Le banche, inevitabilmente, si trovano a trattare una pluralità di dati della propria clientela.
L’impianto normativo in tema di privacy ha dunque previsto specifici criteri e modalità per consentire agli operatori del settore di operare pur nel rispetto dei diritti delle persone coinvolte.
I dati personali, sempre che siano pertinenti e non eccedenti, possono essere trattati dalla banca solo per perseguire finalità legittime, osservando le disposizioni in materia di protezione dei dati personali.
La comunicazione a terzi di dati personali relativi a un cliente è ammessa se lo stesso vi acconsente o se ricorre uno dei casi in cui il trattamento può essere effettuato senza il consenso: al di fuori dei casi di operazioni di comunicazione dei dati strumentali alle prestazioni richieste e ai servizi erogati, gli istituti di credito e il personale incaricato di eseguire le operazioni bancarie devono mantenere il riserbo sulle informazioni utilizzate.
Costituiscono comunicazioni indebite di dati a terzi, con conseguenze sia civili che penali, quelle che:
Avvengono per la mancata predisposizione di misure idonee a prevenire l’indebita conoscenza di informazioni da parte di personale e di terzi, ad esempio per il mancato rispetto delle distanze di cortesia nei luoghi dedicati all’esecuzione di operazioni bancarie;
Si verificano a seguito della comunicazione di informazioni a terzi che non siano in alcun modo autorizzati dall’interessato come, ad esempio, nei confronti:
- del coniuge
- di familiari, contattati talvolta telefonicamente per comunicazioni dirette ai clienti
- di professionisti o soggetti legati da un rapporto lavorativo con l’interessato
- di terzi che per errore divengano destinatari di comunicazioni aventi per oggetto informazioni bancarie.
Anche per le banche, l’art.30 del Regolamento 679/2016 impone la tenuta del Registro dei Trattamenti: sulla base dei principi di improntati alla valutazione del rischio e dell’accountability, le banche devono garantire l’applicazione di misure tecniche e organizzative atte a garantire la gestione e la conservazione dei dati avvenga in maniera conforme ai principi di protezione dei dati personali.
All’interno del Registro, ogni trattamento dovrà essere analizzato precisando:
- chi sono gli interessati coinvolti
- per quanto tempo il dato viene trattato
- chi sono i soggetti esterni coinvolti e debitamente incaricati
- qual è la base giuridica (Art.6 Regolamento) che ne legittima il trattamento
- quali sono le modalità di conservazione
- qual è la fonte dei dati.
Dal momento che una banca ha come attività principale quella di effettuare trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala, in base all’Art. 37 del Regolamento è soggetto obbligato alla nomina del DPO.
Si tratta di una figura che funge da interfaccia tra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno della Banca.
I dati di contatto del DPO devono essere resi disponibili per tutti i soggetti coinvolti, dunque anche la clientela può proporre quesiti o richiedere chiarimenti in merito al trattamento dei propri dati.