Troppi dati agli sportelli bancari e postali. Quando identificare e fotocopiare i documenti di riconoscimento dei clienti (Provv. 27/10/2005)
Banche ed uffici postali
devono limitare ai soli casi indispensabili la richiesta di documenti di
riconoscimento dei loro clienti. Inoltre, non sempre è necessario trattenere la
fotocopia del documento per effettuare operazioni bancarie o postali:ad esempio,
per il pagamento di un assegno o di un vaglia postale è spesso sufficiente
l’esibizione di un documento di identità . Occorre anche evitare di acquisire pià¹
volte copia dei documenti già disponibili.
Lo ha precisato il Garante,
a seguito di segnalazioni di numerosi cittadini, con il provvedimento in
rassegna con il quale ha prescritto a banche e uffici postali di adottare
modalità proporzionate nella richiesta di identificazione dei clienti e di
limitarsi a conservare copia del documento solo nei casi stabiliti dalla legge.
L’interessato, ha spiegato
il Garante, va identificato rispettando il principio di pertinenza e
proporzionalità evitando richieste eccessive di dati e basandosi, caso per
caso, su diversi elementi di valutazione come la conoscenza personale, atti o
documenti acquisiti in precedenza, l’esibizione del documento o l’eventuale
annotazione degli estremi sul documento.
La produzione, anche in via
telematica, di una copia del documento di riconoscimento e la sua conservazione
sono giustificate, ha sottolineato il Garante, solo se previste espressamente da
una norma o solo se la banca o l’ufficio postale devono dimostrare di aver
identificato l’interessato relativamente ad alcune particolari operazioni (ad es.,
un cliente sconosciuto che presenta un assegno) con modalità più accurate.
Va ricordato che
l’identificazione è spesso prevista da norme oppure è necessaria per eseguire
gli obblighi del contratto e non richiede quindi il consenso dell’interessato.
Il Garante ha richiamato
infine l’attenzione sulla necessità di adottare opportune cautele affinchè si
evitino inutili letture dei dati che permettano l’ascolto da parte di soggetti
estranei, assicurando sempre l’opportuno riserbo nelle operazioni di sportello.
"La necessità del rispetto
del cittadino che consegna propri documenti a istituti bancari e uffici postali
– ha affermato il componente dell’Autorità, Giuseppe Fortunato, relatore del
provvedimento – ha ispirato uno specifico provvedimento del Garante circa le
modalità per l’identificazione dei clienti. Più copie degli stessi documenti,
lettura dei documenti dinanzi ad altri clienti, impiegati che conservano copie
dei documenti senza che ve ne sia necessità, utilizzo ad altri fini dei
documenti raccolti testimoniano spesso la poca consapevolezza del rispetto della
dignità delle persone e, come ha voluto esplicitamente prescrivere il Garante,
non sono modalità permesse".
Quando identificare e
fotocopiare i documenti di riconoscimento dei clienti – 27 ottobre 2005
IL GARANTE PER LA
PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in
presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravallotti,
vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,
componenti, e del dott. Giovanni Buttarelli, segretario generale;
Esaminate le segnalazioni
pervenute in ordine all’identificazione delle persone che effettuano operazioni
bancarie, finanziarie e postali presso istituti bancari e uffici postali, e alle
modalità con cui essa è effettuata;
Vista la normativa
internazionale e comunitaria in materia di protezione dei dati personali e, in
particolare, la direttiva n. 95/46/Ce del 24 ottobre 1995;
VISTA la documentazione in
atti;
VISTE le osservazioni
dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del
regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe
Fortunato;
PREMESSO
1. Alcune segnalazioni e
richieste di parere pervenute all’Autorità riguardano la condotta di taluni
istituti di credito ed uffici postali che, in occasione dell’effettuazione di
operazioni bancarie o postali, identificano il cliente chiedendo l’esibizione di
un documento d’identità, talora anche acquisendone copia.
L’identificazione, come
pure tale acquisizione, comportano un trattamento di dati personali di cui si
chiede di verificare la liceità, la pertinenza e la non eccedenza (art.
11 del Codice).
I casi sottoposti al
Garante sono di diverso tipo ed attengono ad ordinarie operazioni di versamento,
a pagamenti e ad altre disposizioni impartite dalla clientela; in prevalenza,
riguardano pero’ casi di presentazione per il pagamento di assegni o vaglia
postali.
2. In proposito, appare necessario distinguere tra la necessità di identificare
la persona e le modalità con cui cio’ avviene.
L’identificazione di chi
effettua un’operazione è prescritta a volte da una disposizione normativa,
oppure puo’ essere necessaria per eseguire obblighi derivanti dal contratto o
per adempiere a specifiche richieste precontrattuali dell’interessato. Il
consenso non è quindi necessario (art. 24,
comma 1, lett. b), del Codice).
L’interessato deve essere
pero’ edotto della circostanza, almeno al momento in cui si instaura il rapporto
contrattuale, anche nell’ambito di un’informativa di carattere generale fornita
una tantum al cliente.
3. L’interessato va identificato con modalità comunque proporzionate caso per
caso, avendo anche riguardo alla circostanza se l’operazione è effettuata di
persona, oppure on-line.
La banca o l’ufficio
postale ha l’onere di verificare l’identità dell’interessato basandosi su
idonei elementi di valutazione.
Tali elementi possono
basarsi:
a) sulla conoscenza
personale;
b) su atti e documenti acquisiti in precedenza anche all’atto dell’instaurazione
del rapporto;
c) sull’esibizione di un documento di riconoscimento che risulti obiettivamente
necessaria nel caso concreto;
d) nell’eventuale annotazione degli estremi del documento esibito.
La richiesta di produrre,
anche per via telematica, la copia di un documento di riconoscimento, e la sua
conservazione, possono invece ritenersi giustificate solo se:
-
una disposizione
normativa prevede espressamente l’acquisizione e la conservazione temporanea
di tale copia, oppure se -
la banca o l’ufficio
postale deve poter dimostrare di aver identificato l’interessato con modalità
più accurate, stante il particolare contesto od operazioni da svolgere. In
questi ultimi casi puo’ rientrare anche quello del presentatore sconosciuto di
un assegno (o di un vaglia): l’acquisizione del relativo documento è da
ritenersi legittima considerate le responsabilità della banca o dell’ufficio
postale in relazione ai pagamenti che vanno effettuati, con la necessaria
diligenza, solo al creditore (cfr. anche
art. 1189 cod. civ. e artt. 43 e 86 r.d. 21 dicembre 1933, n. 1736; Cass. 3
aprile 1993, n. 4048; Cass. 3 aprile 1992, n. 4087).
In applicazione del
principio della pertinenza e di non eccedenza nel trattamento dei dati occorre
comunque evitare di acquisire più volte copie di documenti già disponibili
agli atti, di non utilizzarle ad altri fini e di assicurare che l’accesso alle
informazioni sia consentito solo nelle indicate ipotesi e solo da chi ne abbia
titolo anche all’interno della banca o dell’ufficio postale. Va comunque
evitata, in ogni fase, anche ogni inutile lettura dei dati con ascolto non
necessario da parte di soggetti estranei, assicurando l’opportuno riserbo nelle
operazioni allo sportello.
Gli istituti bancari e gli
uffici postali devono garantire l’elevata professionalità di quanti, a
qualsiasi titolo, sono autorizzati a richiedere o conservare i documenti esibiti
o acquisiti in copia, con l’onere di assicurare una particolare preparazione in
materia di protezione dei dati personali.
4. Il trattamento dei dati personali raccolti a fini di identificazione è
quindi lecito, pertinente e non eccedente se effettuato nei termini di
proporzionalità sopra riassunti, che trovano riscontro nelle disposizioni
dell’ordinamento che prevedono, in altri contesti, la necessità di conservare
la copia di un documento da esibire solo in casi stabiliti selettivamente (art.
45 d.P.R. 28 dicembre 2000, n. 445, rispetto alle modalità per identificare i
cittadini da parte di organi della pubblica amministrazione e di gestori di
pubblici servizi; art. 6, comma 1, d.l. 27 luglio 2005, n. 144, conv. in l. 31
luglio 2005, n. 155, in materia di contrasto del terrorismo internazionale e in
riferimento all’identificazione di schede elettroniche s.i.m.).
5. La conservazione di tali riproduzioni –anche ai fini dell’applicazione
dell’art. 15 del Codice– deve altresi’ svolgersi nel rispetto delle necessarie
misure di sicurezza conformi a quelle prescritte dal Codice nei singoli casi (artt.
31 ss. e allegato B del Codice), anche al fine di prevenire accessi
fuori dalle ipotesi consentite, e non puo’ inoltre protrarsi oltre il tempo
necessario in rapporto alle finalità perseguite.
Gli istituti bancari e gli
uffici postali sono comunque responsabili rispetto ad ogni comportamento od
omissione indebiti.
TUTTO CIO’ PREMESSO, IL GARANTE:
prescrive ai titolari del
trattamento effettuato presso istituti bancari e postali, ai sensi dell’art.
154, comma 1, lett. c), del Codice, di adottare le misure necessarie al fine di
rendere il trattamento di dati conforme alle disposizioni vigenti.
Roma, 27 ottobre 2005
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli
