Diritto e Fisco | Articoli

L’Iban è un dato coperto da privacy?

25 Giugno 2021 | Autore:
L’Iban è un dato coperto da privacy?

Il codice identificativo del conto corrente è tutelato ed è illegale utilizzarlo per scopi non consentiti o comunicarlo a terzi senza il consenso dell’interessato.

I soldi hanno un indirizzo: è l’Iban, il codice che identifica in modo univoco ogni conto corrente e il suo intestatario. Bisogna conoscere l’Iban per fare un bonifico a qualcuno; occorre comunicarlo al datore di lavoro per farsi accreditare lo stipendio; si deve fornire ai gestori dei servizi per pagare le bollette con addebito in automatico.

Quindi, l’Iban può, e spesso deve, essere comunicato a varie persone, società ed Enti, altrimenti molti trasferimenti di denaro nei conti correnti sarebbero impossibili. Così può accadere che venga divulgato e finisca in cattive mani, che potrebbero utilizzarlo per scopi illeciti. Ma l’Iban è un dato coperto da privacy? Se è così, puoi impedirne la diffusione e hai il diritto di sapere come e da chi viene detenuto, trattato e gestito.

Si tratta di capire se il codice Iban è un dato rientrante tra quelli strettamente personali, come il numero di telefono mobile: sei tu a decidere se e come diffonderlo, mettendolo sui biglietti da visita e su Internet oppure dandolo solo a pochi amici fidati e ai parenti stretti. Oppure se rientra nella categoria di quelle informazioni inevitabilmente visibili, come la targa di un’autovettura o il nome su un citofono.

E bisogna anche vedere se la divulgazione non autorizzata del codice Iban può provocare dei danni al titolare, che in questo modo si vede “scoperto” ed esposto ad occhi indiscreti come intestatario di un determinato conto corrente bancario o postale acceso presso una certa filiale di un istituto di credito. Ti piacerebbe vedere, ad esempio, il tuo numero di conto corrente affisso nella bacheca del condominio? La Cassazione si è occupata di un caso simile e tra poco vedrai cosa ha affermato in proposito.

Il codice Iban è un dato personale?

Per “dato personale” si intende, ai sensi della normativa sulla privacy [1], qualsiasi informazione che riguarda una persona fisica e la rende identificabile, fornendo informazioni sulla sua vita, sulla situazione economica, sulle condizioni di salute, sulle relazioni, sulle preferenze e abitudini.

Quindi, sono dati personali innanzitutto quelli anagrafici (nome, cognome, luogo e data di nascita, codice fiscale, indirizzo di residenza) ma anche quelli “sensibili” che rivelano informazioni riguardanti, ad esempio, le opinioni politiche o religiose e gli orientamenti sessuali.

Il codice Iban rivela il numero di conto corrente ed il suo intestatario: è un dato personale tutelato dalla normativa sulla privacy.

Perciò, possiamo affermare con certezza che il codice Iban è un dato personale, in quanto rivela chi è l’intestatario di un determinato conto corrente, qual è il suo numero identificativo, con quale istituto di credito è stato aperto e quale filiale o agenzia della banca gestisce il rapporto. Dall’Iban si ottengono le coordinate bancarie complete di qualsiasi conto corrente (e anche di molte carte di credito, ricaricabili o prepagate, ad essi associate, come la Postepay Evolution) e si risale ai nominativi dei titolari.

Come è protetto l’Iban dalla normativa sulla privacy?

In quanto dato personale, l’Iban ha un proprietario, che è la persona alla quale si riferiscono le informazioni contenute nel Codice e ottenibili da esso. La legge [2] chiama questo soggetto “interessato”, mentre definisce “titolare” il diverso soggetto che decide le finalità e le modalità del trattamento dei dati che ha ottenuto dall’interessato ed è tenuto a custodire. Nel novero dei soggetti coinvolti, poi, c’è anche l’ulteriore ed eventuale figura del responsabile dei dati, individuato nella persona fisica o giuridica alla quale il titolare può chiedere di effettuare per suo conto la gestione, l’elaborazione e la conservazione.

Riguardo all’Iban del tuo conto corrente, tu sei l’interessato; il titolare potrà essere, a seconda dei casi, il tuo datore di lavoro che ti accredita lo stipendio, l’Inps per la pensione, l’Agenzia delle Entrate per gli F24 versati, la finanziaria che ti ha concesso un mutuo, le società che ti forniscono luce, gas, telefono e Internet, se paghi le bollette con addebito in conto. Se questi soggetti si avvalgono di altri per utilizzare l’Iban, come il commercialista della tua azienda, una società di elaborazione dati o un gestore di servizi di pagamenti elettronici, essi saranno responsabili dei dati trattati.

A chi può essere comunicato l’Iban?

Dall’esempio appena fatto avrai capito che sei tu, in quanto interessato, a decidere a chi, quando, come e per cosa comunicare il tuo Iban. Una volta che lo hai fatto, il titolare dell’informazione e tutti coloro che trattano questo dato personale hanno l’obbligo di conservarlo ed utilizzarlo solo entro i limiti del necessario per assolvere alle finalità per cui glielo avevi fornito: non possono eccedere da questi scopi, se non c’è stato un tuo consenso preventivo a farlo o non ti viene fatta un’apposita richiesta di utilizzo per motivi diversi da quelli iniziali.

Ai sensi della normativa sulla privacy [3], infatti, i dati personali possono essere trattati solo con il consenso dell’interessato, che deve essere espresso in maniera libera, informata ed inequivocabile, a meno che non vi sia un obbligo contrattuale di fornirli o essi siano necessari per adempiere a determinati obblighi giuridici.

La Guardia di Finanza esegue una verifica fiscale in un’azienda e legittimamente acquisisce tutti gli Iban che risultano nella contabilità ufficiale ed anche quelli riportati nella documentazione in nero, per ricostruire tutti i rapporti finanziari intrattenuti dal soggetto sottoposto a controllo.

Si può utilizzare o rivelare l’Iban altrui?

Ogni dato personale – dunque anche l’Iban – deve essere trattato e conservato in modo lecito, correttamente e solo per gli scopi consentiti, cioè quelli determinati in base alle ragioni per cui esso è stato fornito dall’interessato o legittimamente acquisito dalle autorità o da altri soggetti per motivi necessari.

La Cassazione a tal proposito afferma che [4] i dati personali oggetto di trattamento devono essere:

  • trattati in modo lecito e secondo correttezza;
  • raccolti e registrati per scopi determinati, espliciti e legittimi;
  • utilizzati in altre operazioni di trattamento dei dati se compatibili con tali scopi;
  • esatti e, se necessario, aggiornati;
  • pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
  • conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Quindi, se hai fornito il tuo Iban ad un cliente per farti pagare una fattura, costui non potrà rivelarlo ad altri, a meno che tu non esprima il consenso: devi esserne informato prima che egli lo divulghi o comunichi ad altri. Se il tuo Iban è noto ad un gestore di pagamenti digitali o ad un money transfer, costui non potrà utilizzarlo per motivi ulteriori rispetto all’operazione fatta e neppure conservarlo oltre il tempo necessario al suo completamento.

Hai comprato un orologio su un sito online ed hai fornito il tuo Iban al venditore esclusivamente perché lo hai pagato con bonifico. Quell’azienda, senza dirti nulla, rivela le informazioni su di te, compreso l’Iban, ad altri, che ti propongono operazioni commerciali per acquistare degli orologi: l’utilizzo dei dati personali non era stato consentito ed è illegale.

Un impiegato della tua banca conosce un avvocato che per conto del suo cliente vuole pignorarti lo stipendio e le somme depositate sul tuo conto, in base a un decreto ingiuntivo che ha ottenuto. Per agevolarlo nelle ricerche, gli comunica direttamente il tuo Iban. La divulgazione è illecita: l’avvocato avrebbe dovuto munirsi di un’autorizzazione del giudice per individuare la banca dove hai il conto corrente.

Rivelazione non autorizzata di Iban: alcuni casi decisi dal Garante Privacy

L’emittente televisiva manda in onda un Iban

In una trasmissione televisiva su una rete nazionale era stata trasmessa l’immagine di un estratto conto su cui appariva il codice Iban di una persona ben individuata nei suoi dati anagrafici (il servizio voleva documentare alcuni bonifici fatti all’estero, nell’ambito di un’inchiesta su riciclaggio e paradisi fiscali).

L’interessato ha lamentato il trattamento illecito e la diffusione non autorizzata dei suoi dati personali e il Garante privacy [5] gli ha dato ragione: non era stato rispettato il principio di essenzialità dell’informazione pubblica ed era stato leso il diritto alla riservatezza. L’emittente ha dovuto oscurare il servizio nella parte in cui il video rivelava l’Iban.

Il Comune pubblica l’Iban nell’albo pretorio

In un altro caso finito davanti al Garante per la protezione dei dati personali, un Comune aveva pubblicato sull’albo pretorio online una determina dirigenziale in cui compariva, tra l’altro, l’Iban del legale che aveva assistito l’Ente in una causa: anche qui l’Autorità [6] ha ritenuto che la diffusione non autorizzata violasse il principio di minimizzazione dei dati ed ha applicato una sanzione pecuniaria all’Ente trasgressore.

Gli Iban rubati a una banca

Ed ancora, una grossa banca aveva subito l’intrusione di hacker, pirati informatici che avevano carpito i dati anagrafici di molti correntisti e i loro codici Iban nonché le credenziali di accesso ai conti correnti. Le misure di sicurezza adottate dall’istituto di credito sono risultate troppo deboli e insufficienti a proteggere in maniera adeguata questi dati personali; perciò, la banca che ne era titolare e li aveva custoditi in modo inappropriato e non adottando le precauzioni necessarie è stata multata dall’Authority [7].

Divulgazione o diffusione di codici Iban

Una nuova sentenza della Corte di Cassazione [8] si è occupata di un singolare caso di un Iban che era stato diffuso in un condominio, durante un’assemblea: si era verificato che una compagnia di assicurazione aveva rilasciato ad un condomino la copia di un atto di liquidazione di un sinistro, per provare l’avvenuto pagamento dei danni, come previsto dalla polizza (si trattava di infiltrazioni d’acqua); il documento conteneva anche l’Iban dei proprietari degli appartamenti che erano stati risarciti.

