[e-privacy] Banche e uffici postali: richiesta del documento di identità solo se indispensabile

[Avv. Barbara Gualtieri]

Banche e uffici postali: richiesta del documento di identità solo se
indispensabile 

Garante Privacy , provvedimento 27.10.2005
 


(Da Altalex, 30 novembre 2005 http://www.altalex.com/index.php?idnot=10112)

Banche ed uffici postali devono limitare ai soli casi indispensabili la
richiesta di documenti di riconoscimento dei loro clienti. 

L'interessato va identificato rispettando il principio di pertinenza e
proporzionalità evitando richieste eccessive di dati e basandosi, caso per
caso, su diversi elementi di valutazione come la conoscenza personale, atti
o documenti acquisiti in precedenza, l'esibizione del documento o
l'eventuale annotazione degli estremi sul documento.

E' quanto precisato il Garante della Privacy con il provvedimento del 27
ottobre 2005.

Per il pagamento di un assegno o di un vaglia postale ad esempio, secondo il
Garante è spesso sufficiente l'esibizione di un documento di identità,
evitando in ogni caso di acquisire più volte copia dei documenti già
disponibili.

(Altalex, 30 novembre 2005 http://www.altalex.com/index.php?idnot=10112)



Quando identificare e fotocopiare i documenti di riconoscimento dei clienti
- 27 ottobre 2005

Garante per la protezione dei dati personali

Provvedimento 27 ottobre 2005 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravallotti, vice presidente, del dott.
Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott.
Giovanni Buttarelli, segretario generale;

Esaminate le segnalazioni pervenute in ordine all'identificazione delle
persone che effettuano operazioni bancarie, finanziarie e postali presso
istituti bancari e uffici postali, e alle modalità con cui essa è
effettuata;

Vista la normativa internazionale e comunitaria in materia di protezione dei
dati personali e, in particolare, la direttiva n. 95/46/Ce del 24 ottobre
1995;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. Alcune segnalazioni e richieste di parere pervenute all'Autorità
riguardano la condotta di taluni istituti di credito ed uffici postali che,
in occasione dell'effettuazione di operazioni bancarie o postali,
identificano il cliente chiedendo l'esibizione di un documento d'identità,
talora anche acquisendone copia.

L'identificazione, come pure tale acquisizione, comportano un trattamento di
dati personali di cui si chiede di verificare la liceità, la pertinenza e la
non eccedenza (art. 11 del Codice).

I casi sottoposti al Garante sono di diverso tipo ed attengono ad ordinarie
operazioni di versamento, a pagamenti e ad altre disposizioni impartite
dalla clientela; in prevalenza, riguardano però casi di presentazione per il
pagamento di assegni o vaglia postali.

2. In proposito, appare necessario distinguere tra la necessità di
identificare la persona e le modalità con cui ciò avviene.

L'identificazione di chi effettua un'operazione è prescritta a volte da una
disposizione normativa, oppure può essere necessaria per eseguire obblighi
derivanti dal contratto o per adempiere a specifiche richieste
precontrattuali dell'interessato. Il consenso non è quindi necessario (art.
24, comma 1, lett. b), del Codice).

L'interessato deve essere però edotto della circostanza, almeno al momento
in cui si instaura il rapporto contrattuale, anche nell'ambito di
un'informativa di carattere generale fornita una tantum al cliente.


3. L'interessato va identificato con modalità comunque proporzionate caso
per caso, avendo anche riguardo alla circostanza se l'operazione è
effettuata di persona, oppure on-line.

La banca o l'ufficio postale ha l'onere di verificare l'identità
dell'interessato basandosi su idonei elementi di valutazione.

Tali elementi possono basarsi:

	a) sulla conoscenza personale;
	b) su atti e documenti acquisiti in precedenza anche all'atto
dell'instaurazione del rapporto;
	c) sull'esibizione di un documento di riconoscimento che risulti
obiettivamente necessaria nel caso concreto;
	d) nell'eventuale annotazione degli estremi del documento esibito.

La richiesta di produrre, anche per via telematica, la copia di un documento
di riconoscimento, e la sua conservazione, possono invece ritenersi
giustificate solo se:

*	una disposizione normativa prevede espressamente l'acquisizione e la
conservazione temporanea di tale copia, oppure se 
*	la banca o l'ufficio postale deve poter dimostrare di aver
identificato l'interessato con modalità più accurate, stante il particolare
contesto od operazioni da svolgere. In questi ultimi casi può rientrare
anche quello del presentatore sconosciuto di un assegno (o di un vaglia):
l'acquisizione del relativo documento è da ritenersi legittima considerate
le responsabilità della banca o dell'ufficio postale in relazione ai
pagamenti che vanno effettuati, con la necessaria diligenza, solo al
creditore (cfr. anche art. 1189 cod. civ. e artt. 43 e 86 r.d. 21 dicembre
1933, n. 1736; Cass. 3 aprile 1993, n. 4048; Cass. 3 aprile 1992, n. 4087).

In applicazione del principio della pertinenza e di non eccedenza nel
trattamento dei dati occorre comunque evitare di acquisire più volte copie
di documenti già disponibili agli atti, di non utilizzarle ad altri fini e
di assicurare che l'accesso alle informazioni sia consentito solo nelle
indicate ipotesi e solo da chi ne abbia titolo anche all'interno della banca
o dell'ufficio postale. Va comunque evitata, in ogni fase, anche ogni
inutile lettura dei dati con ascolto non necessario da parte di soggetti
estranei, assicurando l'opportuno riserbo nelle operazioni allo sportello.

Gli istituti bancari e gli uffici postali devono garantire l'elevata
professionalità di quanti, a qualsiasi titolo, sono autorizzati a richiedere
o conservare i documenti esibiti o acquisiti in copia, con l'onere di
assicurare una particolare preparazione in materia di protezione dei dati
personali.


4. Il trattamento dei dati personali raccolti a fini di identificazione è
quindi lecito, pertinente e non eccedente se effettuato nei termini di
proporzionalità sopra riassunti, che trovano riscontro nelle disposizioni
dell'ordinamento che prevedono, in altri contesti, la necessità di
conservare la copia di un documento da esibire solo in casi stabiliti
selettivamente (art. 45 d.P.R. 28 dicembre 2000, n. 445, rispetto alle
modalità per identificare i cittadini da parte di organi della pubblica
amministrazione e di gestori di pubblici servizi; art. 6, comma 1, d.l. 27
luglio 2005, n. 144, conv. in l. 31 luglio 2005, n. 155, in materia di
contrasto del terrorismo internazionale e in riferimento all'identificazione
di schede elettroniche s.i.m.).


5. La conservazione di tali riproduzioni –anche ai fini dell'applicazione
dell'art. 15 del Codice– deve altresì svolgersi nel rispetto delle
necessarie misure di sicurezza conformi a quelle prescritte dal Codice nei
singoli casi (artt. 31 ss. e allegato B del Codice), anche al fine di
prevenire accessi fuori dalle ipotesi consentite, e non può inoltre
protrarsi oltre il tempo necessario in rapporto alle finalità perseguite.

Gli istituti bancari e gli uffici postali sono comunque responsabili
rispetto ad ogni comportamento od omissione indebiti.

TUTTO CIÒ PREMESSO, IL GARANTE:

prescrive ai titolari del trattamento effettuato presso istituti bancari e
postali, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare
le misure necessarie al fine di rendere il trattamento di dati conforme alle
disposizioni vigenti.

Roma, 27 ottobre 2005

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli


Av. Barbara Gualtieri
Direttore Osservatorio Csig Firenze