Indice

Relazione annuale 1998

2. Temi di maggior rilievo nell´attività del Garante

2.10 Istituti di credito e assicurazioni
Il settore bancario e quello assicurativo sono stati coinvolti in modo rilevante dall´applicazione delle disposizioni sul trattamento dei dati personali. La l. n. 675/1996 ha infatti introdotto precise regole giuridiche a tutela della riservatezza delle persone, che hanno integrato e rafforzato le misure e gli accorgimenti che venivano adottati già dagli operatori di questi settori per garantire la segretezza e la confidenzialità delle informazioni personali acquisite nei rapporti con la clientela.

I problemi maggiori riscontrati dalle banche e dalle assicurazioni, anche nell´anno 1998, sono derivati dalla gestione degli adempimenti relativi all´informativa e al consenso (v. la Relazione per l´anno 1997, cap. 4.4., pagg. 72 e ss.).

In quest´anno il Garante ha svolto un´intensa attività di verifica sul pieno rispetto dei princìpi già affermati in precedenti provvedimenti, soprattutto per quanto riguarda il settore creditizio e finanziario (v. cap. 2.2).

Tale settore è stato interessato da un´apposita indagine conoscitiva, che l´Ufficio ha svolto chiedendo informazioni a numerosi istituti di credito e che ha riguardato oltre 800 modelli sottoposti ai clienti delle diverse banche. Al tempo stesso, l´Autorità ha continuato l´attività di consultazione, anche nell´ambito di specifici gruppi di lavoro, con le principali istituzioni e società bancarie.

In sintesi si è appurato che, a seguito delle indicazioni generali fornite dal Garante, i cui contenuti sono stati ampiamente riportati sulla stampa, varie società operanti nel settore hanno riformulato i modelli già distribuiti ai propri clienti, inviandoli nuovamente a tutta la clientela.

La modulistica distribuita dalle banche, per quanto complessa e non facilmente comprensibile per il cittadino, è apparsa in buona parte conforme ai princìpi evidenziati dall´Autorità, avendo previsto di regola la possibilità per la clientela di esprimere il proprio consenso "informato" nei riguardi dei trattamenti anche non strettamente connessi ai servizi richiesti contrattualmente (in riferimento, ad es., all´invio di materiale pubblicitario e, in genere, all´offerta di prodotti e servizi anche di società terze), senza che ciò abbia alcun riflesso sul contratto medesimo.

Tuttavia, l´Autorità ha constatato che diversi clienti non hanno ancora dato riscontro ai modelli inviati dalle banche e dalle altre società operanti nel settore.

Il problema del mancato ritorno del consenso è stato fronteggiato temporaneamente con la soluzione già prospettata nel 1997 dal Garante in base alla quale, nell´eventuale attesa del rilascio della dichiarazione relativa al consenso, la richiesta di una prestazione da parte del cliente (es.: l´emissione di un assegno, il bonifico bancario) può essere considerata come una manifestazione di volontà equiparabile al consenso per le operazioni di trattamento connesse a quella prestazione, sia pure in via del tutto provvisoria.

Trattandosi di soluzione transitoria, vi è pertanto la necessità che la clientela rimasta inerte sia nuovamente stimolata a esprimere il proprio consenso, in modo da arrivare a una piena regolarizzazione dei trattamenti di dati svolti dagli istituti di credito.

Il Garante stesso, nei primi mesi dell´anno, si è impegnato a formulare schemi di modelli che, pur mantenendo ferme le sostanziali garanzie a tutela dei diritti degli interessati, siano più semplici e meglio comprensibili, in modo da permettere ai clienti di fornire più agevolmente un rapido riscontro alle richieste di consenso formulate dalle società bancarie.

Un primo nuovo schema di informativa e di consenso è stato messo a punto alla fine del 1998, e nei primi giorni di febbraio 1999 l´Autorità, considerato il generale interesse alla tematica, ha ritenuto opportuno renderlo pubblico attraverso gli organi di informazione, sottoponendolo all´attenzione degli istituti di credito, degli utenti e dei loro organismi rappresentativi, anche per avere loro osservazioni e suggerimenti.

Essendosi conclusa l´analisi delle osservazioni pervenute, il Garante trasmetterà il nuovo modello revisionato a tutti gli operatori del settore bancario, che comunque hanno intenzione di inviare alla clientela un opportuno messaggio di richiamo (inserito, in particolare, negli estratti conto).

È evidente che lo schema di modello potrà essere utile anche per altri settori economici, finanziari e produttivi, come appunto quello delle assicurazioni, che hanno spesso riscontrato problemi analoghi a quelli delle banche e hanno più volte chiesto all´Autorità, per il tramite dell´associazione di categoria (ANIA), di avere precise indicazioni al fine di rendere più comprensibile la modulistica già distribuita ai propri clienti.

Una problematica particolarmente delicata affrontata dagli operatori del settore bancario e assicurativo è senz´altro quella del trattamento dei dati aventi natura sensibile (stato di salute, opinioni sindacali o politiche, ecc.).

In attesa delle precise indicazioni che verranno fornite nei decreti delegati previsti entro la fine di luglio 1999, sono applicabili al riguardo le regole più generali previste dalla l. n. 675/1996 (consenso scritto degli interessati, previa autorizzazione del Garante: art. 22, comma 1).Sotto questo profilo, l´Autorità ha rinnovato quest´anno, con alcune lievi modifiche, le autorizzazioni generali già rilasciate nel 1997 per il trattamento di questi dati (v. § 3.1.3), tenendo presenti anche talune particolari esigenze evidenziate dagli operatori (è stata, ad esempio, rilasciata una specifica autorizzazione a una società cooperativa di assicurazione che, a livello statutario, prevede per i propri soci la professione di determinate convinzioni religiose).

Per quanto riguarda, poi, altri temi specifici relativi alla tutela dei dati personali occorre di seguito soffermare brevemente l´attenzione su alcuni provvedimenti dell´Autorità che rivestono maggiore interesse soprattutto per il settore bancario e finanziario.

L´Autorità ha anzitutto esaminato, a seguito di alcune segnalazioni, la questione del rispetto della cd. distanza di cortesia presso gli sportelli degli istituti di credito (già nota alle banche e, in parte, disciplinata attraverso il Codice di comportamento del settore bancario e finanziario adottato dall´ABI).

Al riguardo il Garante ha evidenziato che, anche in virtù delle disposizioni previste dalla l. n. 675/1996 in materia di sicurezza dei dati personali, le banche devono adottare ogni utile iniziativa per garantire la distanza di cortesia, la quale rappresenta una misura opportuna per prevenire l´impropria conoscenza da parte di terzi delle informazioni eventualmente fornite dal cliente all´operatore di sportello.

L´Autorità garante è dovuta intervenire anche relativamente al cd. benefondi, ossia in ordine alla prassi consolidata nell´attività bancaria, basata su accertamenti anche informali, attraverso i quali viene garantita l´esistenza presso la banca di fondi sufficienti a coprire gli assegni emessi. L´intervento si è reso necessario perché, secondo le numerose segnalazioni pervenute all´Ufficio, talune banche si sono rifiutate in nome della privacy di rilasciare il benefondi su assegni emessi dai propri clienti.

Il Garante, che si era già espresso sull´argomento in precedenti occasioni, ha affermato che la l. n. 675/1996 non ha introdotto alcun divieto nei confronti del benefondi. Queste informazioni possono essere fornite dagli istituti di credito nel rispetto dei princìpi generali che la legge stessa prevede per tutti i trattamenti di dati personali svolti dalle banche e secondo le indicazioni generali riportate nei modelli di informativa e di richiesta del consenso distribuiti alla clientela (nelle quali rientra anche questo tipo di operazione necessaria per una corretta esecuzione del rapporto bancario). Si è comunque sottolineata l´esigenza che la prassi del benefondi sia svolta correttamente e che le informazioni siano fornite ai soli soggetti legittimati all´incasso o alla negoziazione dell´assegno e non a estranei.

Sempre in ambito bancario, alcune associazioni dei consumatori e diversi cittadini hanno chiesto all´Autorità di verificare la legittimità dell´attività svolta da una società che gestisce carte di credito e di pagamento, la quale, secondo la segnalazione, avrebbe inviato alla propria clientela, con l´estratto conto mensile, materiale pubblicitario non richiesto dai titolari delle carte, ai quali sarebbero stati addebitati, invece, i relativi costi di spedizione.

Anche in questo caso il Garante ha avuto modo di precisare che la l. n. 675/1996 non ha introdotto un divieto generalizzato nei confronti della raccolta e dell´utilizzazione dei dati personali per finalità commerciali o di marketing, ma ha individuato, piuttosto, i presupposti fondamentali sulla base dei quali è possibile effettuare tali operazioni - presupposti che sono in buona parte comuni agli altri trattamenti di dati effettuati nel settore (in particolare, l´informativa e, ove necessario, la richiesta del consenso).

Si è inoltre ricordato che la direttiva comunitaria n. 95/46/CE e la l. n. 675/1996 recano alcune norme transitorie che rendono al momento possibile non richiedere il consenso degli interessati qualora il trattamento riguardi dati raccolti prima dell´8 maggio 1997 (data di entrata in vigore della legge stessa), o sia iniziato anteriormente a tale data (sempre che il soggetto che tratta i dati non li divulghi a terzi: v. art. 41, comma 1).Questa disciplina transitoria non preclude però alla persona interessata di avvalersi dei nuovi diritti previsti dall´art. 13 della l. n. 675/1996, chiedendo alla stessa società"titolare del trattamento" (o al soggetto da essa designato come "responsabile") l´immediata cessazione delle operazioni collegate all´invio di materiale pubblicitario, ovvero al compimento di operazioni di marketing.

Per quanto riguarda gli aspetti di propria competenza, il Garante ha constatato che la società ha provveduto, anche sulla scorta delle indicazioni fornite nel 1997 dalla stessa Autorità, a inviare ai titolari di carte di credito l´informativa e la richiesta del consenso, prevedendo specifiche opzioni. Tra esse, appunto, quella concernente il trattamento dei dati a fini di informazione e promozione di prodotti o servizi, mediante annunci inseriti nelle comunicazioni periodiche ai titolari. Tale procedura sarebbe stata quindi seguita anche nei riguardi di clienti i cui dati sono stati acquisiti e trattati, anche a scopo pubblicitario, prima dell´entrata in vigore della legge.

L´invio da parte della società di materiale commerciale relativo anche a società terze non comporta, di per se stesso, una comunicazione a tali società dei nominativi e degli indirizzi dei titolari delle carte di credito e non rende al momento necessario raccogliere il consenso dei clienti nei cui confronti tale trattamento sia iniziato prima dell´8 maggio 1997. A diversa conclusione si dovrebbe semmai pervenire nella circostanza, non segnalata all´Ufficio, in cui risultasse una comunicazione dei dati relativi ai clienti rivolta alle società terze alle quali si riferisce la pubblicità inserita negli estratti conto.

L´Autorità ha infine ricordato agli interessati che la società che gestisce le carte di credito ha comunque dichiarato che esaudirà scrupolosamente le eventuali richieste della clientela che non intenda più ricevere materiale pubblicitario riferito anche a società terze, a prescindere dal fatto che gli stessi abbiano eventualmente manifestato un precedente consenso al riguardo.

Più in generale, per ciò che attiene alle problematiche del direct marketing, si osserva che, dagli accertamenti effettuati in ambito bancario e finanziario, una parte della clientela ha manifestato, sulla base della modulistica distribuita, un diniego nei riguardi dell´utilizzo dei dati per l´invio di materiale diverso da quello legato al servizio richiesto a livello contrattuale.

In ogni caso, per risolvere le predette problematiche, l´Autorità ha avviato alcune procedure di consultazione con gli operatori del settore e le principali istituzioni finanziarie, il cui lavoro potrebbe essere utile anche in sede di predisposizione da parte del Governo del decreto legislativo che dovrà dettare regole specifiche per questa materia, recependo anche le linee guida indicate nella raccomandazione del Consiglio d´Europa n. R. (85) 20, del 25 ottobre 1985, sui dati utilizzati per fini di direct marketing.