Le banche devono effettuare verifiche puntuali prima di comunicare i dati dei propri clienti ad altre persone, anche perché soggetti in precedenza autorizzati a conoscerli, nel tempo potrebbero aver perso questa facoltà. Lo ha affermato il Garante per la privacy, definendo il procedimento avviato a seguito del reclamo di una ragazza all’epoca dei fatti già maggiorenne, che contestava a una banca la comunicazione dei dati del proprio conto corrente a suo padre.
Rispondendo alla richiesta di informazioni del Garante l’istituto di credito confermava quanto denunciato, ma a giustificazione dell’accaduto invocava la buona fede del proprio dipendente. Secondo la banca, infatti, l’operatore aveva consegnato al padre copia della movimentazione del conto corrente della figlia perché in precedenza egli era autorizzato ad operare sul rapporto bancario, in quanto esercente la potestà genitoriale fino al raggiungimento della maggiore età della ragazza. Inoltre, la conoscenza personale del padre, un ex dipendente della banca, aveva indotto l’impiegato a ritenere il genitore ancora autorizzato ad accedere ai dati contabili della figlia, senza effettuare alcuna verifica.
Per l’Autorità queste giustificazioni sono insufficienti. Il Garante ha dichiarato fondato il reclamo e ritenuto illecito il comportamento tenuto dalla banca tramite un proprio dipendente, il quale ha effettuato un accesso ai dati bancari della reclamante e li ha comunicati ad un terzo non autorizzato, in violazione della normativa sulla protezione dei dati personali e ha ritenuto non applicabile al caso l’esimente della buona fede.
Il Garante ha quindi applicato alla Banca Intesa SanPaolo una sanzione amministrativa di 100mila euro, anche tenuto conto che l’istituto – già in passato destinatario di un provvedimento analogo in cui aveva ricevuto una sanzione di 200mila euro – non ha dimostrato, nel rispetto del principio di responsabilizzazione (accountability), di aver adottato o solo avviato un’adeguata riflessione sulle istruzioni fornite al personale riguardo alle richieste di accesso ai dati bancari, limitandosi a richiamare le attività formative genericamente erogate.
