Operazioni finanziarie e privacy. Conoscibili tutti i dati personali anche quelli relativi alla propensione al rischio dell’investitore
Colpito da un’ingente perdita finanziaria, un
cliente di una banca che pensava invece di aver sottoscritto un investimento
“tranquillo†si è rivolto all’istituto di credito, presso il quale aveva
eseguito l’acquisto dei titoli, chiedendo di avere accesso ai suoi dati
personali, in particolare a quelli contenuti nei documenti che
evidenziano obiettivi e propensione al rischio dell’investitore. Di fronte
all’inerzia della banca che non gli ha fornito alcuna risposta ha presentato
ricorso al Garante.
Nel definire il procedimento l’Autorità ha
ribadito che il cliente può conoscere tutti i dati personali che lo riguardano
detenuti da un istituto di credito e in caso di operazioni finanziarie può
avere accesso anche alle informazioni eventualmente riportate nei documenti in
cui sono indicati i rischi dell’investimento. La banca inoltre deve comunicare
le informazioni personali in modo chiaro e intellegibile fornendo anche criteri
e parametri per la comprensione di eventuali codici presenti nei documenti.
Accogliendo il ricorso il Garante ha stabilito
che l’istituto di credito non ha risposto in modo idoneo alla legittima
richiesta di accesso del cliente. La banca, infatti, anziché comunicare in modo
chiaro e comprensibile i dati personali in suo possesso, come prescritto dal
Codice della privacy, aveva fornito al cliente solamente copia di alcuni
documenti relativi alla sottoscrizione del titolo obbligazionario, inviando
oltretutto copia di un tabulato relativo all’ordine di acquisto incomprensibile
per la presenza di codici e copia di una richiesta di apertura di un conto per
deposito titoli intestato ad un’altra persona. L’istituto, inoltre, non aveva
specificato, come legittimamente richiesto dal cliente, il possesso o meno nei
propri archivi di altri dati personali, in particolare di eventuali informazioni
relative all’esperienza del ricorrente in materia di investimenti finanziari, ai
suoi obiettivi di investimento e alla sua propensione al rischio.
Il Garante ha quindi ordinato alla banca di
comunicare al cliente, entro un termine stabilito, tutti gli ulteriori dati che
lo riguardano, oltre quelli già forniti, rendendo altresì comprensibili le
informazioni del tabulato informatico attraverso la spiegazione dei codici. Il
ritardo e l’incompleto riscontro alle richieste del cliente ha comportato anche
l’attribuzione delle spese del procedimento alla banca.
Notificazioni: i chiarimenti del Garante
Dopo il provvedimento che ha escluso la
notificazione per alcuni trattamenti di dati personali (Provv.
n. 1/2004 del 31 marzo 2004, pubblicato sulla Gazzetta
ufficiale 6 aprile 2004, n. 81 e sul sito web www.garanteprivacy.it), l’Autorità
ha fornito alcuni chiarimenti per il settore privato (imprese, banche,
assicurazioni, professionisti, enti no-profit) sui seguenti trattamenti che non
devono essere notificati in base ad una corretta interpretazione delle
disposizioni del Codice sulla privacy.
Dati genetici e biometrici.
La notificazione del trattamento di questo genere di dati trattati nell’ambito
dell’espletamento delle professioni sanitarie e dagli avvocati, se ricorrono i
casi segnalati nel suddetto
provvedimento n. 1/2004, non va
effettuata anche laddove l’attività sia prestata in forma associata o qualora
sia svolta da medici titolari di un trattamento in materia di igiene e sicurezza
del lavoro e della popolazione.
Posizione geografica di persone od
oggetti. Non devono essere notificati al Garante i trattamenti di dati
personali relativi alla registrazione di ingressi o uscite presso luoghi di
lavoro; alla rilevazione di immagini o suoni; alla lettura di carte elettroniche
per fornire beni, prestazioni o servizi.
Dati sulla salute o sulla vita
sessuale utilizzati per prestare servizi sanitari per via telematica.
Per quanto riguarda questa categoria, non devono essere notificati i trattamenti
di dati sanitari e/o sulla vita sessuale effettuati nell’ambito di servizi di
assistenza o consultazione sanitaria per via telefono.
Nell’ambito dei dati sulla vita
sessuale o sulla sfera psichica trattati da organismi no-profit, non
vanno notificati al Garante i trattamenti effettuati da associazioni, enti od
organismi che non hanno carattere politico, sindacale, religioso o filosofico
che svolgono attività di ricovero e assistenza ai malati psichici.
Strumenti elettronici per profilare
interessati o utenti di servizi di comunicazione elettronica. Non
devono essere notificati i trattamenti di dati effettuati al solo fine di
fornire all’interessato beni, prestazioni o servizi; verificare l’identità o il
profilo di autorizzazione di utenti o incaricati; registrare gli accessi ad un
sito web.
Rilevazione del rischio sulla
solvibilità economica o di comportamenti illeciti o fraudolenti. Non
devono essere notificati i trattamenti per adempimenti fiscali o contabili
oppure per svolgere investigazioni difensive e curare la difesa in sede
giudiziaria. Sono esclusi anche i trattamenti relativi ad obbligazioni,
comportamenti illeciti o fraudolenti che non devono essere notificati in quanto
trattati per adempiere ad obblighi normativi in materia di rapporto di lavoro.
Sono sottratti all’obbligo di notificazione anche i soggetti pubblici che
utilizzano la banca dati elettronica per riscuotere tributi, applicare sanzioni
amministrative o rilasciare licenze, concessioni o autorizzazioni.
Non sono invece sottratti all’obbligo di
notificazione i trattamenti di immagini e suoni che, benché registrati
temporaneamente, siano inseriti in apposite banche dati elettroniche relative a
comportamenti illeciti o fraudolenti.
Per ulteriori e pi๠precise indicazioni sui
trattamenti per i quali è previsto l’esonero della notificazione, si rimanda
agli specifici casi espressamente citati nel parere
del Garante pubblicato sul sito web www.garanteprivacy.it
Related Posts
Commento all'articolo