(Vedi anche Più semplice l'informativa-consenso per le banche)

Il Garante per la protezione dei dati personali ha reso nota la versione definitiva del modello semplificato di informativa e consenso da fornire ai clienti delle banche.
Rispetto alla versione approvata dall'ABI e adottata dagli istituti di credito a seguito del primo procedimento nei confronti della Banca Nazionale del Lavoro, il modello oggi diffuso presenta indubbi caratteri di semplificazione.
Tuttavia, pur apprezzando le finalità di maggiore chiarezza e trasparenza che l'attuale versione ha inteso perseguire, è a mio avviso opportuno sottolineare alcuni aspetti che mettono in forte dubbio la compatibilità del modello con il dettato normativo e la sua coerenza rispetto alle finalità prescritte dalla legge.

Una prima incongruenza si rileva in relazione al principio stabilito dalla legge 675/96 del cosiddetto "consenso informato". L'articolo 11 comma 3 stabilisce infatti che il consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documentata per iscritto e se sono state rese all'interessato le informazioni di cui all'articolo 10.
Nel modello in questione, il consenso è richiesto anche per l'attività svolta da centrali rischi private, società che gestiscono stabilmente complessi sistemi di pagamento, società di recupero crediti.

Tuttavia, l'informativa non fornisce alcuna informazione circa i trattamenti effettuati dai suddetti titolari ne si può ritenere che quanto chiarito per l'attività dell'istituto di credito, che richiede il consenso, possa essere esteso anche all'attività svolta da tali società. Rispetto, ad esempio, alle finalità dichiarate nel modello che sono costituite dalla necessità di fornire al cliente i servizi desiderati, è evidente che le stesse non possono essere estese all'attività di una centrale rischi o ad una società di recupero crediti. Queste ultime svolgono indubbiamente un'attività di servizio nei confronti dell'istituto di credito ma non si può certo dire che essa sia necessaria a fornire i servizi richiesti dall'interessato.
In questa prospettiva, quindi, la pur condivisibile volontà di semplificazione ha di fatto stravolto uno dei principi a fondamento dell'impianto normativo, quello del consenso informato.

L'informativa, peraltro, dimentica totalmente i trattamenti dei dati provenienti dalle società di informazioni commerciali (dati sull'affidabilità, sulla propensione al pagamento etc.) o dalle società che trattano i dati provenienti dai pubblici registri (conservatorie immobiliari, registro delle imprese etc.). Il modello si limita a prevedere l'ipotesi che i dati possano provenire da terzi stabilendo che gli stessi sono trattati con le modalità e le procedure necessarie per fornire i servizi desiderati.

La finalità dichiarata non sembra però corrispondere alla realtà. I servizi possono infatti essere forniti all'interessato indipendentemente dalla verifica sull'affidabilità dello stesso o sul fatto che sia o meno protestato. La verifica, la cui liceità ed opportunità non si intende contestare, non è necessaria all'esecuzione della prestazione ma è funzionale alla tutela del credito. E' inutile sottolineare che ciò avrebbe dovuto essere chiaramente indicato nel modello proposto.

Sempre in tale ambito di trattamenti, l'informativa peraltro sorvola su un altro aspetto. Per le verifiche sull'affidabilità dell'interessato, gli istituti di credito comunicano alle agenzie di informazioni commerciali o a quelle che trattano dati pubblici l'elenco dei nominativi che devono monitorare. Ora le uniche comunicazioni a terzi previste dal modello sono quelle ad altri istituti di credito e quelle alle società di fiducia che svolgono per conto del titolare compiti di natura tecnica o organizzativa. La comunicazione in oggetto non è presa in alcun modo in considerazione. Peraltro anche le note esplicative fanno riferimento alle società che svolgono servizi di pagamento, esattorie e tesorerie, intermediazione bancaria e finanziaria, lavorazioni massime relative a pagamenti, effetti, assegni e altri titoli; trasmissione, imbustamento, trasporto e smistamento delle comunicazioni alla clientela; archiviazione della documentazione relativa ai rapporti intercorsi con la clientela.

Per quanto detto sopra, risulta quindi che la prassi operativa della banca viene descritta solo in via approssimativa dall'informativa predisposta che sorvola sugli aspetti forse di maggior rilievo per l'interessato. Infatti, se è vero che i trattamenti descritti possono essere più o meno presupposti dall'interessato (è ovvio che la banca tratta i dati per l'esecuzione dei servizi che le vengono richiesti), lo stesso non può dirsi per quei trattamenti le cui finalità superano la mera esecuzione del servizio e che coinvolgono dati di "maggiore sensibilità" quali l'affidabilità, la propensione al pagamento, gli stili di vita, il ritardo nei pagamenti etc.

A mio avviso, tuttavia, è giusto sottolineare che l'inefficacia del modello di informativa diffuso sconta in primo luogo l'inadeguatezza di quanto prescritto dall'articolo 10 della legge 675/96. L'informativa, in coerenza con i principi fissati dalla legge, dovrebbe infatti rispondere esclusivamente alle seguenti domande: - chi ha i miei dati? - perché? - da chi li ha avuti? - a chi li comunica?
Il fatto ad esempio che l'articolo 10 non indichi tra gli elementi che costituiscono l'informativa la fonte dei dati costituisce a mio avviso una grave lacuna che andrebbe colmata, perché solo in questo modo potrebbe essere possibile per l'interessato rilevare eventuali abusi e violazioni di legge.

Ciò, ovviamente non va nel senso contrario alla volontà di semplificazione che continuo a considerare condivisibile. Si potrebbe pensare infatti ad un'informativa del tutto scarnificata come quella che a titolo esemplificativo e un po' provocatorio formulo qui di seguito:

Gent.mo sig. .... Spett.le azienda

La informo che detengo dati personali che la riguardano per le seguenti finalità: ............. A sua richiesta potrà conoscere l'elenco delle fonti dei dati e dei terzi a cui i dati sono comunicati che sono disponibili anche sul web ...... o affissi all'albo etc...., distinti per Responsabili o Titolari.

Le ricordo che ha diritto di conoscere, in ogni momento, quali sono i suoi dati, da dove vengono e come essi vengono utilizzati. Ha anche il diritto di farli aggiornare, integrare, rettificare o cancellare, chiederne il blocco ed opporsi al loro trattamento Il titolare ..................... Quest'informativa, peraltro, potrebbe essere utilizzata anche (e sarebbe ora) per gli interessati non clienti della banca, i cui dati sono comunque trattati dalla banca stessa senza che essa in qualche modo informi gli interessati del trattamento.

Ovviamente ciò potrebbe valere anche per altre organizzazioni.

* avvocato in Milano