Il Garante ha deliberato che, nel periodo gennaio/giugno 2025, l’attività ispettiva curata sarà indirizzata:

a) allo svolgimento di accertamenti relativi ai data breach che hanno interessato negli ultimi mesi banche dati pubbliche di particolare rilievo e delicatezza; questo con specifico riferimento alla verifica dei sistemi di sicurezza ed ai profili di accessibilità delle banche dati stesse;

b) alla prosecuzione degli accertamenti sulle banche dati degli istituti di credito con specifico riferimento alle violazioni di dati personali oggetto di notificazione al Garante ed alla verifica delle misure adottate per rilevarle tempestivamente e/o prevenirle;

c) alle verifiche nel campo della statistica in ordine a specifici progetti, inseriti nel PSN, comportanti utilizzo di big data e dati sintetici

d) alle verifiche sul trattamento di dati effettuato da imprese che gestiscono call center e servizi di e-mail marketing utilizzando in modo illegittimo indirizzari e banche dati;

e) agli accertamenti relativi all’attivazione di contratti non richiesti nel settore energetico;

f) alle verifiche sull’utilizzo di dati biometrici per l’ammissione agli esami della patente di guida presso gli uffici della Motorizzazione civile;

g) alla prosecuzione delle verifiche sull’utilizzo dei cookie di profilazione in relazione alle Linee guida del 10 giugno 2021 e tenendo conto delle segnalazioni e dei reclami pervenuti al Garante;

h) alla prosecuzione degli accertamenti nei confronti di società che gestiscono sistemi di video-allarme;

i) alla conclusione del ciclo di ispezioni sui gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale);

j) alla prosecuzione degli accertamenti presso gli istituti scolastici in ordine al trattamento dei dati svolto attraverso i registri elettronici;

k) agli altri accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, ivi incluse le istruttorie relative a reclami e segnalazioni formali proposti all’Autorità ed in istruttoria presso i relativi Dipartimenti e Servizi.

L’attività ispettiva programmata riguarderà almeno 40 accertamenti ispettivi, effettuati anche a mezzo della Guardia di finanza.

L’Ufficio del Garante potrà comunque svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio o in relazione a segnalazioni o reclami proposti.

Qui il documento.

Nei contratti di credito ai consumatori, qualora non siano osservati gli obblighi informativi, la Banca può essere privata del diritto agli interessi e alle spese.

Con la sentenza del 13 febbraio 2025, la Corte di Giustizia dell’Unione Europea ha interpretato in questo modo l’art. 10 della dir. 2008/48/CE (causa C‑472/23, qui il testo integrale). La pronuncia ha riguardato il caso di una società polacca secondo la quale, poiché la Banca era venuta meno al suo obbligo di informazione al momento della conclusione del contratto, il credito era esente da interessi e spese, secondo la sanzione prevista dalla legge nazionale.

Come si legge nella pronuncia, la direttiva sopra citata mira a garantire che il consumatore riceva, prima della conclusione del contratto di credito, informazioni adeguate, riguardanti, in particolare il TAEG.

La Corte ha poi sottolineato che le clausole del contratto di credito devono esporre in maniera trasparente il motivo e le modalità di variazione delle spese connesse al servizio da fornire cosicché il consumatore possa prevedere, sulla base di criteri chiari e comprensibili, le eventuali modifiche.

Dalla giurisprudenza della stessa Corte – si legge nella pronuncia - risulta che la violazione, da parte del creditore, di un obbligo di importanza essenziale nel contesto della direttiva 2008/48 può essere sanzionata, conformemente alla normativa nazionale, con la decadenza del creditore dal diritto agli interessi e alle spese. Una siffatta sanzione, “pur producendo gravi conseguenze nei confronti del creditore, può essere considerata sproporzionata solo in caso di mancata menzione o di menzione erronea di elementi, tra quelli previsti dall’articolo 10, paragrafo 2, della direttiva 2008/48, che, per loro natura, non possono incidere sulla capacità del consumatore di valutare la portata del proprio impegno”.

