Il Garante per la protezione dei dati personali (Garante Privacy) con ordinanza ingiunzione n. 202 del 26 maggio 2022 ha sanzionato una banca per aver omesso le verifiche adeguate prima di comunicare i dati dell’estratto conto dei propri clienti a soggetti terzi (anche se precedentemente autorizzati).
In particolare, il provvedimento sanzionatorio fa seguito ad un reclamo ricevuto dal Garante Privacy di un soggetto all’epoca dei fatti maggiorenne, che contestava ad un istituto di credito di aver comunicato i dati relativi al proprio conto corrente al padre.
Sul punto, la banca confermava tale comportamento, rilevando tuttavia la buona fede del proprio dipendente.
L’istituto di credito, infatti, evidenziava come l’operatore avesse comunicato al genitore del reclamante copia della movimentazione del conto corrente, in quanto, in precedenza, era autorizzato ad operare sul rapporto bancario, stante l’esercizio della responsabilità genitoriale fino alla maggiore età.
Inoltre, il fatto che il genitore fosse un ex dipendente della banca, aveva indotto l’operatore a pensare che fosse ancora autorizzato ad accedere ai dati di conto corrente del figlio, senza adottare alcuna verifica.
Sul punto, il Garante Privacy ha ritenuto insufficienti le giustificazioni fornite dalla banca e fondato il reclamo, in quanto l’operatore bancario aveva effettuato un accesso illegittimo ai dati bancari (estratto conto) del reclamante comunicandoli poi ad un terzo non autorizzato, in violazione della normativa sulla privacy.
Il Garante privacy ha dunque disposto l’applicazione all’istituto di credito di una sanzione pari ad euro 100mila, anche in relazione al fatto che, già in passato sera stato applicato un provvedimento analogo e non sono state adottate nel tempo adeguate istruzioni o linee guida al personale in merito alle richieste di accesso ai dati bancari.
