Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
"Linee guida per trattamenti dati relativi al rapporto banca-clientela" - 25 ottobre 2007
(G.U. n. 273 del 23 novembre 2007)
Registro delle deliberazioni
Deliberazione n. 53
del 25 ottobre 2007
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. XX, presidente, del dott. XX, vice presidente, del dott. XX e del dott. XX, componenti, e del dott. XX, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), anche in riferimento agli artt. 13, comma 5 e 154, comma 1, lett. h);
ESAMINATE le istanze (segnalazioni, reclami e quesiti) di clienti, associazioni di tutela dei consumatori e banche, pervenute in tema di trattamento di dati personali della clientela nell´ambito di rapporti bancari;
VISTE le pronunce adottate in proposito dall'Autorità anche a seguito di ricorso di interessati;
RITENUTA l'opportunità di definire, in tale contesto, un quadro unitario di misure e di accorgimenti necessari e opportuni in grado di fornire ulteriori orientamenti utili per gli operatori economici e i clienti in ordine alle operazioni di trattamento di dati personali connesse all´attività bancaria, individuando, a tal fine, i comportamenti più appropriati da adottare;
RILEVATA l'esigenza che tale quadro sia riassunto in alcune linee guida, suscettibili di periodico aggiornamento, di cui verrà curata la pubblicità anche attraverso il sito Internet dell'Autorità ();
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. XX;
DELIBERA
1. di adottare le "Linee guida in materia di trattamento di dati personali della clientela in ambito bancario", di cui al documento che è allegato quale parte integrante della presente deliberazione (Allegato 1);
2. ai sensi dell'art. 13, comma 5, lett. c), del Codice che i titolari del trattamento che si rendano cessionari di sportelli bancari possano effettuare l'informativa prevista dal medesimo art. 13 secondo le modalità indicate al punto 3.7. delle allegate "Linee guida", ovvero:
a. mediante pubblicazione nella Gazzetta Ufficiale della Repubblica italiana dell´informativa avente le caratteristiche di cui all'art. 13, commi 1 e 2 del Codice;
b. inoltre, mediante la successiva comunicazione agli interessati, alla prima occasione utile, degli elementi contenuti nello stesso art. 13, commi 1 e 2;
3. ai sensi dell'art. 143, comma 2, del Codice, di trasmettere al Ministero della Giustizia-Ufficio pubblicazione leggi e decreti copia del presente provvedimento, unitamente alle menzionate "Linee guida", per la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Linee guida in materia di trattamento di dati personali della clientela in ambito bancario
(Deliberazione n. 53 del 25 ottobre 2007)
Sommario
1. Premessa
1.1. Scopo delle linee guida
1.2. Ambiti considerati
2. Il rispetto dei princìpi di protezione dei dati personali
2.1. Liceità, pertinenza, trasparenza
2.2. Principio di pertinenza e non eccedenza: dati identificativi della clientela
2.3. Principio di pertinenza e non eccedenza: servizi resi telefonicamente e registrazione del contenuto delle chiamate
2.4. Principio di qualità dei dati e pagamenti mediante la procedura "rapporti interbancari diretti" (Rid)
3. Comunicazione dei dati personali
3.1. Regole di protezione dei dati e c.d. segreto bancario
3.2. Comunicazioni indebite
3.3. Comunicazioni dovute o autorizzate
3.4. Comunicazioni di dati personali alla Centrale d'allarme interbancaria
3.5. Benefondi
3.6. Comunicazione dei dati relativi alla clientela e cessione di sportelli bancari: esonero dall´obbligo di rendere l´informativa
a) presupposti del trattamento: bilanciamento degli interessi
b) esonero dall'obbligo di rendere l'informativa
c) misure appropriate
4. Tutela dei propri diritti da parte della banca
5. Esercizio dei diritti previsti dall´art. 7 del Codice
5.1. Accesso ai dati personali
5.2. Accesso ai dati personali ex art. 7 del Codice e accesso alla documentazione bancaria ai sensi dell'art. 119 del Tub
5.3. Accesso ai dati di defunti (art. 9 del Codice)
5.4. Accesso ai dati personali ex art. 7 del Codice e fallito
1. Premessa
1.1. Scopo delle linee guida. Le presenti linee guida, redatte tenendo conto di segnalazioni, reclami e quesiti pervenuti, nonché di precedenti decisioni adottate dall´Autorità, e suscettibili di periodico aggiornamento, mirano a fornire indicazioni di natura generale in relazione al trattamento di dati personali della clientela effettuato dalle banche al fine di garantire il rispetto dei princìpi in materia di protezione dei dai personali ai sensi del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).
1.2. Ambiti considerati. Le presenti linee guida trovano applicazione, nella misura compatibile con eventuali specificità del settore, anche alla corrispondente attività che, in base alla legge, può essere svolta da operatori postali nell´ambito dei servizi bancari e finanziari.
2. Il rispetto dei princìpi di protezione dei dati personali
2.1. Liceità, pertinenza, trasparenza. I dati personali, sempre che siano pertinenti e non eccedenti, possono essere trattati dalla banca solo per perseguire finalità legittime (quali, ad esempio, quella di dare esecuzione al rapporto contrattuale o soddisfare obblighi derivanti dalla legge) 2, osservando tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali.
Il Codice prescrive, in particolare, che il trattamento avvenga:
2.2. Principio di pertinenza e non eccedenza: dati identificativi della clientela. Il principio di pertinenza dei dati deve essere osservato anche in relazione al trattamento di informazioni finalizzate a identificare i clienti in occasione dell´instaurazione del rapporto contrattuale o in sede di esecuzione di operazioni bancarie (quali, ad esempio, versamenti, pagamenti, altre disposizioni impartite dalla clientela e presentazioni per il pagamento di assegni o vaglia postali).
L´identificazione della clientela –che avviene, di regola, a seguito dell´esibizione di un documento di riconoscimento e, talvolta, anche acquisendone copia fotostatica (specie nei confronti di chi non sia cliente o comunque conosciuto dal personale della banca)– rappresenta un obbligo posto in capo agli istituti di credito da diverse norme e, in particolare, da quelle in materia di riciclaggio 5, nonché da quella secondo cui 6 "le banche, la società Poste italiane Spa, gli intermediari finanziari, le imprese di investimento, gli organismi di investimento collettivo del risparmio, le società di gestione del risparmio, nonché ogni altro operatore finanziario, fatto salvo quanto disposto […] per i soggetti non residenti, sono tenuti a rilevare e a tenere in evidenza i dati identificativi, compreso il codice fiscale, di ogni soggetto che intrattenga con loro qualsiasi rapporto o effettui, per conto proprio ovvero per conto o a nome di terzi, qualsiasi operazione di natura finanziaria ad esclusione di quelle effettuate tramite bollettino di conto corrente postale per un importo unitario inferiore a 1.500 euro".
L´onere di identificare l´interessato ricade sugli istituti di credito anche in caso di presentazione all´incasso di assegni; in tale circostanza possono essere utilizzati, oltre a idonei elementi di valutazione (quali la conoscenza personale o un´eventuale documentazione previamente acquisita, per esempio all´atto dell´instaurazione del rapporto), i dati personali degli interessati contenuti in un documento di riconoscimento la cui esibizione può essere richiesta e i cui estremi possono essere annotati sul titolo medesimo o sulla documentazione interna relativa all´operazione 7.
Per tale trattamento, fatta salva l´osservanza dell´obbligo di informativa (fornita anche una tantum al cliente 8), non è necessario richiedere il consenso dal momento che i dati sono trattati in base a un obbligo di legge o, comunque, per eseguire obblighi derivanti dal contratto o per adempiere a specifiche richieste dell´interessato (art. 24, comma 1, lett. a) e b), del Codice).
2.3. Principio di pertinenza e non eccedenza: servizi resi telefonicamente e registrazione del contenuto delle chiamate. Per particolari ordini e istruzioni della clientela la banca può registrare il contenuto di conversazioni telefoniche intercorse, anche per eventuali profili di prova e di tutela di diritti in caso di controversia. In tal senso provvedono anche specifiche discipline di settore, con particolare riferimento agli ordini di borsa.
Fuori di questi specifici casi può risultare altresì giustificato procedere ad analoghe registrazioni in relazione a concrete esigenze, come ad esempio per servizi di telephone banking.
In tutti questi casi, l´interessato deve essere informato in ordine a tali registrazioni ai sensi dell´art. 13 del Codice, in sede di conclusione del contratto o, al più tardi, all´inizio della prima conversazione telefonica.
Per le registrazioni e gli eventuali dati personali connessi, se conservati, devono essere adottate le misure di sicurezza volte a prevenirne l´accesso, l´alterazione o l´uso non consentito da parte di soggetti non legittimati; il contenuto delle conversazioni, al quale l´interessato può accedere ai sensi dell´art. 7 del Codice (v. infra punto 5.1.), non deve essere conservato per un tempo superiore a quello necessario per conseguire le finalità per le quali la registrazione è stata effettuata 9.
2.4. Principio di qualità dei dati e pagamenti mediante la procedura "rapporti interbancari diretti" (Rid). Nell´eseguire gli ordini di pagamento impartiti dal cliente nell´ambito di rapporti interbancari diretti (c.d. procedura Rid) 10, la banca del debitore/interessato (c.d. banca domiciliataria) deve verificare la completezza e l´esattezza dei dati trattati.
Posto che le informazioni necessarie a eseguire l´operazione (con particolare riferimento alle coordinate bancarie e al conto corrente sul quale effettuare l´addebito) possono essere raccolte presso il debitore anche a cura del creditore (ad esempio, il fornitore di un servizio) 11 e essere inviati successivamente alla banca domiciliataria tramite la banca di quest´ultimo (c.d. banca assuntrice o di allineamento) 12, in tali fasi potrebbero verificarsi errori od omissioni.
È pertanto necessario che, in caso di discordanze o incongruenze nei dati trasmessi, vengano effettuati (a cura della banca domiciliataria o con la cooperazione del creditore) appropriati controlli preventivi, se necessario contattando il cliente prima di dare esecuzione all´ordine, al fine di garantire l´esattezza dei dati trattati e di prevenire l´eventuale addebito su conti diversi da quello individuato dal debitore.
3. Comunicazione dei dati personali
3.1. Regole di protezione dei dati e c.d. segreto bancario. La comunicazione a terzi di dati personali relativi a un cliente è ammessa se lo stesso vi acconsente (art. 23 del Codice) o se ricorre uno dei casi in cui il trattamento può essere effettuato senza il consenso (art. 24 del Codice) 13.
Fuori dei casi di operazioni di comunicazione dei dati strumentali alle prestazioni richieste e ai servizi erogati (per le quali non è necessario ottenere il consenso degli interessati: art. 24, comma 1, lett. b), del Codice), gli istituti di credito e il personale incaricato dell´esecuzione delle operazioni bancarie di volta in volta richieste devono mantenere il riserbo sulle informazioni utilizzate.
3.2. Comunicazioni indebite. La comunicazione indebita di dati a terzi (che comporta gravi conseguenze anche sul piano della responsabilità civile e penale, alla luce degli artt. 15 e 167 del Codice) può avvenire per una pluralità di ragioni. Ciò può avvenire, a titolo meramente esemplificativo e tenendo in considerazione le tipologie di segnalazioni e ricorsi pervenuti all´Autorità, nei seguenti casi:
3.3. Comunicazioni dovute o autorizzate. In numerosi casi è possibile comunicare dati relativi alla clientela senza violare le rilevanti disposizioni in materia di protezione dei dati personali; altre comunicazioni sono anzi doverose in quanto richieste dalla legge. A titolo meramente esemplificativo possono menzionarsi i casi di:
Possono, poi, formare oggetto di comunicazione ai gestori di sistemi (privati) di informazione creditizie, in conformità alla deliberazione del Garante n. 9 del 16 novembre 2004 30, i dati personali (di contenuto "negativo") necessari per effettuare i trattamenti in conformità al "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilità e puntualità nei pagamenti" 31, se preceduti dal preavviso previsto (art. 4, comma 7, del codice di deontologia medesimo) 32.
Possono essere altresì comunicate lecitamente al soggetto garante alcune informazioni personali relative al debitore garantito, nella misura in cui le medesime siano pertinenti rispetto al rapporto di garanzia in essere 33.
3.4. Comunicazioni di dati personali alla Centrale d´allarme interbancaria. L´art. 36 del decreto legislativo n. 507/1999 concernente la depenalizzazione di alcuni reati minori, che ha introdotto nella legge 15 novembre 1990, n. 386 il nuovo art. 10-bis, ha previsto l´istituzione di un archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (la c.d. Centrale d´allarme interbancaria, di seguito Cai), la cui disciplina di dettaglio è contenuta nel d.m. 7 novembre 2001, n. 458 34 e nel regolamento del Governatore della Banca d´Italia del 29 gennaio 2002 35.
Dall´esame delle fattispecie presentate al Garante, anche a seguito dell´esercizio dei diritti previsti dall´art. 7 del Codice (nei confronti sia degli intermediari segnalanti, sia della Banca d´Italia, in qualità di titolari del trattamento) 36, emerge la necessità che gli enti segnalanti prestino la massima cautela nell´accertare l´esattezza e la completezza dei dati personali trattati prima di procedere alla segnalazione (art. 3, comma 2, d.m. n. 458/2001). Ciò, al fine di prevenire l´inserimento nella Cai di nominativi di vittime di furto d´identità (e, comunque, provvedendo con tempestività alle necessarie verifiche e alle eventuali cancellazioni, anche a seguito dell´esercizio del diritto d´accesso da parte dell´interessato) 37, come pure di soggetti che, pur avendo comunicato correttamente alla banca il furto o lo smarrimento di assegni (che devono formare oggetto di successiva e tempestiva segnalazione a cura degli enti segnalanti nel segmento "Pass" della Cai), vengano segnalati in tale archivio a seguito di un´abusiva negoziazione dei medesimi titoli (ad esempio, per mancanza di provvista o per emissione degli assegni in difetto di autorizzazione) 38.
Gli enti segnalanti, oltre a dover effettuare le operazioni di trattamento in modo lecito (osservando quindi anche la disciplina di settore che regola il complessivo funzionamento dell´archivio), devono comportarsi secondo correttezza (art. 11, comma 1, lett. a), del Codice) 39.
La segnalazione è lecita anche in caso di "richiamo" dell´assegno da parte della banca negoziatrice atteso che, nel caso di assegni emessi senza autorizzazione, l´illecito si perfeziona all´atto dell´emissione e, nel caso di assegni emessi senza provvista, al momento della presentazione al pagamento 40.
Limitatamente ai casi di mancato pagamento di un assegno per difetto di provvista (art. 9-bis legge n. 386/1990) 41, la segnalazione alla Cai non può essere effettuata se il debitore pone tempestivamente in essere i comportamenti analiticamente indicati all´art. 8 della legge n. 386/1990 42. Nel caso in esame, inoltre, l´iscrizione del traente nella Cai non può avvenire se la banca segnalante non ha inviato preventivamente un preavviso di revoca (ai sensi dell´art. 9-bis della legge n. 386/1990), dal ricevimento del quale devono decorrere almeno dieci giorni prima di provvedere all´iscrizione medesima.
Tali presupposti non ricorrono, invece, per quanto riguarda le revoche delle carte di pagamento nella Cai: alla luce della vigente disciplina, infatti, nessuno specifico rilievo è assegnato alla circostanza che l´obbligazione pecuniaria nascente dall´utilizzo di una carta di pagamento sia stata o meno successivamente adempiuta 43.
Le banche sono altresì tenute a segnalare nella Cai i casi di revoca delle carte di pagamento utilizzate per l´acquisto di materiale pedopornografico sulla rete Internet o su altre reti di comunicazioni 44.
3.5. Benefondi. Il c.d. benefondi fa riferimento a una prassi interbancaria che prevede, nell´ambito della negoziazione di assegni tra banche per la realizzazione del credito portato dal titolo, la comunicazione dell´esistenza di una provvista sufficiente in relazione al pagamento di assegni da addebitare sul conto corrente del traente 45. Le informazioni possono essere fornite dagli istituti di credito nel rispetto dei princìpi generali che la legge prevede per tutti i trattamenti di dati personali svolti dalle banche e secondo le indicazioni riportate nei modelli di informativa distribuiti alla clientela, nei quali può rientrare anche questo tipo di comunicazione alla banca mandataria per l´incasso.
La prassi del benefondi, tuttavia, deve trovare corretta attuazione: le informazioni devono essere fornite ai soli soggetti legittimati all´incasso o alla negoziazione dell´assegno, anziché a terzi non autorizzati; inoltre, le informazioni fornite dalla banca devono essere esatte, aggiornate e non eccedenti rispetto allo scopo per il quale il benefondi è utilizzato, che è relativo alla semplice informazione dell´esistenza o meno sul conto corrente del cliente della banca trattaria dei fondi necessari al pagamento dell´assegno 46.
3.6. Comunicazione dei dati relativi alla clientela e cessione di sportelli bancari: esonero dall´obbligo di rendere l´informativa. Un esame più approfondito, sotto i profili della comunicazione dei dati e dell´informativa da rendere alla clientela, merita la fattispecie della cessione di sportelli bancari: essa implica, di regola, limitatamente agli sportelli ceduti, il trasferimento dell´intero compendio di beni, rapporti giuridici attivi e passivi, oltre che dei rapporti contrattuali esistenti a favore della banca cessionaria.
In tale contesto sussistono, come analiticamente indicato di seguito, i presupposti per l´esonero dall´obbligo di rendere l´informativa per la banca cessionaria, la quale potrà pertanto utilizzare modalità più snelle per rendere edotta la clientela in ordine al trattamento dei dati personali correlato alla cessione degli sportelli;
a) presupposti del trattamento: bilanciamento degli interessi. La cessione di sportelli bancari, infatti, non esaurisce i propri effetti sul solo piano negoziale, ma determina in pari tempo la comunicazione di dati personali (riferibili, ad esempio, alla clientela, a fornitori, o connessi all´esecuzione del rapporto di lavoro del personale dipendente) dalla banca cedente alla cessionaria, con conseguente applicazione del Codice.
In relazione a tali operazioni la banca cedente (titolare del trattamento) non provvede, di regola, ad acquisire il consenso degli interessati; deve pertanto verificarsi se sussista un altro fondamento per porre in essere la comunicazione.
Come è noto, la cessione di innumerevoli rapporti attivi e passivi in corrispondenza del mutamento del centro di imputazione soggettiva dei medesimi (dalla banca cedente a quella cessionaria) trova una disciplina apposita e articolata nell´art. 58 del menzionato Tub, della quale è necessario tener conto in ragione dei riflessi che la stessa può spiegare rispetto ai profili di protezione dei dati personali 47.
Detta disciplina, infatti, introduce modalità atte ad agevolare, snellendone gli adempimenti, la cessione in blocco di rapporti giuridici, riducendone i costi e preservando in pari tempo i legittimi interessi dei soggetti coinvolti, a vario titolo, nella cessione 48.
Il favor che l´ordinamento riserva alle cessioni "in blocco" di rapporti giuridici in materia bancaria spiega effetti anche sul profilo accessorio della comunicazione dei dati personali che le medesime implicano. Stante la peculiare disciplina approntata dall´ordinamento all´art. 58 del Tub e attesa la natura dei dati trattati (di regola anagrafici o relativi a transazioni di natura economica), i diritti e il legittimo interesse dei soggetti ceduti in ordine al trattamento dei dati che li riguardano non risultano nel caso di specie prevalenti rispetto al legittimo interesse alla comunicazione della banca cedente. Ciò, anche in ragione dell´immutata finalità del trattamento dei dati oggetto della cessione.
Deve quindi ritenersi integrata la fattispecie prevista nell´art. 24, comma 1, lett. g), del Codice sì che, per effetto del presente provvedimento, la comunicazione dei dati personali oggetto della cessione degli sportelli bancari deve ora ritenersi lecita (per le sole finalità sopra menzionate), limitatamente ai dati diversi da quelli sensibili, anche in assenza del consenso degli interessati;
b) esonero dall´obbligo di rendere l´informativa. Rispetto alle ipotesi di cessione di sportelli bancari regolata dall´art. 58 del Tub, il cessionario che raccoglie i dati presso il terzo (banca cedente) è comunque tenuto a rendere, al momento della registrazione dei dati, ai soggetti ceduti l´informativa sul trattamento (art. 13, comma 4, del Codice).
L´informativa, se resa singolarmente a ciascun interessato con la tempistica richiesta dal menzionato art. 13, comma 4 (stante l´elevato numero di soggetti ceduti nelle menzionate operazioni), potrebbe risultare impossibile e, comunque, risulta comportare costi e oneri amministrativi manifestamente sproporzionati rispetto al diritto tutelato, anche perché deve essere fornita in un contesto temporale circoscritto a innumerevoli soggetti, individuati ovvero individuabili per relationem grazie alla ricognizione degli sportelli oggetto dell´operazione.
Alla luce di ciò, in via generale e in relazione a ciascuna delle operazioni di cessione di sportelli bancari, il Garante, ai sensi dell´art. 13, comma 5, lett. c), del Codice, dichiara che l´impiego dei mezzi necessari a rendere l´informativa singolarmente a ciascuno degli interessati coinvolti nell´operazione risulta sproporzionato rispetto all´interesse che il precetto contenuto nel menzionato art. 13, comma 4, del Codice intende tutelare.
Per queste ragioni l´informativa può essere quindi resa nelle medesime forme previste, seppur a diverso fine, dall´art. 58 del Tub;
c) misure appropriate. Tuttavia, come già disposto in passato dall´Autorità 49, è necessario che venga assicurata comunque un´adeguata informativa a vantaggio degli interessati. Occorrono, quindi, misure appropriate a cura delle banche cessionarie che siano parte delle operazioni di cessione di sportelli bancari.
Ciò, dovrà essere assicurato mediante la pubblicazione dell´informativa contenente gli elementi previsti dall´art. 13, commi 1 e 2, del Codice sulla Gazzetta Ufficiale della Repubblica italiana, contestualmente alla pubblicazione dell´avviso previsto dal menzionato art. 58.
In applicazione del principio di semplificazione (art. 2 del Codice), i titolari del trattamento non dovranno presentare al Garante una richiesta preventiva di esonero dall´informativa. L´elevato livello di tutela degli interessati (art. 2 cit.) dovrà essere, comunque, garantito adottando anche l´ulteriore misura che risulta appropriata (art. 13, comma 5, lett. c), del Codice), di seguito indicata: i cessionari dovranno in ogni caso fornire direttamente ai soggetti ceduti gli elementi contenuti nell´art. 13, commi 1 e 2, del Codice, alla prima occasione utile successiva all´avvenuta cessione in blocco (ad esempio, in sede di invio dell´estratto conto). Tale modalità aggiuntiva favorisce una maggiore conoscibilità dell´avvenuta raccolta dei dati presso terzi ad opera della cessionaria 50
4. Tutela dei propri diritti da parte della banca
L´istituto di credito può utilizzare in sede giudiziaria informazioni relative ai rapporti intrattenuti con la clientela per tutelare i propri diritti nelle controversie con gli interessati, non assumendo valore ostativo, in questa ipotesi, l´impegno di riservatezza assunto in relazione ai servizi prestati, che non può tradursi in un vincolo tale da produrre effetti lesivi nella sfera giuridica della stessa banca e in un limite all´esigenza di difesa giudiziaria dei propri diritti (cfr., al riguardo, art. 24, comma 1, lett. f), del Codice).
Il cliente non può infatti pretendere dalla banca un comportamento che si risolva in una lesione dei propri interessi giuridicamente rilevanti e del proprio diritto di difesa.
Tuttavia, i dati che possono essere prodotti in giudizio devono essere solo quelli pertinenti all´esigenza di far valere o difendere un diritto dell´istituto di credito; si deve evitare, ad esempio, l´ingiustificata produzione di interi tabulati (ad es., interi estratti conto) contenenti dati personali (a volte anche riferiti a terzi) non rilevanti per le citate finalità di difesa 51.
5. Esercizio dei diritti previsti dall´art. 7 del Codice
5.1. Accesso ai dati. L´art. 7 del Codice obbliga la banca (in qualità di titolare del trattamento) a fornire idoneo riscontro alle richieste di accesso avanzate dagli interessati con riferimento ai dati personali che li riguardano 52.
Tra questi devono essere annoverate anche tutte le informazioni personali relative alle operazioni effettuate dagli interessati, nonché quelle relative alle registrazioni telefoniche degli ordini di negoziazione dagli stessi impartiti 53, come pure le informazioni di carattere personale, eventualmente raccolte dalla banca nell´eseguire ordini di investimento della clientela e idonee a manifestarne obiettivi e propensione al rischio.
L´istanza presentata ai sensi degli artt. 7 e 8 del Codice comporta l´obbligo per la banca di estrapolare dai propri archivi e dai documenti effettivamente conservati i dati personali relativi all´interessato oggetto della richiesta, e di comunicarli allo stesso in modo intelligibile nei modi di cui all´art. 10 del Codice, fornendo se necessario i criteri e i parametri per la comprensione del significato di eventuali codici associati alle informazioni riferite all´interessato medesimo (art. 10, comma 6, del Codice) 54.
In particolare, nel caso in cui l´estrazione dei dati risulti particolarmente difficoltosa, la banca può fornire riscontro alla richiesta dell´interessato anche "attraverso l´esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti" (art. 10, comma 4, del Codice) 55, ancorché la disciplina di protezione dei dati non preveda l´obbligo per il titolare del trattamento di esibire o di allegare copia di ogni singolo documento contenente i dati personali dell´interessato 56.
Il diritto di ottenere la comunicazione in forma intelligibile dei dati non riguarda dati personali relativi a terzi; tali dati, quindi, nel caso di consegna di copia di documentazione che li contenga, debbono essere oscurati 57.
L´esercizio da parte dell´interessato del diritto di accesso ai dati personali che lo riguardano e degli altri diritti previsti dall´art. 7 del Codice è gratuito, salva la previsione contenuta nell´art. 10, commi 7 e 8, del Codice che prevede la possibilità di chiedere all´interessato un contributo spese quando "si determina un notevole impiego di mezzi in relazione alla complessità o all´entità della richiesta" (art. 10, comma 8, del Codice).
5.2. Accesso ai dati personali ex art. 7 del Codice e accesso alla documentazione bancaria ai sensi dell´art. 119 Tub. Il diritto di accedere ai dati personali previsto dall´art. 7 del Codice deve essere distinto dal diritto di accesso alla documentazione bancaria previsto dall´art. 119 del Tub 58.
Va al riguardo considerato che quest´ultimo, a differenza di quanto previsto dagli artt. 7 ss. del Codice, riconosce al cliente, a colui che gli succede a qualunque titolo e a chi subentra nell´amministrazione dei suoi beni, il diritto di ottenere copia di atti o documenti bancari (sia che essi contengano dati personali relativi all´interessato, sia nel caso in cui ciò non accada) 59.
Tale diritto non prevede limitazioni rispetto all´ostensibilità delle informazioni contenute nella documentazione richiesta (ivi compresi dati personali relativi a terzi che dovessero esservi contenuti), neanche nelle forme di un parziale oscuramento delle informazioni stesse; il suo esercizio prevede il pagamento delle spese a carico del cliente.
5.3. Accesso ai dati di defunti (art. 9 del Codice). La disciplina in materia di protezione dei dati personali prevede che il diritto di accesso ai dati riferiti a persone decedute possa essere esercitato "da chi ha un interesse proprio, o agisce a tutela dell´interessato o per ragioni familiari meritevoli di protezione" (art. 9, comma 3, del Codice) legittimando i soggetti che si trovino in tali condizioni ad esercitare tale diritto in rapporto a dati personali (inclusi rapporti bancari e finanziari) riferibili al defunto.
L´istituto di credito è quindi tenuto a comunicare ai soggetti indicati al menzionato art. 9, comma 3, in modo chiaro e comprensibile informazioni riguardanti la consistenza patrimoniale del defunto, le movimentazioni bancarie, i saldi riferiti ai depositi "al portatore", anche se estinti da terzi successivamente al decesso, nonché la data in cui è stata disposta l´estinzione del conto o il trasferimento del saldo ad altro conto.
Non possono, invece, formare oggetto di comunicazione ai sensi degli artt. 7 e 9, comma 3, del Codice informazioni che siano dati personali riferibili non all´interessato, ma a terzi 60. Ad esempio, non è conoscibile in base alle norme appena richiamate il nominativo del percettore del saldo di deposito, pur intestato al de cuius, in quanto tale informazione riguarda non il cliente deceduto, ma un terzo 61; ciò, salvo che ricorra un´ipotesi di cointestazione con il defunto 62. In base, poi, a tale disciplina non può essere accolta la differente richiesta di accesso a dati personali trattati da una banca e riferiti ad una persona deceduta, se volta a conoscere specificamente e direttamente l´identità della persona delegata dal defunto ad effettuare determinate operazioni bancarie 63.
5.4. Accesso ai dati personali ex art. 7 del Codice e fallito. Il diritto d´accesso previsto dall´art. 7 del Codice può essere esercitato dal fallito il quale, per effetto del fallimento, è privato esclusivamente dell´amministrazione e della disponibilità dei suoi beni. A tale proposito, l´amministrazione del patrimonio fallimentare, rimessa al curatore, non riguarda i diritti di natura strettamente personale esercitabili senza autorizzazione o sostituzione del curatore 64.
1 Allo stato, in base al d.P.R. 14 marzo 2001, n. 144 (Regolamento recante norme sui servizi di bancoposta), adottato in attuazione della delega contenuta nell´art. 40 della l. 23 dicembre 1998, n. 448.
2 Così, al fine di elevare il grado di sicurezza di beni e persone (segnatamente, del personale dipendente degli istituti di credito e della clientela), le banche possono effettuare trattamenti di dati personali della clientela, nella forma della rilevazione di impronte digitali e di immagini, nei limiti e in conformità alle misure e agli accorgimenti stabiliti nel Provv. 27 ottobre 2005, in www.garanteprivacy.it, doc. web n. 1246675 (pubblicato in G.U. 22 marzo 2006, n. 68).
3 Cfr. Provv. 8 marzo 2007, doc. web n. 1390872, relativo all´accesso per finalità personali (e non istituzionali) da parte di un funzionario di banca alla Centrale dei rischi della Banca d´Italia e al sistema centralizzato di rilevazione dei rischi di importo contenuto.
4 In merito, vigente la l. n. 675/1996, l´Autorità (anche a seguito del Provv. 28 maggio 1997, doc. web n. 40425) si era espressa in termini generali in ordine al rispetto della disciplina relativa all´informativa da rendere alla clientela e alle modalità per raccogliere, ove necessario, il consenso degli interessati: cfr. Newsletter 10 maggio 1999.
5 Allo stato, v. art. 2 d.l. 3 maggio 1991, n. 143 (Provvedimenti urgenti per limitare l´uso del contante e dei titoli al portatore nelle transazioni e prevenire l´utilizzazione del sistema finanziario a scopo di riciclaggio), convertito con modificazioni dalla l. 5 luglio 1991, n. 197 e successivamente modificato dal d.lg. 26 maggio 1997, n. 153. In merito v. pure Comitato di Basilea per la vigilanza bancaria (Dovere di diligenza delle banche nell´identificazione della clientela), ottobre 2001.
6 Art. 7, comma 6, del d.P.R. 29 settembre 1973, n. 605, come sostituito, a far data dal 1° gennaio 2006, dal comma 332 dell´art. 1 l. 30 dicembre 2004, n. 311 e, infine, così modificato dal d.l. 30 settembre 2005, n. 203.
7 Cfr. Provv. 27 ottobre 2005, doc. web n. 1189435, relativo all´identificazione della clientela.
8 Provv. 28 maggio 1997, doc. web n. 40425, in materia di informativa e consenso della clientela nell´ambito dei servizi bancari.
9 In merito v. le prescrizioni contenute nel regolamento Consob 1° luglio 1998 n. 11522 (Regolamento di attuazione del decreto legislativo 24 febbraio 1998, n. 58, concernente la disciplina degli intermediari), con particolare riguardo all´art. 69.
10 In particolare, la prassi conosce tre tipologie di tale procedura corrispondenti a diverse esigenze commerciali: Rid utenze, Rid commerciale e Rid veloce. In merito cfr. circolare Abi n. 45, serie tecnica O del 6 giugno 1983; v. altresì le circolari Abi Prot. SP6014 del 22 dicembre 2004; prot. SP1453 del 29 marzo 2005; prot. SP/003076 del 17 giugno 2005.
11 Cfr. circolari cit.
12 Nel Rid utenze si consente al debitore che vuole avvalersi della procedura per il pagamento del servizio reso da una società di ricevere da quest´ultima il modulo di autorizzazione permanente all´addebito in conto corrente, consegnandolo poi alla banca presso la quale intrattiene il rapporto di conto corrente, ovvero al medesimo creditore; in quest´ultimo caso è essenziale che i moduli riportino "la indicazione degli estremi completi dell´azienda di credito presso la quale è intrattenuto il conto da addebitare (intestazione e numero filiale, numero dell´agenzia, indirizzo)": cfr. punto 2.2.1 della menzionata circolare Abi del 6 giugno 1983.
13 Ciò, è in armonia con il cd. segreto bancario che si sostanzia nel dovere della banca di mantenere il riserbo in ordine alle notizie riguardanti i clienti nell´esercizio dell´attività bancaria, rispetto alle quali sussiste un interesse, meritevole di tutela, a che non siano divulgate o comunicate a terzi. Peraltro, come è noto, la Corte costituzionale (sentenza 18 febbraio 1992, n. 51) ha precisato che la tutela del cd. segreto bancario, talora desunto dalla clausola generale di correttezza e di buona fede tra banca e cliente (artt. 1175 e 1375 c.c.), non può spingersi "fino al punto di fare di questo ultimo un ostacolo all´adempimento di doveri inderogabili di solidarietà, prima fra tutti quella di concorrere alle spese pubbliche in ragione della propria capacità contributiva (art. 53 della Costituzione), ovvero fino al punto di farne derivare il benché minimo intralcio all´attuazione di esigenze costituzionali primarie, come quelle connesse all´amministrazione della giustizia e, in particolare, alla persecuzione dei reati". V. altresì Provv. 23 maggio 2001, doc. web n. 39821.
14 V. pure art. 1 del codice di comportamento del settore bancario e finanziario adottato dall´Abi.
15 Cfr. Provv. 6 febbraio 2001, doc. web n. 40879.
16 Cfr. Provv. 17 settembre 2002, doc. web n. 1066132.
17 Tale è il caso in cui il dipendente aveva divulgato dati su rapporti di conto corrente e di deposito titoli ad un legale esterno il quale, a sua volta, li aveva utilizzati in una controversia tra il cliente e un terzo (si trattava, in concreto, di una controversia relativa all´aumento dell´assegno di divorzio): Provv. 23 maggio 2001, doc. web n. 39821.
18 Cfr. Provv. 8 marzo 2007, doc. web n. 1390910.
19 Cfr. con particolare riguardo allo svolgimento dell´attività di e-banking, il Provv. 11 novembre 2002, doc. web n. 1067296.
20 Cfr. l. 5 luglio 1991, n. 197, con particolare riferimento all´art. 3, comma 7; si prendano pure in considerazione i successivi decreti ministeriali attuativi del 19 dicembre 1991, 26 giugno 1992, 7 luglio 1992 e 7 agosto 1992.
21 Già nelle "Indicazioni operative per la segnalazione di operazioni sospette" (c.d. "Decalogo"), impartite dalla Banca d´Italia il 12 gennaio 2001 ai sensi dell´art. 3 bis, comma 4, l. 5 luglio 1991, n. 197, punto 2.1. (c.d. know your customer rule), si precisava che "il dato oggettivo va integrato con le informazioni sul cliente in possesso dell´intermediario, nel valutare la coerenza e la compatibilità dell´operazione con il profilo economico-finanziario che deve essere dichiarato dal cliente medesimo; particolare attenzione è richiesta qualora risulti che il cliente non svolge attività con rilievo economico. Ingiustificate incongruenze rispetto alle caratteristiche soggettive del cliente e alla sua normale operatività -sia sotto il profilo quantitativo, sia sotto quello degli schemi contrattuali utilizzati- richiedono l´attivazione della procedura di segnalazione" […] "Gli accertamenti bancari e gli ulteriori provvedimenti disposti dall´autorità giudiziaria (misure di prevenzione, rinvii a giudizio, ecc.) sono utilizzati per la valutazione sulla qualità dei clienti così come le notizie di stampa, specie se relative a operazioni finanziarie internazionali irregolari, le comunicazioni pubblicate nella Gazzetta Ufficiale e tutte le altre informazioni desumibili sulla piazza".
22 V., allo stato, il Provv. del 9 novembre 2001 dell´Ufficio italiano dei cambi (Istruzioni in materia di contrasto finanziario al terrorismo), pubblicato sulla G.U. 15 novembre 2001, n. 266; v. anche, in particolare, l´art. 10, d.lg. 22 giugno 2007, n. 109, recante Misure per prevenire, contrastare e reprimere il finanziamento del terrorismo e l´attività dei Paesi che minacciano la pace e la sicurezza internazionale, in attuazione della direttiva 2005/60/Ce, in G.U. 26 luglio 2007, n. 172 (disciplina che, tra l´altro, ha abrogato le previgenti pertinenti disposizioni del d.l. 12 ottobre 2001, n. 369, recante "Misure urgenti per reprimere e contrastare il finanziamento del terrorismo internazionale").
23 Cfr. art. 14-quinquies, comma 2, della l. 3 agosto 1998, n. 296 come novellata dall´art. 19 l. 6 febbraio 2006, n. 38, recante Disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet.
24 Cfr., ad esempio, art. 7, comma 6, d.P.R. 29 settembre 1973, n. 605 (Disposizioni relative all´anagrafe tributaria e al codice fiscale dei contribuenti) e art. 1, comma 3, d.l. 28 giugno 1990 n. 167 (Rilevazione a fini fiscali di taluni trasferimenti da e per l´estero di denaro, titoli e valori), in G.U. 30 giugno 1990, n. 151 (e convertito in legge, con modificazioni, dall´art. 1, comma 1, l. 4 agosto 1990, n. 227).
25 Detta "anagrafe" è stata a suo tempo prevista dall´art. 20, comma 4, della l. 30 dicembre 1991, n. 413 e successivamente regolata con il d.m. 4 agosto 2000, n. 269; v. ora d.l. 4 luglio 2006, n. 223, conv., con mod., dalla legge 4 agosto 2006, n. 248); Provv. Agenzia delle entrate del 19 gennaio 2007 "Modalità e termini di comunicazione dei dati all´Anagrafe Tributaria da parte degli operatori finanziari di cui all´art. 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e successive modificazioni".
26 Cfr. del. Cicr 29 marzo 1994; Provv. Banca d´Italia 10 agosto 1995; Circ. Banca d´Italia 11 febbraio 1991, n. 139 e successivi aggiornamenti.
27 V., in particolare, la del. Cicr 3 maggio 1999 (Istituzione di un archivio accentrato per la rilevazione dei rischi di importo contenuto) e le Istruzioni della Banca d´Italia (Sistema centralizzato di rilevazione dei rischi di importo contenuto), in G.U. 21 novembre 2000, n. 272.
28 Cfr. Cass. 7 agosto 1990, n. 7953; Cass. 27 settembre 2001, n. 12093; Corte app. Milano, 22 luglio 1997, in Giust. civ. 1998, I, 246.
29 L´art. 547 c.p.c. (come modificato dall´art. 12, l. n. 52/2006) dispone che il terzo pignorato (nel caso in esame, la banca) debba "specificare di quali cose o di quali somme è debitore o si trova in possesso", dandone comunicazione al creditore procedente in conformità alla previsione contenuta nell´art. 543, comma 2, n. 4 c.p.c.
30 Del. 16 novembre 2004, n. 9 (Bilanciamento di interessi), in G.U. 23 dicembre 2004, n. 300 e doc. web n. 1070779.
31 V. Del. 16 novembre 2004, n. 8, in G.U. 23 dicembre 2004, n. 300, come modificato dall´errata corrige pubblicata in G.U. 9 marzo 2005, n. 56 e doc. web n. 1070713.
32 In tal senso v. Provv. 1° febbraio 2007, doc. web n. 1388576; Provv. 18 gennaio 2007, doc. web n. 1386384; Provv. 21 dicembre 2006, doc. web n. 1381657; Provv. 21 dicembre 2006, doc. web n. 1378189; Provv. 7 dicembre 2006, doc. web n. 1375058; Provv. 7 dicembre 2006, doc. web n. 1375085; Provv. 7 dicembre 2006, doc. web n. 1375133; Provv. 7 dicembre 2006, doc. web n. 1375150; Provv. 20 aprile 2006, doc. web n. 1289957.
33 Cfr. Provv. 8 ottobre 2003, doc. web n. 1132740.
34 Regolamento sul funzionamento dell´archivio informatizzato degli assegni bancari e postali e delle carte di pagamento, pubblicato nella G.U. 4 gennaio 2002, n. 3.
35 Relativo al "Funzionamento dell´archivio informatizzato degli assegni bancari e postali e delle carte di pagamento", pubblicato in G.U. 1° febbraio 2002, n. 27 e successive modificazioni.
36 Cfr. art. 11 d.m. n. 458/2001 e art. 13 del regolamento della Banca d´Italia che (in conformità ai princìpi contenuti nell´art. 7 del Codice) prevede che l´interessato possa accedere "ai dati contenuti nell´archivio che lo riguardano tramite gli enti segnalanti privati o tramite le filiali della Banca d´Italia".
37 Cfr. Provv. 25 gennaio 2007, doc. web n. 1387164, in relazione all´inserimento nella Cai di dati personali, solo in parte veritieri, connessi all´emissione di una carta di pagamento non richiesta, né ricevuta dall´interessato.
38 V. in merito Provv. 21 dicembre 2006, doc. web n. 1378399 (e, in ordine alla medesima vicenda, il successivo Provv. 22 febbraio 2007, doc. web n. 1391891).
39 Tenendo in considerazione le circostanze del tutto particolari che in concreto si erano presentate il Garante ha disposto la cancellazione dei dati dall´archivio Cai con Provv. 27 settembre 2004, doc. web n. 1069074.
40 Provv. 15 febbraio 2005, doc. web n. 1148524, che richiama in tal senso le Istruzioni della Banca d´Italia del 21 novembre 2002 e dell´11 luglio 2003.
41 Provv. 17 marzo 2005, doc. web n. 1152149.
42 In particolare il debitore, entro sessanta giorni dalla data di scadenza del termine di presentazione del titolo (dall´art. 9-bis, l. n. 386/1990), deve provvedere tempestivamente al pagamento dell´assegno, degli interessi, della penale e delle eventuali spese per il protesto o per la constatazione equivalente e documentare, altresì, l´avvenuto pagamento nelle forme puntualmente previste dal menzionato art. 8: cfr. in merito Provv. 22 febbraio 2007, doc. web n. 1391942; Provv. 26 luglio 2005, doc. web n. 1157986; Provv. 3 marzo 2005, doc. web n. 1149190; sulla tempestività delle attività rimesse al debitore cfr. Provv. 26 ottobre 2006, doc. web n. 1367653.
43 Provv. 19 ottobre 2005, doc. web n. 1192373; Provv. 4 ottobre 2004, doc. web n. 1102353; v. ora, d.m. 30 aprile 2007, n. 112 di attuazione della legge 17 agosto 2005, n. 166, recante "Istituzioni di un sistema di prevenzione delle frodi sulle carte di pagamento".
44 Cfr. art. 14-quinquies, commi 5 e 6, l. n. 296/1998, cit.
45 In ordine a tale prassi la disciplina in materia di protezione dei dati personali non prevede alcun divieto: cfr. Parere del 30 novembre 1998 (in Bollettino n. 6, p. 85 e) doc. web n. 39416. In ordine alla legittimità del c.d. benefondi v. pure Cass., 27 novembre 2003, n. 18118; Cass. 10 marzo 2000, n. 2742.
46 Cfr. Cass. 6 giugno 2003, n. 9103; Cass. 7 febbraio 1979, n. 820.
47 Banca d´Italia, Istruzioni di vigilanza per le banche, tit. III, cap. 5, assume che nella dizione "ramo di azienda", utilizzata dall´art. 58 Tub, possano comprendersi "le succursali e, in genere, ogni insieme omogeneo di attività operative, a cui siano riferibili rapporti contrattuali e di lavoro dipendente nell´ambito di una specifica struttura organizzativa".
48 Ciò, è stato reso possibile con la previsione di modalità semplificate per notificare la cessione, consentendo comunque al contraente ceduto di recedere entro tre mesi (dall´avvenuta cessione) dal contratto in presenza di giusta causa (analogamente alla disciplina relativa alla cessione d´azienda di cui all´art. 2558 c.c. e distaccandosi, invece, dai princìpi di diritto comune relativi alla cessione del contratto di cui all´art. 1406 c.c.).
49 In materia di cessione in blocco e cartolarizzazione dei crediti: Provv. 18 gennaio 2007, doc. web n. 1392461.
50 Analoga prescrizione è stata impartita dalla Banca d´Italia, seppure a diverso fine, in relazione alle operazioni di cessione in blocco di rapporti giuridici ai sensi dell´art. 58 del Tub: cfr. Banca d´Italia, Istruzioni di vigilanza per le banche, tit. III, cap. 5, sez. II.
51 Restano comunque ferme, ai sensi dell´art. 160, comma 6, del Codice, le autonome determinazioni che l´autorità giudiziaria riterrà di adottare in ordine all´efficacia e all´utilizzabilità di atti e documenti nel procedimento giudiziario.
52 A tal proposito si vedano altresì le indicazioni già fornite in termini generali dal Garante con le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (Del. n. 53 del 23 novembre 2006), punto 9.
53 Cfr. Provv. 23 luglio 2004, doc. web n. 1099411; v. pure, in relazione all´accesso a registrazioni di conversazioni aventi ad oggetto l´acquisto di pacchetti azionari, Provv. 19 giugno 2002, doc. web n. 1065269; v. pure Provv. 19 maggio 2005 , doc. web n. 1151188.
54 Cfr. Provv. 12 marzo 2004, doc. web n. 1090100.
55 Cfr. tra gli altri Provv. 29 ottobre 2003, doc. web n. 1144061; Provv. 13 luglio 2006, doc. web n. 1321296; Provv. 20 dicembre 2006, doc. web n. 1376382; Provv. 16 marzo 2007, doc. web n. 1399446.
56 Provv. 13 luglio 2006, doc. web n. 1320699; Provv. 23 marzo 2006, doc. web n. 1285350.
57 Cfr. Provv. 9 novembre 2006, doc. web n. 1366189; Provv. 10 dicembre 2003, doc. web n. 1053648; Provv. 27 dicembre 2001, doc. web n. 40987.
58 Provv. 20 luglio 2006, doc. web n. 1322844.
59 Provv. 28 settembre 2006, doc. web n. 1349798; Provv. 1° giugno 2005, doc. web n. 1139982; Provv. 1° giugno 2005, doc. web n. 1139991.
60 In tal senso cfr. Provv. 20 maggio 2004, doc. web n. 1098787; Cass., 12 maggio 2006, n. 11004; Circ. n. 229 del 21 aprile 1999, p. 18 e ss.
61 Provv. 27 aprile 2000, doc. web n. 1113611.
62 In tal caso, con Provv. 3 aprile 2002, doc. web n. 1065256, si è affermato che "il diritto di accesso ai dati personali conferisce […] la possibilità di acquisire piena cognizione di tutte le informazioni personali detenute dalla Cassa, permettendo allo stesso di comprendere il loro contenuto, anche attraverso il chiaro richiamo alle generalità dei cointestatari predetti (dati che lo stesso de cuius avrebbe avuto a suo tempo il diritto di conoscere)"; v. pure Provv. 8 ottobre 2003, doc. web n. 1053855.
63 Provv. 13 novembre 2003, doc. web n. 1053654.
64 Per precedenti in materia v. Provv. 9 marzo 2006, doc. web n. 1268821, con richiami ulteriori a Cass., 23 luglio 1994, n. 6873 e Cass. 21 aprile 1997, n. 3400; v. pure artt. 31, 42 e ss. r.d. n. 267/1942, come modificato, allo stato, dal d.lg. 9 gennaio 2006, n. 5.
Fonte: Garante per la Protezione dei dati - Linee guida in materia di trattamento di dati personali della clientela in ambito bancario
LINK: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1457247
Servizio difitale online con modalità ICT di RPD