NEWS

La banca comunica i dati del conto al padre di una cliente e si giustifica invocando la 'buona fede': sanzionata Intesa Sanpaolo per violazione della privacy

Le banche devono effettuare verifiche puntuali prima di comunicare i dati dei propri clienti ad altre persone, anche perché soggetti in precedenza autorizzati a conoscerli, nel tempo potrebbero aver perso questa facoltà. Lo ha affermato il Garante per la privacy, definendo il procedimento avviato a seguito del reclamo di una ragazza all’epoca dei fatti già maggiorenne, che contestava a una banca la comunicazione dei dati del proprio conto corrente a suo padre. Tali informazioni erano state poi prodotte in un giudizio pendente dinanzi al Tribunale.

Seconda sanzione per violazione della privacy da parte di banca Intesa San Paolo

Rispondendo alla richiesta di informazioni del Garante l’istituto di credito confermava quanto denunciato, ma a giustificazione dell’accaduto invocava la buona fede del proprio dipendente. Secondo la banca, infatti, l’operatore aveva consegnato al padre della reclamante copia della movimentazione del conto corrente della figlia perché in precedenza egli era autorizzato ad operare sul rapporto bancario, in quanto esercente la potestà genitoriale fino al raggiungimento della maggiore età della ragazza. Inoltre la conoscenza personale del padre, un ex dipendente della banca, aveva indotto l'impiegato a ritenere il genitore ancora autorizzato ad accedere ai dati contabili della figlia, senza effettuare alcuna verifica.

Giustificazioni insufficienti per l’Autorità, che ha dichiarato fondato il reclamo e ritenuto illecito il comportamento tenuto dalla banca tramite un proprio dipendente, il quale ha effettuato un accesso ai dati bancari della reclamante e li ha comunicati ad un terzo non autorizzato, in violazione della normativa sulla protezione dei dati personali. Inoltre, contrariamente a quanto sostenuto dalla banca, l’Autorità ha ritenuto non applicabile al caso l’esimente della buona fede. In base al costante orientamento della giurisprudenza, infatti, l’errore rileva quale causa di esclusione della responsabilità solo quando è inevitabile, ossia in presenza di circostanze tali da indurre l’autore della violazione al convincimento della liceità del suo agire o se comunque abbia fatto il possibile per osservare la legge. Circostanze che, appunto, non sono state riscontrate nel caso in esame.

Infatti, come si legge nel provvedimento adottato dall'Autorità, "Contrariamente a quanto argomentato, inoltre, si ritiene non applicabile al caso di specie l’esimente della buona fede, che, in base a un costante orientamento giurisprudenziale (v. Cass. civ. sez. II, 17/12/2019 n. 33441; Cassazione civile sez. VI, 13/05/2019, n.12629) rileva come causa di esclusione della responsabilità, solo quando esso risulti inevitabile, occorrendo a tal proposito la sussistenza di elementi positivi, estranei all’autore dell’infrazione, idonei ad ingenerare in lui la convinzione della liceità della sua condotta e, soprattutto, che l’autore dell’infrazione abbia fatto tutto il possibile per osservare la legge, cosicché nessun rimprovero possa essergli mosso, neppure sotto il profilo della negligenza omissiva."

Banca Intesa San Paolo scivola ancora sulla privacy

(Foto di archivio di Banca Intesa, dal 2007 diventata Intesa San Paolo a seguito della fusione con San Paolo IMI - Fonte immagine: Shutterstock)

Il Garante ha quindi applicato alla Banca Intesa San Paolo una sanzione amministrativa di 100mila euro, anche tenuto conto che l’istituto - già in passato destinatario di un provvedimento analogo in cui aveva ricevuto una sanzione di 200mila euro - non ha dimostrato, nel rispetto del principio di responsabilizzazione (accountability), di aver adottato o solo avviato un’adeguata riflessione sulle istruzioni fornite al personale riguardo alle richieste di accesso ai dati bancari, limitandosi a richiamare le attività formative genericamente erogate.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev Illegittimi gli elenchi telefonici non estratti dal Data Base Unico: il Garante della Privacy sanziona una ditta
Next Il Garante della Privacy sanziona una Asl che aveva pubblicato online i dati sanitari degli interessati per ‘trasparenza amministrativa’

App di credito sociale e rischi privacy per i cittadini

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy