Banche e diritto alla riservatezza, libero accesso al cliente.

IL FATTO
Colpito da un’ingente perdita finanziaria, un cliente di una banca che pensava
invece di aver sottoscritto un investimento "tranquillo" si è rivolto
all’istituto di credito, presso il quale aveva eseguito l’acquisto dei titoli,
chiedendo di avere accesso ai suoi dati personali, in particolare a quelli
contenuti nei documenti che evidenziano obiettivi e propensione al rischio
dell’investitore. Di fronte all’inerzia della banca che non gli ha fornito
alcuna risposta ha presentato ricorso al Garante. Nel definire il procedimento
l’Autorità ha ribadito che il cliente puo’ conoscere tutti i dati personali che
lo riguardano detenuti da un istituto di credito e in caso di operazioni
finanziarie puo’ avere accesso anche alle informazioni eventualmente riportate
nei documenti in cui sono indicati i rischi dell’investimento. La banca inoltre
deve comunicare le informazioni personali in modo chiaro e intelligibile
fornendo anche criteri e parametri per la comprensione di eventuali codici
presenti nei documenti.
Accogliendo il ricorso il Garante ha stabilito che l’istituto di credito non ha
risposto in modo idoneo alla legittima richiesta di accesso del cliente. La
banca, infatti, anzichè comunicare in modo chiaro e comprensibile i dati
personali in suo possesso, come prescritto dal Codice della privacy, aveva
fornito al cliente solamente copia di alcuni documenti relativi alla
sottoscrizione del titolo obbligazionario, inviando oltretutto copia di un
tabulato relativo all’ordine di acquisto incomprensibile per la presenza di
codici e copia di una richiesta di apertura di un conto per deposito titoli
intestato ad un’altra persona. Il Garante ha quindi ordinato alla banca di
comunicare al cliente, entro un termine stabilito, tutti gli ulteriori dati che
lo riguardano, oltre quelli già forniti, rendendo altresi’ comprensibili le
informazioni del tabulato informatico attraverso la spiegazione dei codici. Il
ritardo e l’incompleto riscontro alle richieste del cliente ha comportato anche
l’attribuzione delle spese del procedimento alla banca.
Spesso, difatti, accade che il cliente sia convinto di aver fatto un
investimento tranquillo ed invece l’andamento altalenante dei titoli azionari
(frequente negli ultimi tempi) rivela l’effettivo rischio dell’investimento che
talvolta non è affatto minimo.

GLI OBBLIGHI DI LEGGE
L’istituto di credito anzichè comunicare in modo chiaro e comprensibile i dati
personali in suo possesso, come prescritto dalla normativa, fornisce al cliente
solamente copia di alcuni documenti relativi alla sottoscrizione del titolo
obbligazionario, inviando tra l’altro copia di un tabulato relativo all’ordine
di acquisto incomprensibile per la presenza di codici e copia di una richiesta
di apertura di un conto per deposito titoli intestato ad un’altra persona. Nulla
viene detto dalla banca in merito al possesso nei propri archivi di altri dati
personali, in particolare di eventuali informazioni relative all’esperienza del
ricorrente in materia di investimenti finanziari, ai suoi obiettivi di
investimento e alla sua propensione al rischio.
Ora al di là di eventuali violazioni di legge di carattere bancario, il
Garante, alla luce anche dei frequenti ricorsi che vengono inoltrati in materia
si preoccupa di chiarire il comportamento che la banca deve tenere di fronte a
simili richieste di accesso che un cliente puo’ fare ai sensi dell’articolo 7
del codice per la protezione dei dati personali. Come è noto, difatti,
l’articolo 7 del codice introduce il Titolo II che disciplina i diritti
dell’interessato. In particolare si fa riferimento al diritto di accesso ai dati
personali ed agli altri diritti connessi, riprendendo le prescrizioni
dell’articolo 13 comma 1 della legge 675/96.
La dottrina (Ristuccia) ha sottolineato già da tempo come l’espressione
"diritti dell’interessato" enfatizzi particolarmente la natura di diritto
soggettivo delle pretese che l’interessato vanta nei confronti di chi tratta
dati che lo riguardano. Il primo diritto che si legge nella disposizione è
quello di avere conferma dell’esistenza o meno di dati personali anche se non
ancora registrati e la loro comunicazione in forma intelligibile, distinguendosi
in cio’ da quanto prescritto dalla legge 675/96 che sebbene conteneva
disposizione analoga all’articolo 13 comma 1 lettera c) punto 1 (prima parte),
essa era collocata sistematicamente in ordine successivo, mentre l’articolo 13
si apriva riconoscendo il diritto dell’interessato ad accedere al registro dei
trattamenti, diritto questo che non viene menzionato nel nuovo articolo 7 del
Tu.
Particolari problemi di comprensione si sono posti in dottrina sulla natura del
diritto di opposizione di cui al punto 4 lettera a) della disposizione in esame
in quanto non risulta prima facie la portata dei risultati che attraverso la
previsione normativa l’interessato è in grado di raggiungere, nè è chiaro
quale sia la posizione giuridica del titolare rispetto all’opposizione. Appare,
innanzitutto evidente che ci si trova di fronte ad un trattamento pienamente
legittimo dei dati (la stessa direttiva comunitaria 95/46Ce affronta l’argomento
in modo analogo riconoscendo l’esistenza di un interesse legittimo/pubblico di
chi tratta i dati ed un interesse della persona a cui i dati si riferiscono).
Probabilmente secondo la dottrina dominante l’opposizione di cui all’articolo 7
lettera a) rappresenta lo strumento nel diritto interno per effettuare la
ponderazione degli interessi prevista dalla disciplina comunitaria nei casi di
trattamento senza preventivo consenso.
L’articolo 8, invece, disciplina l’esercizio dei diritti dell’interessato e si
apre con una enunciazione di principio circa la concreta modalità di esercizio
dei diritti di cui all’articolo 7 che non ritroviamo nella legge 675/96, bensi’
nell’articolo 13 della direttiva 95/46Ce e nell’articolo 17 comma 1 Dpr 501/98.
La disposizione in esame dopo aver enumerato le ipotesi di limitazione dei
diritti degli interessati si preoccupa al comma 3 di assicurare che, nelle
stesse ipotesi, sia comunque garantito il rispetto delle disposizioni in materia
di trattamento di dati personali. A tal fine si attribuisce al Garante, a
seconda dei vari casi, il compito di effettuare gli accertamenti e controlli
previsti dagli articoli 157-158-159-160 del Tu.
Ma fondamentale ai fini di un corretto esame del caso di specie è sicuramente
l’articolo 10 del codice per la protezione dei dati personali che disciplina le
modalità di riscontro all’interessato e riprende molte prescrizioni contenute
nell’articolo 17 del Dpr 501/98. Il primo comma, ad esempio, riproduce piuttosto
fedelmente il comma 9 dell’articolo 17 del Dpr 501/98, mentre il comma 2
riproduce il comma 6 dello stesso articolo 17 con espliciti riferimenti ai nuovi
strumenti elettronici e telematici che consentono un’agevole visione o
trasmissione dei dati di interesse.
Anche il comma 3 di quest’articolo 10 riprende una disposizione dell’articolo 17
del Dpr 501/98 e per la precisione il comma 5 avendo cura di sottolineare che il
riscontro all’interessato sia comprensivo di tutti i dati personali comunque
trattati, facendo salva l’applicazione dell’articolo 84 del Tu nel caso la
richiesta sia rivolta ad un esercente la professione sanitaria.
Il Garante nell’esame del ricorso fa riferimento anche a quanto prescritto dai
commi 4, 5 e 6 dell’articolo 10. La disposizione, difatti, non prevede il
necessario rilascio di copie di atti in quanto obbliga, più precisamente, il
responsabile o gli incaricati ad estrapolare dai propri archivi e documenti le
informazioni personali oggetto di richiesta dell’interessato e a comunicarle a
quest’ultimo con modalità idonee a rendere i dati facilmente comprensibili.