Il caso comune del diniego da parte degli istituti di credito di dare informazioni contenute nei documenti finanziari in cui sono indicati i rischi dell’investimento è stato affrontato dal Garante per la protezione dei dati personali.
Il settore in esame e’ stato al centro dell’attenzione di consumatori e delle relative associazioni, nonche’ di imprenditori e professionisti, che spesso si sono rivolti all’Autorita’ per far chiarire delicati aspetti relativi alla raccolta, al trattamento e alla comunicazione dei dati che li riguardano, alla luce di un quadro normativo, quale quello bancario e finanziario, particolarmente complesso ed in fase di continua evoluzione.
Spesso, difatti, accade che il cliente sia convinto di aver fatto un investimento tranquillo ed invece l’andamento altalenante dei titoli azionari (frequente negli ultimi tempi) rivela l’effettivo rischio dell’investimento che talvolta non e’ affatto minimo.
Nel caso di specie, preoccupato, il cliente chiede alla banca di avere accesso ai suoi dati personali, in particolare a quelli contenuti nei documenti che evidenziano obiettivi e propensione al rischio dell’investitore.
L’istituto di credito anziche’ comunicare in modo chiaro e comprensibile i dati personali in suo possesso, come prescritto dalla normativa, fornisce al cliente solamente copia di alcuni documenti relativi alla sottoscrizione del titolo obbligazionario,  inviando tra l’altro copia di un tabulato relativo all’ordine di acquisto incomprensibile per la presenza di codici e copia di una richiesta di apertura di un conto per deposito titoli intestato ad un’altra persona.
Nulla viene detto dalla banca in merito al possesso nei propri archivi di altri dati personali, in particolare di eventuali informazioni relative all’esperienza del ricorrente in materia di investimenti finanziari, ai suoi obiettivi di investimento e alla sua propensione al rischio.

Il Garante nella newsletter in esame, al di la’ di eventuali violazioni di legge di carattere bancario ed alla luce anche dei frequenti ricorsi che vengono inoltrati in materia si preoccupa di chiarire il comportamento che la banca deve tenere di fronte alle richieste di accesso che il cliente puo’ fare ai sensi dell’art. 7 del codice per la protezione dei dati personali.
Come e’ noto, difatti, l’art. 7 del codice introduce il Titolo II che disciplina i diritti dell’interessato. In particolare si fa riferimento al diritto di accesso ai dati personali ed agli altri diritti connessi, riprendendo le prescrizioni dell’art. 13 comma 1 della legge 675/96.
La dottrina (RISTUCCIA) ha sottolineato gia’ da tempo come l’espressione “diritti dell’interessato” enfatizzi particolarmente la natura di diritto soggettivo delle pretese che l’interessato vanta nei confronti di chi tratta dati che lo riguardano.

Il primo diritto che si legge nella disposizione e’ quello di avere conferma dell’esistenza o meno di dati personali anche se non ancora registrati e la loro comunicazione in forma intellegibile, distinguendosi in cio’ da quanto prescritto dalla legge 675/96 che sebbene conteneva disposizione analoga all’art. 13, 1° co., lett. c) punto 1 (prima parte), essa era collocata sistematicamente in ordine successivo, mentre l’art. 13 si apriva riconoscendo il diritto dell’interessato ad accedere al registro dei trattamenti, diritto questo che non viene menzionato nel nuovo art. 7 del T.U.

Particolari problemi di comprensione si sono posti in dottrina sulla natura del diritto di opposizione di cui al punto 4 lett. a) della disposizione in esame in quanto non risulta prima facie la portata dei risultati che attraverso la previsione normativa l’interessato e’ in grado di raggiungere, ne’ e’ chiaro quale sia la posizione giuridica del titolare rispetto all’opposizione. Appare, innanzitutto evidente che ci si trova di fronte ad un trattamento pienamente legittimo dei dati (la stessa direttiva comunitaria n. 95/46CE affronta l’argomento in modo analogo riconoscendo l’esistenza di un interesse legittimo/pubblico di chi tratta i dati ed un interesse della persona a cui i dati si riferiscono).
Probabilmente secondo la dottrina dominante l’opposizione di cui all’art. 7 lett. a) rappresenta lo strumento nel diritto interno per effettuare la ponderazione degli interessi prevista dalla disciplina comunitaria nei casi di trattamento senza preventivo consenso.
L’art. 8, invece, disciplina l’esercizio dei diritti dell’interessato e si apre con una enunciazione di principio (i diritti di cui all’articolo 7 sono esercitati con richiesta rivolta senza formalita’ al titolare o al responsabile, anche per il tramite di un incaricato, alla quale e’ fornito idoneo riscontro senza ritardo) circa la concreta modalita’ di esercizio dei diritti di cui all’art. 7 che non ritroviamo nella legge 675/96, bensi’ nell’art. 13 della direttiva 95/46CE e nell’art. 17, 1° comma, del D.P.R. n. 501/98 (specifico regolamento recante norme per l’organizzazione ed il funzionamento dell’Ufficio del Garante per la protezione dei dati personali).
La disposizione in esame dopo aver enumerato le ipotesi di limitazione dei diritti degli interessati si preoccupa al 3° comma di assicurare che, nelle stesse ipotesi, sia comunque garantito il rispetto delle disposizioni in materia di trattamento di dati personali. A tal fine si attribuisce al Garante, a seconda dei vari casi, il compito di effettuare gli accertamenti e controlli previsti dagli artt. 157-158-159-160 del T.U.
Ma fondamentale ai fini di un corretto esame del caso di specie e’ sicuramente l’art. 10 del codice per la protezione dei dati personali che disciplina le modalita’ di riscontro all’interessato e riprende molte prescrizioni contenute nell’art. 17 del D.P.R. 501/98.

Il primo comma, ad esempio, riproduce piuttosto fedelmente il comma 9 dell’art. 17 del D.P.R. 501/98, mentre il 2° comma riproduce il 6° comma dello stesso art. 17 con espliciti riferimenti ai nuovi strumenti elettronici e telematici che consentono un’agevole visione o trasmissione dei dati di interesse.
Anche il 3° comma di quest’ art. 10 riprende una disposizione dell’art. 17 del D.P.R. 501/98 e per la precisione il 5° comma avendo cura di sottolineare che il riscontro all’interessato sia comprensivo di tutti i dati personali comunque trattati, facendo salva l’applicazione dell’art. 84 del T.U. nel caso la richiesta sia rivolta ad un esercente la professione sanitaria.
Il Garante nell’esame del ricorso fa riferimento anche a quanto prescritto dai commi 4, 5 e 6 dell’art. 10.
La disposizione, difatti, non prevede il necessario rilascio di copie di atti in quanto obbliga, piu’ precisamente, il responsabile o gli incaricati ad estrapolare dai propri archivi e documenti le informazioni personali oggetto di richiesta dell’interessato e a comunicarle a quest’ultimo con modalita’ idonee a rendere i dati facilmente comprensibili (anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualita’ e la quantita’ delle informazioni. Si provvede, dietro richiesta, anche alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica).

Nel caso di specie dovranno, quindi, essere estrapolati dalla banca tutti i dati personali relativi al solo ricorrente.
Solo qualora tale estrazione risulti complessa e difficoltosa l’accesso potra’ avvenire, come affermato piu’ volte dal Garante anche attraverso la messa a disposizione di una copia del documento stesso.
Inoltre, avuto riferimento alla consegna da parte della banca di copia di un tabulato relativo all’ordine di acquisto incomprensibile per la presenza di codici, e’ opportuno precisare che le informazioni personali eventualmente detenute in modo cifrato, o comunque in forma non immediatamente leggibile a ciascun incaricato del trattamento, conservano la natura di dato personale (cosi’ come definito all’ art. 4 lett. b del codice “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”) qualora, come nel caso di specie, siano ricollegabili ad una determinata persona identificata o identificabile.
In tali casi il titolare del trattamento, a fronte di una richiesta di accesso, dovra’ pertanto provvedere, ai sensi dell’art. 10, comma 2, del codice in materia di protezione dei dati personali, alla “messa in chiaro” dei dati stessi in modo che la loro comprensione risulti agevole, concretizzando la disponibilita’ da ultimo manifestata. Inoltre il 6° comma dell’art. 10 precisa che in caso di comunicazione di codici o sigle devono essere forniti, anche mediante gli incaricati, i parametri per la comprensione del relativo significato.

Per quanto concerne la disciplina del diritto di accesso dell’interessato ai dati personali che lo riguardano detenuti da istituti di credito, va ricordato, inoltre, che il titolare e’ tenuto ad assicurare un riscontro gratuito alle richieste di accesso rivoltegli dagli interessati.
In alcune occasioni, taluni istituti di credito hanno invece subordinato tale riscontro al versamento, da parte del cliente, di somme occorrenti per ricercare e mettere a disposizione i documenti richiesti: cio’ per far fronte alle spese che gli istituti sostenevano di dover affrontare per il reperimento dei dati e la loro comunicazione all’interessato.

Pertanto, si e’ affermato che l’esercizio del diritto di accesso vantato dal ricorrente doveva essere garantito gratuitamente e non poteva essere condizionato, nelle sue modalita’ di esercizio, a quanto stabilito, a ben altri fini, dal testo unico in materia bancaria e creditizia (d.lgs. n. 385/1993).
E’ stato quindi ordinato alle banche resistenti di estrarre dagli atti e dai documenti da essa detenuti tutte le informazioni personali richieste, concernenti le movimentazioni effettuate, e di comunicarle in breve termine agli interessati in modo intelligibile.

Scritto da

ROMA. Il Garante per la protezione dei dati personali nella newsletter n.209 (5-25 aprile 2004) affronta un caso per la verita’ molto comunerappresentato dal diniego da parte degli istituti di credito di dareinformazioni contenute nei documenti finanziari in cui sono indicati irischi dell’investimento.Il settore in esame e’ stato al centro dell’attenzione di consumatori edelle relative associazioni, nonche’ di imprenditori e professionisti, chespesso si sono rivolti all’Autorita’ per far chiarire delicati aspettirelativi alla raccolta, al trattamento e alla comunicazione dei dati che liriguardano, alla luce di un quadro normativo, quale quello bancario efinanziario, particolarmente complesso ed in fase di continua evoluzione.Spesso, difatti, accade che il cliente sia convinto di aver fatto uninvestimento tranquillo ed invece l’andamento altalenante dei titoliazionari (frequente negli ultimi tempi) rivela l’effettivo rischiodell’investimento che talvolta non e’ affatto minimo.Nel caso di specie, preoccupato, il cliente chiede alla banca di avereaccesso ai suoi dati personali, in particolare a quelli contenuti neidocumenti che evidenziano obiettivi e propensione al rischio dell’investitore. L’istituto di credito anziche’ comunicare in modo chiaro ecomprensibile i dati personali in suo possesso, come prescritto dallanormativa, fornisce al cliente solamente copia di alcuni documenti relativialla sottoscrizione del titolo obbligazionario, inviando tra l’altro copiadi un tabulato relativo all’ordine di acquisto incomprensibile per lapresenza di codici e copia di una richiesta di apertura di un conto perdeposito titoli intestato ad un’altra persona. Nulla viene detto dalla bancain merito al possesso nei propri archivi di altri dati personali, inparticolare di eventuali informazioni relative all’esperienza del ricorrentein materia di investimenti finanziari, ai suoi obiettivi di investimento ealla sua propensione al rischio.Il Garante nella newsletter in esame, al di la’ di eventuali violazioni dilegge di carattere bancario ed alla luce anche dei frequenti ricorsi chevengono inoltrati in materia si preoccupa di chiarire il comportamento chela banca deve tenere di fronte alle richieste di accesso che il cliente puo’fare ai sensi dell’art. 7 del codice per la protezione dei dati personali.Come e’ noto, difatti, l’art. 7 del codice introduce il Titolo II chedisciplina i diritti dell’interessato. In particolare si fa riferimento aldiritto di accesso ai dati personali ed agli altri diritti connessi,riprendendo le prescrizioni dell’art. 13 comma 1 della legge 675/96.La dottrina ha sottolineato gia’ da tempo come l’espressione “diritti dell’interessato” enfatizzi particolarmente la natura di diritto soggettivo dellepretese che l’interessato vanta nei confronti di chi tratta dati che loriguardano. Il primo diritto che si legge nella disposizione e’ quello diavere conferma dell’esistenza o meno di dati personali anche se non ancoraregistrati e la loro comunicazione in forma intellegibile, distinguendosi incio’ da quanto prescritto dalla legge 675/96 che sebbene contenevadisposizione analoga all’art. 13, 1° co., lett. c) punto 1 (prima parte),essa era collocata sistematicamente in ordine successivo, mentre l’art. 13si apriva riconoscendo il diritto dell’interessato ad accedere al registrodei trattamenti, diritto questo che non viene menzionato nel nuovo art. 7del T.U.

Scritto da