Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Approfondimenti

La banca nega l’informativa privacy al cliente: interviene il Garante

Avv. Muia’ Pier Paolo 29/08/22
Scarica PDF Stampa
E’ illecito il comportamento della banca che non invia al cliente l’informativa privacy a fronte di una specifica richiesta di quest’ultimo.

     Indice

  1. I fatti
  2. La valutazione del Garante
  3. La decisione del Garante

>>> Ordinanza ingiunzione n. 226 del 16 giugno 2022<<<

1. I fatti

Un cliente di una banca presentava un reclamo al Garante per la protezione dei dati personali con cui lamentava che l’istituto di credito avesse segnalato il suo nominativo al CRIF senza aver preventivamente inviato la comunicazione di preavviso prevista dall’apposito codice di deontologia e per non aver riscontrato l’istanza di esercizio dei suoi diritti in materia di privacy, inviata alla banca nel luglio del 2020, con cui il cliente aveva chiesto di prendere visione dell’informativa privacy prevista dall’art. 13 del Regolamento europeo sulla protezione dei dati personali (c.d. GDPR).

In considerazione del reclamo, l’Autorità chiedeva alla banca di fornire informazioni sui fatti oggetto del reclamo nonché di aderire alla istanza di esercizio dei diritti che era stata formulata dal cliente.

A fronte della richiesta del Garante, la banca, in primo luogo, dava conto di aver a suo tempo inviato al cliente una raccomandata con cui lo preavvertiva della prossima segnalazione al CRIF e che detta comunicazione non era stata però consegnata al cliente in quanto il servizio postale l’aveva restituita alla banca in quanto l’indirizzo risultava inesistente. A tal proposito, la banca faceva presente che l’indirizzo che era stato usato per l’invio della suddetta raccomandata era quello indicato dallo stesso cliente nel modulo con cui era stato stipulato il contratto con la banca e che negli anni successivi non era pervenuta alla banca alcuna richiesta di modifica dell’indirizzo da parte del cliente.

In secondo luogo, la banca, con riferimento al mancato riscontro all’istanza con cui il cliente aveva chiesto di ricevere copia dell’informativa privacy, confermava di non aver provveduto a riscontrare detta istanza e quindi vi provvedeva solo in quel momento.

Preso atto delle risposte della banca, il Garante riteneva di poter avviare il procedimento sanzionatorio nei suoi confronti soltanto con riferimento al mancato riscontro dell’istanza di esercizio dei diritti da parte del cliente (valutando, invece, di non poter procedere con riferimento all’invio del preavviso di iscrizione al CRIF) e conseguentemente invitava la banca a inviare le proprie difese.

La banca si difendeva sulla base, per quanto qui di interesse, sulla base di 3 argomentazioni:

  • in primo luogo, in quanto una copia dell’informativa privacy ai sensi dell’art. 13 del GDPR era già stata trasmessa al cliente nel 2017, al momento della sottoscrizione del contratto di finanziamento;
  • in secondo luogo, in quanto l’istanza del cliente di avere copia di detta informativa era stata inviata (nel 2020) non all’indirizzo email appositamente dedicato all’esercizio dei diritti in materia di privacy da parte dei clienti, bensì alla PEC dell’ufficio reclami e poi alla PEC generale della banca;
  • infine, in quanto l’istanza di cui sopra era contenuta all’interno di una più lunga e articolata comunicazione con cui il cliente aveva contestato alla banca il mancato rispetto dell’obbligo di preavviso della segnalazione al CRIF, nella quale soltanto in chiusura era formulata l’istanza di avere copia dell’informativa privacy.

Il Garante, ritenendo che le difese della banca non fossero sufficienti per archiviare il procedimento, ha quindi ritenuto di procedere con l’irrogazione di una sanzione pecuniaria amministrativa a carico dell’istituto di credito.

Potrebbero interessarti anche:

2. La valutazione del Garante

Dall’istruttoria svolta è emerso che la banca non ha dato riscontro alla richiesta di esercizio dei diritti formulata dal cliente nel luglio 2020 entro il termine indicato dal GDPR (precisamente non oltre un mese dalla ricezione della richiesta) e che non ha neanche informato l’istante, sempre nel medesimo termine, dei motivi per cui la banca non ha ottemperato alla richiesta del cliente.

Il Garante ha quindi ritenuto non meritevoli di accoglimento i motivi addotti dalla banca.

In particolare, il Garante ha ritenuto che il fatto che la richiesta di esercizio dei diritti da parte del cliente fosse contenuta all’interno di una più articolata e complessa comunicazione nella quale il cliente contestava alla banca degli altri inadempimenti non può essere ritenuto un valido motivo per escludere l’inadempimento della banca all’obbligo di dare riscontro al cliente nei termini previsti dal GDPR. Ciò a maggior ragione se si considera che è risultato provato che la banca avesse ricevuto la PEC con la suddetta comunicazione.

In secondo luogo, il Garante ha ritenuto che non costituisce un valido motivo per escludere l’inadempimento della banca all’obbligo di dare riscontro alla richiesta di invio dell’informativa privacy da parte del cliente neanche il fatto che detta informativa fosse già nota al cliente (per averne ricevuto copia al momento della sottoscrizione del contratto di finanziamento), in quanto il GDPR riconosce all’interessato il diritto di avere accesso ai dati che vengono trattati dal titolare del trattamento e a tutte le ulteriori informazioni relative a detto trattamento (quindi anche all’informativa privacy), per permettere all’interessato medesimo di verificare la correttezza e la completezza dei dati oggetto di trattamento.

3. La decisione del Garante

In base alle valutazioni di cui sopra, il Garante per la protezione dei dati personali ha quindi ritenuto che il mancato riscontro, entro il termine di 30 giorni dalla ricezione dell’istanza, da parte della banca alla richiesta di avere copia dell’informativa privacy da parte di un cliente, costituisce una violazione della normativa in materia di protezione dei dati personali e conseguentemente ha disposto l’applicazione di una sanzione amministrativa pecuniaria.

Per quanto concerne la quantificazione della sanzione, il Garante, prendendo in considerazione la gravità della violazione che ha riguardato diritti fondamentali dell’interessato e il fatto che la stessa ha riguardato un solo interessato nonché l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento, ha determinato l’ammontare in euro 20.000 (ciò anche valutando le condizioni economiche della banca, al fine di garantire il rispetto dei principi di effettività, proporzionalità e dissuasività della sanzione).

Volume consigliato:

Il nuovo codice della privacy

Il nuovo codice della privacy

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni.

Pier Paolo Muià | 2019 Maggioli Editore

19.00 €  18.05 €

Scopri di più

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche

Privacy e Cybersecurity
Privacy nelle palestre: un vademecum pratico
Giuseppe Alverone 19/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI&amp;Legaltech
Privacy e Cybersecurity
Garante Privacy: no al riconoscimento facciale dei lavoratori
Luisa Di Giacomo 18/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Intestazione carta deposit a dipendente senza informativa: violazione privacy
Pier Paolo Muià 18/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
diritto europeo e internazionale
Privacy e Cybersecurity
European digital identity wallet: approvata proposta di regolamento
Luisa Di Giacomo 17/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;