Orbene, anche l’obbligo per il creditore di indicare, nel contratto di credito, le condizioni alle quali può intervenire una modifica delle spese di esecuzione del contratto riveste un’importanza essenziale per il consumatore, giacché, per valutare la portata dell’impegno, egli deve poter prevedere le eventuali modifiche di tali spese sulla base di criteri chiari e comprensibili e, pertanto, le conseguenze economiche che ne derivano, anche qualora l’importo iniziale di tali spese sia relativamente esiguo rispetto all’importo del credito.

La Corte ha così concluso nel senso che il principio di proporzionalità non osta a che uno Stato membro scelga di prevedere una sanzione uniforme, “consistente nel privare il creditore del suo diritto agli interessi e alle spese, per la violazione dei diversi obblighi informativi previsti all’articolo 10, paragrafo 2, della direttiva 2008/48, anche qualora la gravità individuale della violazione di ciascuno di tali obblighi e le conseguenze che ne derivano per il consumatore possano variare a seconda dei casi”.

L’accesso abusivo del lavoratore alla banca dati aziendale non può essere considerato un fatto lieve. Con questa conclusione la Cassazione ha confermato, in sostanza, la legittimità della sanzione disciplinare irrogata ad un lavoratore, dipendente di un istituto di credito, che era stato licenziato (anche) per aver violato la normativa della privacy per accessi abusivi ai conti correnti di varie persone effettuati tramite il programma informatico aziendale e senza legittime ragioni di servizio (ordinanza n. 2806 del 5 febbraio 2025).

La Banca ricorrente aveva lamentato, tra le altre cose, che la Corte avesse erroneamente escluso la rilevanza disciplinare dell’accesso abusivo del lavoratore alla banca dati aziendale, nonostante fosse emerso che tali interrogazioni avessero riguardato conti correnti di soggetti estranei alla sfera di competenza lavorativa del dipendente e non fossero giustificate, come detto, da alcuna necessità di servizio. La Cassazione ha reputato la censura fondata.

Nell’accogliere il motivo di ricorso, la Corte ha ricordato la giurisprudenza di legittimità secondo la quale il licenziamento per giusta causa “può fondarsi su violazioni del “minimo etico” e su condotte che ledano la fiducia del datore di lavoro, anche in assenza della previa affissione del codice disciplinare, quando si tratta di violazione di norme di legge o di doveri fondamentali di lealtà e riservatezza”.

Nel caso di specie, la Corte territoriale, per escludere la rilevanza del fatto, dopo aver evidenziato che il lavoratore era titolare delle credenziali e che, quindi, per tale ragione, gli accessi non fossero abusivi, aveva valorizzato la circostanza che le consultazioni, avvenute in tempi brevissimi, non vertevano sulla lista movimenti e che, in altri casi, per analoghe condotte, la banca non aveva irrogato la sanzione espulsiva. La Corte d’appello aveva infatti concluso nel senso che l’illecito, seppure sussistente, doveva essere considerato di particolare tenuità, e la sanzione, dunque, era sproporzionata.

Tuttavia – rammenta la Corte – in casi analoghi la giurisprudenza di legittimità aveva già chiarito che “l’accesso al sistema informatico aziendale non può essere considerato lieve quando realizzato per finalità personali o comunque non riconducibile ad esigenze di servizio”.

È evidente, peraltro, secondo la Cassazione, che “il potere di disporre di strumenti informatici volti al compimento delle operazioni finanziarie del dipendente di un istituto bancario non è di certo sinonimo di accesso indiscriminato a banche dati al di fuori della stretta necessità di compiere tali operazioni nell’interesse dell’istituto e dei clienti”. 

Pertanto, l’accesso, privo di causa, deve essere valutato dal giudice di merito, in relazione al rapporto fiduciario tra datore e prestatore di lavoro, che concede l’utilizzo di tali strumenti ai propri dipendenti affinché operino in maniera lecita durante la prestazione lavorativa. Dunque – si legge nella pronuncia – “il fatto, nella sua materialità (il cui accertamento rientra ovviamente nel giudizio di merito) non può essere considerato lieve, allorché si concreti in una violazione degli obblighi di protezione dei dati personali previsti dal d.lgs. 196/2003”.

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram