EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
24/10/2007 Rispetto dei principi di protezione dei dati personali in ambito bancario

LINEE GUIDA: Linee guida in materia di trattamento di dati personali della clientela in ambito bancario

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

"Linee guida per trattamenti dati relativi al rapporto banca-clientela" - 25 ottobre 2007
(G.U. n. 273 del 23 novembre 2007)

Registro delle deliberazioni Deliberazione n. 53 del 25 ottobre 2007

.... (omissis) ...

2. Il rispetto dei princìpi di protezione dei dati personali

2.1. Liceità, pertinenza, trasparenza.

I dati personali, sempre che siano pertinenti e non eccedenti, possono essere trattati dalla banca solo per perseguire finalità legittime (quali, ad esempio, quella di dare esecuzione al rapporto contrattuale o soddisfare obblighi derivanti dalla legge) 2, osservando tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali.

Il Codice prescrive, in particolare, che il trattamento avvenga:

  • solo da parte di incaricati (nonché, se designati, dei responsabili) del trattamento e limitatamente alle istruzioni loro impartite 3;
  • nel rispetto dei princìpi di necessità e di qualità dei dati, con riferimento all´esattezza e all´aggiornamento (artt. 3 e 11);
  • informando preventivamente e adeguatamente gli interessati (art. 13) 4;
  • chiedendo il loro consenso solo quando, tenendo anche conto della natura dei dati, non sia possibile avvalersi di uno dei presupposti equipollenti al consenso (artt. 23, 24, 26 e 43 del Codice);
  • osservando, se si trattano dati sensibili o giudiziari, le prescrizioni contenute nelle autorizzazioni anche di carattere generale rilasciate dal Garante (artt. 26 e 27 del Codice);
  • adottando le misure di sicurezza idonee a prevenire alcuni eventi (in particolare accessi e utilizzazioni indebite), in relazione ai quali la banca può essere chiamata a rispondere anche civilmente e penalmente (artt. 15, 31 ss., 167 e 169 del Codice).

2.2. Principio di pertinenza e non eccedenza: dati identificativi della clientela.

Il principio di pertinenza dei dati deve essere osservato anche in relazione al trattamento di informazioni finalizzate a identificare i clienti in occasione dell´instaurazione del rapporto contrattuale o in sede di esecuzione di operazioni bancarie (quali, ad esempio, versamenti, pagamenti, altre disposizioni impartite dalla clientela e presentazioni per il pagamento di assegni o vaglia postali).

L´identificazione della clientela –che avviene, di regola, a seguito dell´esibizione di un documento di riconoscimento e, talvolta, anche acquisendone copia fotostatica (specie nei confronti di chi non sia cliente o comunque conosciuto dal personale della banca)– rappresenta un obbligo posto in capo agli istituti di credito da diverse norme e, in particolare, da quelle in materia di riciclaggio 5, nonché da quella secondo cui 6 "le banche, la società Poste italiane Spa, gli intermediari finanziari, le imprese di investimento, gli organismi di investimento collettivo del risparmio, le società di gestione del risparmio, nonché ogni altro operatore finanziario, fatto salvo quanto disposto […] per i soggetti non residenti, sono tenuti a rilevare e a tenere in evidenza i dati identificativi, compreso il codice fiscale, di ogni soggetto che intrattenga con loro qualsiasi rapporto o effettui, per conto proprio ovvero per conto o a nome di terzi, qualsiasi operazione di natura finanziaria ad esclusione di quelle effettuate tramite bollettino di conto corrente postale per un importo unitario inferiore a 1.500 euro".

L´onere di identificare l´interessato ricade sugli istituti di credito anche in caso di presentazione all´incasso di assegni; in tale circostanza possono essere utilizzati, oltre a idonei elementi di valutazione (quali la conoscenza personale o un´eventuale documentazione previamente acquisita, per esempio all´atto dell´instaurazione del rapporto), i dati personali degli interessati contenuti in un documento di riconoscimento la cui esibizione può essere richiesta e i cui estremi possono essere annotati sul titolo medesimo o sulla documentazione interna relativa all´operazione 7.

Per tale trattamento, fatta salva l´osservanza dell´obbligo di informativa (fornita anche una tantum al cliente 8), non è necessario richiedere il consenso dal momento che i dati sono trattati in base a un obbligo di legge o, comunque, per eseguire obblighi derivanti dal contratto o per adempiere a specifiche richieste dell´interessato (art. 24, comma 1, lett. a) e b), del Codice).

2.3. Principio di pertinenza e non eccedenza: servizi resi telefonicamente e registrazione del contenuto delle chiamate.

Per particolari ordini e istruzioni della clientela la banca può registrare il contenuto di conversazioni telefoniche intercorse, anche per eventuali profili di prova e di tutela di diritti in caso di controversia. In tal senso provvedono anche specifiche discipline di settore, con particolare riferimento agli ordini di borsa.

Fuori di questi specifici casi può risultare altresì giustificato procedere ad analoghe registrazioni in relazione a concrete esigenze, come ad esempio per servizi di telephone banking.

In tutti questi casi, l´interessato deve essere informato in ordine a tali registrazioni ai sensi dell´art. 13 del Codice, in sede di conclusione del contratto o, al più tardi, all´inizio della prima conversazione telefonica.

Per le registrazioni e gli eventuali dati personali connessi, se conservati, devono essere adottate le misure di sicurezza volte a prevenirne l´accesso, l´alterazione o l´uso non consentito da parte di soggetti non legittimati; il contenuto delle conversazioni, al quale l´interessato può accedere ai sensi dell´art. 7 del Codice (v. infra punto 5.1.), non deve essere conservato per un tempo superiore a quello necessario per conseguire le finalità per le quali la registrazione è stata effettuata 9.

2.4. Principio di qualità dei dati e pagamenti mediante la procedura "rapporti interbancari diretti" (Rid).

Nell´eseguire gli ordini di pagamento impartiti dal cliente nell´ambito di rapporti interbancari diretti (c.d. procedura Rid) 10, la banca del debitore/interessato (c.d. banca domiciliataria) deve verificare la completezza e l´esattezza dei dati trattati.

Posto che le informazioni necessarie a eseguire l´operazione (con particolare riferimento alle coordinate bancarie e al conto corrente sul quale effettuare l´addebito) possono essere raccolte presso il debitore anche a cura del creditore (ad esempio, il fornitore di un servizio) 11 e essere inviati successivamente alla banca domiciliataria tramite la banca di quest´ultimo (c.d. banca assuntrice o di allineamento) 12, in tali fasi potrebbero verificarsi errori od omissioni.

È pertanto necessario che, in caso di discordanze o incongruenze nei dati trasmessi, vengano effettuati (a cura della banca domiciliataria o con la cooperazione del creditore) appropriati controlli preventivi, se necessario contattando il cliente prima di dare esecuzione all´ordine, al fine di garantire l´esattezza dei dati trattati e di prevenire l´eventuale addebito su conti diversi da quello individuato dal debitore.

.... (omissis) ...

1 Allo stato, in base al d.P.R. 14 marzo 2001, n. 144 (Regolamento recante norme sui servizi di bancoposta), adottato in attuazione della delega contenuta nell´art. 40 della l. 23 dicembre 1998, n. 448.

2 Così, al fine di elevare il grado di sicurezza di beni e persone (segnatamente, del personale dipendente degli istituti di credito e della clientela), le banche possono effettuare trattamenti di dati personali della clientela, nella forma della rilevazione di impronte digitali e di immagini, nei limiti e in conformità alle misure e agli accorgimenti stabiliti nel Provv. 27 ottobre 2005, in www.garanteprivacy.it, doc. web n. 1246675 (pubblicato in G.U. 22 marzo 2006, n. 68).

3 Cfr. Provv. 8 marzo 2007, doc. web n. 1390872, relativo all´accesso per finalità personali (e non istituzionali) da parte di un funzionario di banca alla Centrale dei rischi della Banca d´Italia e al sistema centralizzato di rilevazione dei rischi di importo contenuto.

4 In merito, vigente la l. n. 675/1996, l´Autorità (anche a seguito del Provv. 28 maggio 1997, doc. web n. 40425) si era espressa in termini generali in ordine al rispetto della disciplina relativa all´informativa da rendere alla clientela e alle modalità per raccogliere, ove necessario, il consenso degli interessati: cfr. Newsletter 10 maggio 1999.

5 Allo stato, v. art. 2 d.l. 3 maggio 1991, n. 143 (Provvedimenti urgenti per limitare l´uso del contante e dei titoli al portatore nelle transazioni e prevenire l´utilizzazione del sistema finanziario a scopo di riciclaggio), convertito con modificazioni dalla l. 5 luglio 1991, n. 197 e successivamente modificato dal d.lg. 26 maggio 1997, n. 153. In merito v. pure Comitato di Basilea per la vigilanza bancaria (Dovere di diligenza delle banche nell´identificazione della clientela), ottobre 2001.

6 Art. 7, comma 6, del d.P.R. 29 settembre 1973, n. 605, come sostituito, a far data dal 1° gennaio 2006, dal comma 332 dell´art. 1 l. 30 dicembre 2004, n. 311 e, infine, così modificato dal d.l. 30 settembre 2005, n. 203.

7 Cfr. Provv. 27 ottobre 2005, doc. web n. 1189435, relativo all´identificazione della clientela.

8 Provv. 28 maggio 1997, doc. web n. 40425, in materia di informativa e consenso della clientela nell´ambito dei servizi bancari.

9 In merito v. le prescrizioni contenute nel regolamento Consob 1° luglio 1998 n. 11522 (Regolamento di attuazione del decreto legislativo 24 febbraio 1998, n. 58, concernente la disciplina degli intermediari), con particolare riguardo all´art. 69.

10 In particolare, la prassi conosce tre tipologie di tale procedura corrispondenti a diverse esigenze commerciali: Rid utenze, Rid commerciale e Rid veloce. In merito cfr. circolare Abi n. 45, serie tecnica O del 6 giugno 1983; v. altresì le circolari Abi Prot. SP6014 del 22 dicembre 2004; prot. SP1453 del 29 marzo 2005; prot. SP/003076 del 17 giugno 2005.

.... (omissis) ...

Fonte: Garante per la Protezione dei dati - Linee guida in materia di trattamento di dati personali della clientela in ambito bancario

LINK: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1457247

Categorie
Principi generali
Parole chiave
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits