[doc. web n. 8990947]

Provvedimento del 21 marzo 2018

Registro dei provvedimenti
n. 174 del 21 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 12 dicembre 2017 da XX, rappresentato e difeso dall’avv. Angelo Maria Suriano, nei confronti di Banca Nazionale del Lavoro S.p.A. con il quale il ricorrente, già titolare di un rapporto di conto corrente presso la resistente, ribadendo le istanze avanzate ai sensi degli artt. 7 e 8 sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito “Codice”), ha chiesto:

di ottenere la trasmissione, in formato elettronico, di copia integrale di tutta la documentazione da lui sottoscritta, o a sè intestata o correlata, ivi compresa quella contabile, detenuta dalla resistente;

di ottenere la comunicazione delle informazioni che lo riguardano ritenute dalla banca rilevanti ai fini dell’applicazione degli obblighi previsti in materia fiscale dalla normativa statunitense FATCA (Foreign Account Tax Compliance Act) e dalle norme AEOI (Automatic Exchange of Information), nonché dal d.lgs. n. 231/2007 in materia di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio e di finanziamento del terrorismo;

di conoscere gli estremi identificativi dei responsabili del trattamento dei dati anche con riferimento all’esecuzione degli obblighi previsti dalle normative FATCA e AEOI e dal d.lgs. n. 231/2007, nonché i soggetti cui i dati che lo riguardano siano stati eventualmente comunicati per effetto di tali normative;

l’accoglimento dell’opposizione al trattamento, ivi compresa la diffusione, dei dati;

di conoscere le modalità di raccolta ed elaborazione dei dati, nonché i criteri e le modalità adottate per l’elaborazione delle classi predefinite di rischio assegnate dalla banca alla propria clientela;

di conoscere il profilo di rischio associato al proprio nominativo e la relativa motivazione;

CONSIDERATO che il ricorrente ha rappresentato che:

- in data 27 giugno 2014 ha stipulato un contratto di conto corrente con la resistente la quale, in data 1° aprile 2016, in occasione del rinnovo delle carte prepagate a lui intestate, gli avrebbe fatto compilare e sottoscrivere un modulo denominato “Attestazione di status ai fini dello scambio di informazioni con gli Stati Uniti e con gli altri Stati Esteri Clientela Persone Fisiche” al fine di ottemperare agli obblighi previsti dalle normative FATCA e AEOI;

- in data 3 gennaio 2017, un impiegato della resistente lo avrebbe contattato telefonicamente onde ottenere, con estrema urgenza, i dati identificativi, reddituali e patrimoniali che lo riguardano in ottemperanza agli obblighi previsti dal d.lgs. n. 231/2007 in ordine ad una pretesa anomalia riguardante un’operazione di bonifico da lui disposta per conto della società di brokeraggio assicurativo di cui è legale rappresentante ed addebito sul suo conto corrente personale, operazione che sarebbe stata respinta per tre volte consecutive con causale “mancata adeguata verifica” della clientela;

- in seguito, la resistente, recedendo unilateralmente dal contratto, ha chiuso nel giugno 2017 il proprio conto corrente personale non avendo egli fornito alla banca le informazioni necessarie al fine di consentirle di adempiere agli obblighi di “adeguata verifica della clientela” previsti dal d.lgs. n. 231/2007;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota dell’8 gennaio 2018 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste del ricorrente, nonché la nota del 9 febbraio 2018 con la quale è stata disposta, ai sensi dell’art. 149, comma 7, del Codice, la proroga del termine per la conclusione del procedimento; 

VISTE le note del 23 e 25 gennaio 2018 con le quali la resistente, richiamandosi alle risposte già fornite al ricorrente prima della proposizione del ricorso, ha sostenuto:

- di aver richiesto telefonicamente al ricorrente, in data 3 gennaio 2017, per il tramite di un proprio impiegato, l’aggiornamento dei dati anagrafici e reddituali (c.d. procedura “KYC-Know your customer”) la cui contribuzione consente alla banca di ottemperare agli obblighi previsti dalla d.lgs. n. 231/2007 in materia di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio e di finanziamento del terrorismo, nonché dalla legge n. 95/2015 (adempimenti FATCA/AEOI) per gli scambi automatici di informazioni derivanti dagli accordi internazionali in materia fiscale con gli Stati Uniti e con gli altri Stati esteri;