Ma il condomino ha utilizzato quel documento, producendolo in assemblea, con il risultato che quegli Iban sono divenuti visibili a tutti i partecipanti e anche a coloro che non avevano preso parte alla riunione (l’atto era stato inserito in allegato al verbale, comunicato loro in seguito).

Così gli intestatari di quegli Iban hanno promosso una causa per risarcimento dei danni derivanti dalla illegittima diffusione dei loro dati bancari riservati: sostenevano che ciò gli aveva provocato «fastidio, preoccupazione, disagio».

La tutela dell’Iban e il controllo sul suo utilizzo

La Cassazione ha innanzitutto ribadito che all’interessato (in questo caso, le persone cui appartenevano quegli Iban) ha «il diritto di conoscere in ogni momento chi possiede i suoi dati personali e come li adopera, nonché di opporsi al trattamento dei medesimi» e ha osservato che «è in ogni caso il principio di correttezza [9] a fondare l’esigenza di bilanciamento in concreto degli interessi e conseguentemente il diritto dell’interessato ad opporsi al trattamento, quand’anche lecito, dei propri dati», in quanto ciò costituisce esplicazione del «diritto a mantenere il controllo sulle proprie informazioni».

L’Iban in condominio: l’oscuramento dei dati

Quindi, la Suprema Corte ha osservato che per tutelare la privacy degli interessati sarebbe stato «sufficiente da parte della Compagnia assicuratrice, per provare l’avvenuto risarcimento, inviare una comunicazione in cui si dava atto dell’intervenuto ristoro dei danni» oppure inviare la quietanza «dopo averne debitamente oscurato le informazioni sui dati personali non divulgabili ai sensi della normativa sulla privacy».

In quel caso, vi era stata, invece, una violazione dei «principi di proporzionalità, pertinenza e non eccedenza del trattamento» di tali dati ed era stata perciò inammissibilmente violata la normativa di protezione dei dati personali. La divulgazione ad opera della società di assicurazioni e la successiva diffusione dei codici Iban di quei condòmini in assemblea e nel relativo verbale sono state così giudicate illecite.

Il risarcimento dei danni per illecita diffusione di codici Iban

Quanto al richiesto risarcimento dei danni, gli Ermellini hanno tenuto conto del fatto che la prima divulgazione verso un solo soggetto era stata compiuta dalla compagnia assicuratrice, mentre la successiva diffusione a più persone era stata realizzata da un condomino di sua iniziativa.

Come stabilire di chi era la responsabilità dell’illecito e, in caso fosse concorrente, effettuare la ripartizione tra questi due diversi soggetti? A tal proposito, la Corte ha rilevato che «quando l’illecita diffusione abbia dato luogo a condotte pregiudizievoli poste in essere da soggetti diversi dagli autori della divulgazione non può, per ciò solo, escludersi l’esistenza del nesso causale», poiché era risultato che «le condotte dei terzi non sarebbero state possibili se non fossero stati resi noti i dati personali del danneggiato».

In altri termini, poiché era stata l’assicurazione a divulgare illegittimamente gli Iban, sia pure rendendoli noti ad un solo soggetto, essa deve rispondere anche della loro successiva diffusione, pur se compiuta autonomamente dal destinatario di quella comunicazione iniziale, perché altrimenti, in assenza di quel determinante contributo causale, l’illecito non si sarebbe realizzato.

Sarà ora il tribunale, al quale la Cassazione ha rinviato la causa, a decidere in base a questi criteri se la pretesa risarcitoria è fondata e in caso positivo a determinarne l’ammontare (nel rispetto del criterio generale secondo cui la sussistenza e l’entità dei danni devono essere provati da chi li chiede), tenendo conto anche dell’incidenza «del concreto contributo causale» fornito dal condomino che ha diffuso gli Iban, ferma restando la responsabilità, già accertata dai giudici di piazza Cavour, della compagnia assicuratrice per la loro divulgazione illegittima.

Leggi anche gli articoli “Cosa rischia chi comunica l’Iban altrui” e “Cosa rischio a dare il mio codice Iban“.


note

[1] Art. 4 Regolamento UE n. 2016/679 “General Data Protection Regulation” (Gdpr).

[2] Art. 4, paragrafo 1, punto 1), Regolamento UE n. 2016/679.

[3] Art. 4 Regolamento UE n. 2016/679 e “Considerando” n.32 ad esso allegato.

[4] Cass. sent. n.1593/2013 del 23.01.2013.

[5] Autorità Garante per la protezione dei dati personali, provv. n.. 148 del 11.07.2019.

[6] Autorità Garante per la protezione dei dati personali, ordinanza ingiunzione n. 3 del 15.01.2020.

[7] Autorità Garante per la protezione dei dati personali, ordinanza ingiunzione n. 99 del 10.06.2020.

[8] Cass. Sez. I Civile, ord. n. 4475/21 del 19.02.2021.

[9] Art. 11, lett. a), D.Lgs. n.196/2003.


Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube