5.2 LA LEGGE 675/96

L'art. 1, comma 2, lett. c) definisce il dato personale come qualunque informazione relativa a persona fisica o giuridica, ente od associazione, identificato o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Per essere coperta dalla legge 675/96, l'informazione non deve necessariamente riguardare la vita privata intesa nella sua accezione tradizionale (elementi sottratti al pubblico come lo stato di salute, le convinzioni religiose, la vita familiare ecc.). Tutte le informazioni, quale che sia il contenuto, sono considerate a "carattere personale" quando possono essere ricollegate direttamente o indirettamente ad un individuo determinato (il contrario di dato personale è il dato anonimo) 363. Le informazioni raccolte dalla banca via internet rientrano sicuramente nella definizione ivi fornita.

La legge 675 non è a protezione delle banche dati, bensì riconosce i diritti della persona alla riservatezza e all'identità personale, ed è quindi applicabile a ogni contesto in cui tali diritti possono essere messi in discussione 364. Il Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali - istituito dall'art. 29 della direttiva 95/46/CE - rileva come sotto il profilo giuridico internet non opera nel vuoto: il trattamento dei dati personali su internet deve rispettare i principi di tutela così come avviene al di fuori della rete. Ciò non limita assolutamente il ricorso alla rete, ma al contrario fa parte degli elementi fondamentali volti ad assicurare la fiducia degli utenti nel suo funzionamento. La tutela dei dati su internet è quindi una condizione indispensabile per l'accettazione del commercio elettronico 365.

Non è in questa sede che si deve illustrare il sistema e le norme che caratterizzano la legge 675, ma è sufficiente tenere a mente i principi che le banche devono rispettare nell'attività di trattamento :366
- il principio di condotta: consta di due precetti, la liceità e la correttezza del trattamento, e deve informare tanto la raccolta quanto l'elaborazione vera e propria dei dati. Il trattamento è lecito quando è conforme alla legge, mentre è corretto quando la raccolta di dati avviene presso l'interessato in modo trasparente e non mediante ricorso ad artifizi e raggiri. Ciò significa fornire un'informativa ex art. 10 che non sia incomprensibile ma chiara e trasparente 367.
- il principio di finalità: consiste nell'obbligo del titolare del trattamento di palesare all'interessato - all'atto della raccolta - una finalità di trattamento che sia legittima, determinata e non incompatibile con l'impiego dei dati 368.
- il principio di qualità: si articola nelle regole di esattezza e aggiornamento. La prima comporta l'obbligo di massima accuratezza nella raccolta e nel trattamento al fine di garantire l'assenza di errori che potrebbero danneggiare sia l'interessato che i destinatari dei dati. Il rispetto della regola di aggiornamento va, invece, correlata al principio di finalità e a quello di pertinenza. La valutazione della ricorrenza o meno di tale regola può essere, infatti, condizionata dalle finalità (ad esempio il trattamento dei dati per finalità storiche può escludere l'aggiornamento). In questo caso l'aggiornamento potrebbe essere eccedente e non pertinente 369.
- il principio di pertinenza: i dati devono essere completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati 370. La pertinenza è una qualità del dato personale che varia nel caso concreto in relazione alla rilevanza che esso assume rispetto alle finalità perseguite dal titolare. La completezza costituisce - insieme con le regole di esattezza e correttezza - un ulteriore parametro qualitativo del dato stesso e consiste nell'impedire che parti di informazioni, utilizzate al di fuori del contesto complessivo da cui sono state tratte, possano danneggiare l'interessato o i destinatari del dato trattato al pari di quello non corretto perché erroneo. La non eccedenza consiste nel far sì che i dati personali raccolti e trattati siano sufficienti al perseguimento delle finalità legittime dichiarate: non anche ultronei e ridondanti rispetto all'utilizzo prospettato dal titolare all'interessato. Questa regola significa anche precludere al titolare di procedere alla raccolta e al trattamento di dati solo eventualmente rilevanti e necessari per il perseguimento delle legittime finalità dichiarate 371.
- il principio di conservazione e dell'oblio: i dati non devono essere tenuti per un periodo superiore a quello strettamente necessario agli scopi per i quali sono stati raccolti e trattati 372.

La sola violazione delle prescritte modalità ovvero dei requisiti qualitativi dei dati personali - pur non essendo sanzionata né penalmente né amministrativamente - legittima colui che ha subito un danno a causa di tale trattamento ad ottenerne il risarcimento ai sensi dell'art. 18, anche dei danni non patrimoniali come espressamente prevede l'art. 29 373.

Anche per quanto concerne i diritti dell'interessato ed i corrispondenti obblighi del titolare del trattamento, l'operazione di e-banking non si differenzia da una qualsiasi operazione commerciale di tipo tradizionale. A tal proposito i fondamentali diritti riconosciuti dalla legge all'interessato possono essere riassunti:
- nel diritto di essere previamente informato sulla raccolta di dati (art 10);
- nel diritto di esprimere il proprio consenso sulla raccolta dei dati che lo riguardano (art. 11). Quest'ultimo, peraltro, non è necessario per l'esecuzione di obblighi derivanti da un contratto nel quale è parte l'interessato (art. 12). Ma ciò vale solo per i dati necessari che dovranno risultare inequivocabilmente dal contratto e che comunque potranno essere trattati solo per il tempo strettamente necessario all'esecuzione dell'obbligo 374. Ad esempio per l'apertura di un conto corrente on line vengono richiesti dati anagrafici e fiscali necessari per la stipula e per la conclusione del contratto e come tali rientranti nell'esclusione del consenso dell'interessato. Per trattare tali dati in senso conforme alle disposizioni della legge 675/96 sarà, quindi, sufficiente che il soggetto che effettua la raccolta via internet, informi con la massima trasparenza l'interessato degli scopi della raccolta e degli altri elementi previsti dall'art. 10. Il consenso torna ad essere necessario nel momento in cui la banca impieghi i dati raccolti per finalità diverse ovvero provveda a raccogliere dati dell'interessato non strettamente necessari alla stipula e alla esecuzione del contratto 375;
- nel diritto di accesso al registro pubblico istituito presso l'Autorità Garante sulla base delle notifiche ricevute, per conoscere l'esistenza di dati che lo riguardano in modo tale da poter verificare la loro esattezza e la liceità del trattamento (art. 13, comma 1, lett. a);
- nel diritto di controllo sulla qualità dei dati che lo riguardano e nel correlativo potere di intervenire su di essi 376.

Quanto agli obblighi del titolare, a parte quelli che risultano speculari rispetto ai corrispondenti diritti dell'interessato - obbligo d'informativa (art. 10); obbligo di richiesta scritta del consenso, che va documentato per iscritto (art. 11); doveri attinenti alle modalità di raccolta dei dati (art. 9) e all'adozione di adeguate misure di sicurezza nel trattamento (art. 15) - l'obbligo fondamentale consiste nella notificazione al Garante (art. 7) che risulta propedeutica alla ricognizione delle operazioni di trattamento dei dati personali, alla verifica della legittimità delle stesse e all'esercizio di alcuni diritti dell'interessato (come quello di accesso o di controllo sulla qualità dei dati) 377.

Note

363 - ROSSELLO C., La gestione dei nuovi canali distributivi e legge sulla privacy, in I nuovi canali distributivi del settore industriale, bancario, finanziario e della P.A., ed. Paradigma 1997 pag.23
364 - GRIPPO V., op. cit. pag. 666
365 - Documento di lavoro Trattamento dei dati personali su internet adottato dal Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali il 23 febbraio 1999, in TOSI E., prime osservazioni sull'applicabilità della disciplina generale della tutela dei dati personali a internet e al commercio elettronico, in Diritto dell'informazione e dell'informatica 1999 n. 3 pag. 591
366 - Si veda l'art. 9 della l. 675/96
367 - TOSI E., Le responsabilità civili, in TOSI E., I problemi giuridici di internet - Giuffrè 1999 pag. 286
368 - TOSI E., op. cit. pag. 286
369 - TOSI E., op. cit. pag. 286
370 - GRANIERI M., La tutela della privacy, in TRIPODI E.M., SANTORO F., MISSINEO S., Manuale di commercio elettronico, Giuffrè 2000 pag. 380
371 - TOSI E., op. cit. pag. 287
372 - GRANIERI M., op. cit. pag. 380
373 - TOSI E., op. cit. pag. 287
374 - GRIPPO V., op. cit. pag. 669
375 - TOSI E., Prime osservazioni sull'applicabilità della disciplina generale della tutela dei dati personali a internet e al commercio elettronico, in Diritto dell'informazione e dell'informatica 1999 n.3 pag. 601
376 - ROSSELLO C., op. cit. pag. 296
377 - ROSSELLO C., op. cit. pag. 297