- di non nutrire alcun sospetto, in ordine all’operato del ricorrente, circa possibili attività di riciclaggio o finanziamento del terrorismo, tenuto conto che l’acquisizione di tali informazioni, obbligatoria per tutto il sistema bancario, è richiesta non solo all’atto di apertura ma anche nel corso del rapporto e si applica a tutti i clienti (persone fisiche/entità), ovunque fiscalmente residenti;

- di aver provveduto, in assenza degli aggiornamenti richiesti, ripetutamente sollecitati, alla chiusura del conto corrente intestato al ricorrente, in data 14 giugno 2017, dando comunque seguito all’opposizione al trattamento manifestata da quest’ultimo di cui ha registrato la revoca dei consensi al trattamento prestati in precedenza;
-    di aver indicato gli estremi del responsabile interno del trattamento dei dati della clientela rinviando, quanto ai responsabili esterni, all’elenco aggiornato pubblicato sul sito Internet della banca, mentre le finalità e le modalità del trattamento dei dati sono descritte nell’Informativa sul trattamento dei dati personali consegnata in occasione dell’apertura del conto che, per pronta visione, viene riportata integralmente in allegato;

- che, circa la logica di definizione delle classi di rischio, trattasi “di dati elaborati dalla banca a soli fini interni (…) che la banca non è tenuta a comunicare a soggetti terzi”;

- di considerare la richiesta di documentazione avanzata dal ricorrente quale istanza ex art. 119 del d.lgs n. 385/1993 rimanendo pertanto disponibile a consegnare copia dei documenti contabili previo pagamento dei costi indicati nei documenti informativi previsti dalla normativa in materia di trasparenza pur fornendo in allegato copia del contratto di conto corrente;

VISTA la nota del 3 febbraio 2018 con la quale il ricorrente ha:

- formulato ulteriori richieste con riferimento alle informazioni di cui all’art. 7, commi 1 e 2 del Codice chiedendo altresì di acquisire il tabulato della conversazione telefonica avvenuta in data 3 gennaio 2017 in ordine alla presunta anomalia dei bonifici in questione;

- ribadito in particolare la richiesta di produrre, in formato elettronico, copia della documentazione indicata nell’atto introduttivo ed evidenza dei consensi al trattamento da lui manifestati, nonché di comunicare gli estremi identificativi dei responsabili del trattamento incaricati dell’esecuzione degli obblighi previsti dalla legge n. 95/2015 (normative FATCA e AEOI) e dal d.lgs. n. 231/2007 ed i soggetti terzi con i quali sono state comunicate e scambiate le informazioni previste dalle normative in questione; 

VISTE le note del 9 e 16 marzo 2018 con le quali la resistente ha:

- comunicato al ricorrente l’elenco dati personali trattati dalla banca con riferimento ai rapporti intercorsi con lo stesso facendo riferimento, quanto all’origine, finalità e modalità del trattamento, all’Informativa sul trattamento dei dati personali già fornita all’interessato;

- fornito copia del modulo sottoscritto dal ricorrente in fase di attivazione del rapporto con riferimento ai consensi al trattamento di cui la banca ha registrato la revoca per le finalità di marketing e profilazione della clientela come risulta da apposita evidenza cartacea;

- dichiarato che, “ai fini della normativa FATCA/AEOI, nessuna segnalazione è stata inviata all’Agenzia delle Entrate” con riferimento al ricorrente e che in ogni caso i dati del ricorrente riferiti all’applicazione delle normative in questione non sono stati comunicati a soggetti terzi né oggetto di diffusione;

- specificato che il trattamento dei dati per l’esecuzione degli obblighi previsti dalle citate normative “rientra nel perimetro di competenza dei Responsabili del trattamento riportati nell’elenco a cui l’Informativa privacy che è stata allegata rimanda”; 

- rappresentato che la conversazione telefonica del 3 gennaio 2017 richiamata dal ricorrente non è stata registrata;

- precisato, in ordine al profilo di rischio, che “nessun rating è stato assegnato al ricorrente” tenuto conto che quest’ultimo “non è mai stato affidato dalla (…) banca”;

RILEVATO preliminarmente che le richieste contenute nella nota del 3 febbraio 2018 con riferimento alle informazioni di cui all’art. 7, commi 1 e 2 del Codice ed aventi altresì ad oggetto il tabulato della conversazione telefonica avvenuta in data 3 gennaio 2017 sono state avanzate dal ricorrente per la prima volta nel corso del procedimento e non hanno formato oggetto dell’interpello preventivo e del successivo atto di ricorso e ritenuto pertanto di dover dichiarare la loro inammissibilità ai sensi dell’art. 148, comma 1, lett. b), del Codice;

RILEVATO che, sempre in via preliminare, occorre ribadire la distinzione, delineata in più occasioni dall’Autorità (vedi art. 5.2 delle “Linee guida per trattamenti dati relativi a rapporto banca-clientela”del 25 ottobre 2007 pubblicato su G.U. n. 273 del 23 novembre 2007), tra la richiesta di accesso alla documentazione bancaria effettuata ai sensi dell’art. 119 del Testo Unico Bancario e la richiesta, avanzata ai sensi dell’art. 7 del Codice, volta ad ottenere la comunicazione in forma intellegibile dei dati personali riferiti all’interessato contenuti nei medesimi documenti che vanno estratti secondo le modalità di cui all’art. 10 del Codice;

CONSIDERATO pertanto, relativamente alla richiesta volta ad ottenere copia della documentazione indicata nell’atto introduttivo del procedimento, che la stessa non può costituire oggetto di istanza ai sensi dell’art. 7 del Codice, essendo prevista tale modalità, solo come facoltà del titolare del trattamento che, in virtù di quanto previsto dall’art. 10, comma 4, del predetto Codice e qualora l’estrazione dei dati risulti particolarmente difficoltosa, può decidere autonomamente di fornire riscontro attraverso l’esibizione o la consegna di copia dei documenti contenenti i dati richiesti;

RITENUTO di dover pertanto dichiarare, con riguardo a detta richiesta, il ricorso inammissibile ai sensi dell’art. 148, comma 1, lett. b) del Codice, non rientrando la stessa fra i diritti che l’interessato può esercitare ai sensi dell’art. 7 del Codice, bensì del diverso diritto di accesso ai documenti bancari previsto dal citato art. 119 del Testo Unico Bancario;

CONSIDERATO poi che, con riguardo alla richiesta di conoscere la logica applicata per l’elaborazione delle classi predefinite di rischio assegnate alla propria clientela, i criteri e i parametri utilizzati dalla banca sono frutto di scelte gestionali ed organizzative che fuoriescono dall’ambito di applicazione del Codice, rientrando nella liberta di iniziativa economica privata garantita costituzionalmente e ritenuto pertanto di dover dichiarare, con riguardo a detta richiesta, il ricorso inammissibile ai sensi dell’art. 148, comma 1, lett. b) del Codice, non rientrando la stessa fra i diritti che l’interessato può esercitare ai sensi dell’art. 7 del Codice;

CONSIDERATO inoltre che la resistente nel ribadire che i dati personali del ricorrente riferiti all’applicazione delle normative in questione non sono stati comunicati a terzi né oggetto di diffusione ha preso atto della revoca dei consensi al trattamento in precedenza manifestati dall’interessato provvedendo anche a fornire, ad integrazione di quanto già comunicato a quest’ultimo anteriormente alla proposizione del ricorso, ulteriori elementi circa le restanti richieste formulate nell’atto introduttivo;

RITENUTO pertanto che tali riscontri possano essere considerati sufficienti consentendo di dichiarare non luogo a provvedere in merito ai sensi dell’art. 149, comma 2, del Codice;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

a)  dichiara inammissibile il ricorso in ordine alle richieste avanzate per la prima volta nel corso del procedimento, nonché in ordine alla richiesta di ottenere copia della documentazione indicata nell’atto introduttivo e di conoscere i criteri e i parametri utilizzati per l’elaborazione delle classi di rischio assegnate dalla banca alla propria clientela;

b) dichiara non luogo a provvedere sul ricorso in ordine alle restanti richieste formulate nell’atto introduttivo.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 21 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia