula deve essere resa più specifica sotto un ulteriore duplice profilo, tenendo conto, cioè, del principio di finalità di cui all'art. 9, nonché della necessità di evitare indi
cazioni generiche che non permettono all'interessato di rendersi
sempre conto della reale ampiezza della sua manifestazione di
consenso, quando questo appaia riferibile ad attività diverse da
quelle relative al rapporto contrattuale.
Appare in aperto contrasto con l'anzidetto principio di finali tà l'ampia richiesta di consenso per tutti i dati sensibili il cui
trattamento generalizzato non può certo ritenersi connaturato alle esigenze nascenti da un comune contratto bancario.
È del tutto erroneo, peraltro, il riferimento ai dati relativi a determinati provvedimenti giudiziari, il cui trattamento non è legato al consenso dell'interessato (art. 24), nonché il riferi mento all'art. 23 che riguarda gli esercenti le professioni sanitarie.
3. - Lettera al cliente. La lettera al cliente che accompagna l'informativa e la dichiarazione di consenso non appare corretta nella misura in cui può indurre in errore il cliente stesso nel ritenere che il consenso (peraltro, erroneamente indicato come un atto scritto necessitato) sia l'unico presupposto del tratta mento. Deve tenersi conto, infatti, che gli art. 12 e 20 indicano
un'ampia casistica di trattamenti che prescindono dal consenso. Rilevato che le lettere in questione risultano spedite in epoca
antecedente all'8 maggio 1997, data di entrata in vigore della 1. 675/96, per cui, ferma restando la violazione, non deve farsi
luogo all'irrogazione della sanzione amministrativa di cui al l'art. 39, 2° comma, della medesima legge;
Considerata la necessità di richiedere alla Bnl di fornire ai sensi dell'art. 32, 10 comma, della legge, entro quindici giorni dalla data
odierna, copia del materiale rivisto conformemente al presente atto, anche in considerazione del fatto che l'incompletezza dell'infor mativa all'interessato si riflette sulla validità del consenso presta to e, quindi, sulla legittimità dei trattamenti effettuati;
segnala alla Bnl-Banca nazionale del lavoro s.p.a., direzione centrale di Roma le modificazioni esposte in premessa da ap portare al materiale descritto, invitando la stessa a non tener conto alcuno delle dichiarazioni di consenso o di rifiuto di pre stazione del consenso già manifestate. Invita, altresì, la stessa a fornir : entro quindici giorni dalla data odierna un esemplare dei modelli riformulati.
This content downloaded from 91.220.202.45 on Sat, 28 Jun 2014 16:58:57 PMAll use subject to JSTOR Terms and Conditions
