Quando identificare e fotocopiare i documenti di riconoscimento dei clienti: Provvedimento Garante Privacy del 27 ottobre 2005

Quando identificare e fotocopiare i documenti di riconoscimento dei clienti
Provvedimento del 27 ottobre 2005

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravallotti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Esaminate le segnalazioni pervenute in ordine all'identificazione delle persone che effettuano operazioni bancarie, finanziarie e postali presso istituti bancari e uffici postali, e alle modalità con cui essa è effettuata;

Vista la normativa internazionale e comunitaria in materia di protezione dei dati personali e, in particolare, la direttiva n. 95/46/Ce del 24 ottobre 1995;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. Alcune segnalazioni e richieste di parere pervenute all'Autorità riguardano la condotta di taluni istituti di credito ed uffici postali che, in occasione dell'effettuazione di operazioni bancarie o postali, identificano il cliente chiedendo l'esibizione di un documento d'identità, talora anche acquisendone copia.

L'identificazione, come pure tale acquisizione, comportano un trattamento di dati personali di cui si chiede di verificare la liceità, la pertinenza e la non eccedenza (art. 11 del Codice).

I casi sottoposti al Garante sono di diverso tipo ed attengono ad ordinarie operazioni di versamento, a pagamenti e ad altre disposizioni impartite dalla clientela; in prevalenza, riguardano però casi di presentazione per il pagamento di assegni o vaglia postali.

2. In proposito, appare necessario distinguere tra la necessità di identificare la persona e le modalità con cui ciò avviene.

L'identificazione di chi effettua un'operazione è prescritta a volte da una disposizione normativa, oppure può essere necessaria per eseguire obblighi derivanti dal contratto o per adempiere a specifiche richieste precontrattuali dell'interessato. Il consenso non è quindi necessario (art. 24, comma 1, lett. b), del Codice).

L'interessato deve essere però edotto della circostanza, almeno al momento in cui si instaura il rapporto contrattuale, anche nell'ambito di un'informativa di carattere generale fornita una tantum al cliente.

3. L'interessato va identificato con modalità comunque proporzionate caso per caso, avendo anche riguardo alla circostanza se l'operazione è effettuata di persona, oppure on-line.

La banca o l'ufficio postale ha l'onere di verificare l'identità dell'interessato basandosi su idonei elementi di valutazione.

Tali elementi possono basarsi:

a) sulla conoscenza personale;
b) su atti e documenti acquisiti in precedenza anche all'atto dell'instaurazione del rapporto;
c) sull'esibizione di un documento di riconoscimento che risulti obiettivamente necessaria nel caso concreto;
d) nell'eventuale annotazione degli estremi del documento esibito.

La richiesta di produrre, anche per via telematica, la copia di un documento di riconoscimento, e la sua conservazione, possono invece ritenersi giustificate solo se:

  1. una disposizione normativa prevede espressamente l'acquisizione e la conservazione temporanea di tale copia, oppure se
  2. la banca o l'ufficio postale deve poter dimostrare di aver identificato l'interessato con modalità più accurate, stante il particolare contesto od operazioni da svolgere. In questi ultimi casi può rientrare anche quello del presentatore sconosciuto di un assegno (o di un vaglia): l'acquisizione del relativo documento è da ritenersi legittima considerate le responsabilità della banca o dell'ufficio postale in relazione ai pagamenti che vanno effettuati, con la necessaria diligenza, solo al creditore (cfr. anche art. 1189 cod. civ. e artt. 43 e 86 r.d. 21 dicembre 1933, n. 1736; Cass. 3 aprile 1993, n. 4048; Cass. 3 aprile 1992, n. 4087).

In applicazione del principio della pertinenza e di non eccedenza nel trattamento dei dati occorre comunque evitare di acquisire più volte copie di documenti già disponibili agli atti, di non utilizzarle ad altri fini e di assicurare che l'accesso alle informazioni sia consentito solo nelle indicate ipotesi e solo da chi ne abbia titolo anche all'interno della banca o dell'ufficio postale. Va comunque evitata, in ogni fase, anche ogni inutile lettura dei dati con ascolto non necessario da parte di soggetti estranei, assicurando l'opportuno riserbo nelle operazioni allo sportello.

Gli istituti bancari e gli uffici postali devono garantire l'elevata professionalità di quanti, a qualsiasi titolo, sono autorizzati a richiedere o conservare i documenti esibiti o acquisiti in copia, con l'onere di assicurare una particolare preparazione in materia di protezione dei dati personali.

4. Il trattamento dei dati personali raccolti a fini di identificazione è quindi lecito, pertinente e non eccedente se effettuato nei termini di proporzionalità sopra riassunti, che trovano riscontro nelle disposizioni dell'ordinamento che prevedono, in altri contesti, la necessità di conservare la copia di un documento da esibire solo in casi stabiliti selettivamente (art. 45 d.P.R. 28 dicembre 2000, n. 445, rispetto alle modalità per identificare i cittadini da parte di organi della pubblica amministrazione e di gestori di pubblici servizi; art. 6, comma 1, d.l. 27 luglio 2005, n. 144, conv. in l.  31 luglio 2005, n. 155, in materia di contrasto del terrorismo internazionale e in riferimento all'identificazione di schede elettroniche s.i.m.).

5. La conservazione di tali riproduzioni –anche ai fini dell'applicazione dell'art. 15 del Codice– deve altresì svolgersi nel rispetto delle necessarie misure di sicurezza conformi a quelle prescritte dal Codice nei singoli casi (artt. 31 ss. e allegato B del Codice), anche al fine di prevenire accessi fuori dalle ipotesi consentite, e non può inoltre protrarsi oltre il tempo necessario in rapporto alle finalità perseguite.

Gli istituti bancari e gli uffici postali sono comunque responsabili rispetto ad ogni comportamento od omissione indebiti.

TUTTO CIÒ PREMESSO, IL GARANTE:

prescrive ai titolari del trattamento effettuato presso istituti bancari e postali, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare le misure necessarie al fine di rendere il trattamento di dati conforme alle disposizioni vigenti.

Roma, 27 ottobre 2005

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli