In materia di antiriciclaggio, la limitazione al diritto dell’interessato di conoscere i dati trattati dalla banca è legittima solo se necessaria e proporzionata.
Per approfondire consigliamo il volume: Formulario commentato della privacy
1. I fatti
Un cliente di una banca inviava un reclamo al Garante per la protezione dei dati personali, in cui sosteneva di aver richiesto un finanziamento presso la propria filiale di riferimento e che il personale gli aveva informalmente consigliato di non procedere con la richiesta, in quanto sarebbe stata rigettata perché la banca aveva informazioni relative al cliente in virtù dei quali era stato qualificato come soggetto a rischio riciclaggio. In ragione di ciò, il cliente aveva formulato alla banca una richiesta di accesso ai propri dati e la banca aveva fornito solo un riscontro parziale. In particolare, la banca aveva comunicato solo i dati anagrafici e bancari, ma non gli aveva comunicato quelli in virtù dei quali era stato segnalato come soggetto a rischio e gli erano state inibite alcune operazioni bancarie.
A fronte della richiesta di chiarimenti da parte del Garante, la banca sosteneva di aver correttamente adempiuto ai propri obblighi e garantito il diritto di accesso dell’interessato, avendogli inviato i dati che avrebbe potuto comunicargli.
A tale ultimo proposito, infatti, la banca sosteneva che si era avvalsa della facoltà di limitare il diritto di accesso dell’interessato prevista dalla normativa in materia di privacy, in quanto aveva valutato che la comunicazione all’interessato delle altre informazioni in proprio possesso avrebbe potuto arrecare un pregiudizio concreto agli interessi tutelati dalle disposizioni in materia di antiriciclaggio. Inoltre, la banca aveva altresì valutato che anche la comunicazione al cliente della limitazione e dei relativi motivi, avrebbe compromesso dette finalità.
In secondo luogo, la banca rilevava come le informazioni “negative” in questione provenissero da fonti accessibili al pubblico. In particolare, si trattava di articoli di giornale che riportavano la notizia di una denuncia a carico del cliente per falso, truffa aggravata ai danni dello Stato e false attestazioni e certificazioni, nonché della sentenza della corte di cassazione – estratta dalla banca dati consultabile sul sito internet istituzionale della Corte – che aveva confermato le decisioni di primo e secondo grado di condanna del cliente per i suddetti reati.
La banca, inoltre, sosteneva che dette informazioni, reperite in momenti diversi, garantivano l’attualità del profilo di rischio del cliente.
La banca concludeva, quindi, di essersi avvalsa del principio di limitazione dei dati dell’interessato, al fine di rispettare la normativa antiriciclaggio che vieta di dare comunicazione al cliente interessato o a terzi dell’esistenza o della probabilità di indagini in materia di riciclaggio. La finalità di tale divieto, secondo la banca, è quella di evitare che il soggetto cui viene data la comunicazione possa capire che ci sono degli indici di anomalia a suo carico e conseguentemente possa modificare il proprio comportamento, impedendo così che vengano scoperti i fatti di riciclaggio. In altri termini, ciò che la banca voleva tutelare, esercitando il diritto di limitazione dei dati dell’interessato, era l’esistenza a carico di quest’ultimo di indici di anomalia ai sensi della normativa antiriciclaggio.
Infine, la banca rivendicava il proprio potere discrezionale e insindacabile di valutare le informazioni acquisite quali indici di anomalia tali da poter considerare di effettuare una segnalazione di operazione sospetta.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Preliminarmente, il Garante ha affrontato il complesso tema delle limitazioni ai diritti degli interessati previsto dal Regolamento europeo per la protezione dei dati personali, secondo cui ogni stato membro dell’UE può normativamente prevedere limitazioni agli obblighi del titolare del trattamento e ai diritti dell’interessato riconosciuti dalla normativa in materia di privacy.
Tuttavia, dette eventuali limitazioni devono essere applicate nel rispetto dei diritti e delle libertà fondamentali dell’interessato ed in ogni caso devono essere applicate in misura necessaria e proporzionata.
In applicazione di detti principi, le linee guida adottate dal Comitato europeo per la protezione dei dati personali prevedono che le limitazioni richiedono una valutazione della proporzionalità in modo che siano limitate a quanto strettamente necessario e che possono ritenersi legittime solo qualora, dall’esercizio dei diritti degli interessati che si intendono circoscrivere, possa derivare un “pregiudizio effettivo e concreto” agli “interessi tutelati in base alle disposizioni in materia di riciclaggio”, senza, tuttavia, comprimerli in modo eccedente rispetto alle reali necessità perseguite.
In particolare, la tutela della prevenzione o dell’indagine o dell’accertamento di reati rientra tra i casi in cui può essere applicata la limitazione.
Tuttavia, anche in caso di applicazione della limitazione, le informazioni omesse dovrebbero essere comunicate all’interessato non appena detta comunicazione non può più pregiudicare l’indagine in corso.
In altri termini, secondo la normativa europea, la limitazione dei dritti dell’interessato è giustificata solo in presenza di una situazione eccezionale e deve comunque essere idonea a conseguire gli obiettivi legittimi perseguiti dalla normativa (in virtù della quale si invoca l’applicazione della limitazione).
Inoltre, l’interessato dovrebbe essere portato a conoscenza, senza ritardo, che il titolare ha applicato la limitazione dei suoi diritti, con l’indicazione altresì dei motivi che hanno portato il titolare a optare per la limitazione. Soltanto nel caso in cui detta comunicazione dell’applicazione della limitazione possa compromettere le finalità della limitazione medesima, il titolare può astenersi dal comunicare la limitazione all’interessato. Ma, anche in tal caso, soltanto per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata.
Infine, il Garante ha ricordato che il titolare è tenuto a informare l’interessato della facoltà, allo stesso riconosciuta, di esercitare i propri diritti anche tramite il Garante, con le modalità previste dal Codice, affinché siano effettuati gli opportuni accertamenti.
3. La decisione del Garante
Il Garante ha ritenuto accertato che la banca ha valutato di non comunicare all’interessato alcuni dei dati in suo possesso, applicando la limitazione dei diritti dell’interessato prevista dalle richiamate disposizioni in materia di privacy, in quanto ha ritenuto che, se avesse comunicato tali dati all’interessato, potesse derivare un pregiudizio effettivo agli interessi tutelati dalle norme in materia di antiriciclaggio.
Secondo il Garante, se è pur vero che tale decisione è rimessa alla valutazione discrezionale del titolare del trattamento, è altresì vero che la misura della limitazione deve essere necessaria e proporzionata rispetto agli interessi che il titolare vuole tutelare.
Nel caso di specie, la esclusione dell’interessato dall’accesso ai propri dati costituisce è stata ritenuta dal Garante sproporzionata rispetto alla natura delle informazioni escluse.
Infatti, le informazioni non comunicate all’interessato erano articoli pubblicati su quotidiani nazionali che riportavano la notizia di indagini in corso e di una denuncia a carico dell’interessato, nonché la successiva sentenza definitiva di condanna emessa dalla Corte di Cassazione e pubblicata sulla relativa banca dati consultabile liberamente on line.
Pertanto, poiché si trattava di informazioni accessibili a chiunque e altresì già conosciute dall’interessato, la loro comunicazione a quest’ultimo non avrebbe certamente comportato un disvelamento di informazioni la cui conoscenza avrebbe determinato quel pregiudizio effettivo e concreto all’interesse generale tutelato dalle disposizioni in materia di riciclaggio.
Conseguentemente, la decisione della banca di limitare i diritti dell’interessato, non comunicando dette informazioni, è illegittima.
Nonostante detta illegittimità, il Garante ha comunque ritenuto di non applicare una sanzione amministrativa pecuniaria al titolare, ma di limitarsi ad ammonirlo, in considerazione della complessità del quadro giuridico in materia di antiriciclaggio e dell’assenza di precedenti specifici a carico della banca.
Volume consigliato
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento