L’IFPDT (Incaricato Federale della protezione dei dati e della traparenza) ha pubblicato una delle sue prime decisioni in materia di diritto di accesso dati ai sensi della LPD.
L’Incaricato Federale ha rivolto un ammonimento a una banca che non ha rispettato i termini legali per rispondere alle richieste degli interessati e che si limitava a fornire una risposta standardizzata a tutte le richieste.
Infatti, il 29 gennaio 2025 IFPDT ha emesso una decisione nei confronti di Cembra Money Bank AG (di seguito «la Banca») per il mancato rispetto del termine di 30 giorni previsto dall’art. 25 LPD e per la mancata comunicazione dei dati personali trattati in quanto tali.
Le denunce
Tra il 2023 e il 2024 IFPD ha ricevuto due segnalazioni contro la Banca da parte di interessati al trattamento.
Prima denuncia: la Banca non ha risposto entro 30 giorni a una richiesta di accesso; l’IFPDT ha inviato un richiamo e la Banca ha poi adempiuto, attribuendo il ritardo a una temporanea carenza di personale.
Seconda denuncia: la Banca ha negato una carta di credito senza motivazione; dopo ripetute richieste, la persona interessata ha presentato una domanda di accesso tramite il modello fornito dell’IFPDT per ottenere «i dati personali trattati in quanto tali».
Poiché la Banca non ha risposto, l’interessato ha avviato una procedura di conciliazione dinanzi al tribunale civile di Basilea‑Città. Solo a quel punto la Banca ha inviato una lettera generica elencando categorie di dati, senza fornire i dati concreti.
Indagine del Garante e constatazioni
L’IFPDT ha aperto un’indagine preliminare ai sensi dell’art. 49 LPD.
Sulle risposte tardive:
L’IFPDT ha ricordato che, ai sensi dell’art. 25 cpv. 7 LPD, la richiesta deve essere evasa entro 30 giorni; se ciò non è possibile, occorre informare l’interessato e indicare un nuovo termine (art. 18 cpv. 2 OPDa).
La Banca non lo ha mai fatto, violando l’obbligo legale; addirittura, in 9 casi su 13 il ritardo superava di molto il termine, fino a 9 mesi.
La decisione chiarisce che il termine di 30 giorni ha natura perentoria salvo proroga motivata: il mancato rispetto può comportare sanzioni amministrative e spese.
Sulle Risposte standardizzate
Invece di fornire i dati concreti, la Banca ha inviato un elenco di categorie e rimandato alla propria informativa privacy.
L’IFPDT ha sottolineato che l’art. 25 cpv. 2 lett. b LPD impone la consegna «dei dati personali trattati in quanto tali». Ciò è essenziale, ad esempio, per verificare un rifiuto di carta di credito e, se necessario, far rettificare dati inesatti (art. 32 cpv. 1 LPD).
Le possibili informazioni da trasmettere comprendono:
- punteggio di credito individuale (ZEK/IKO/Moneyhouse);
- storico di richieste o interazioni (CRM);
- dati su reddito o solvibilità usati nell’analisi;
- motivazioni della decisione («punteggio troppo basso», «reddito insufficiente», ecc.);
- origine dei dati (broker, piattaforma, ecc.).
Il titolare può ancora opporre motivi di limitazione o oscurare parti sensibili (art. 26 LPD), ma deve almeno informare dell’esistenza dei dati, pena sanzioni amministrative o, nei casi gravi, penali (art. 60 cpv. 1 LPD).
Sanzione
Con decisione del 29 gennaio 2025 il PFPDT ha ordinato alla Banca di comunicare i dati effettivamente trattati a tutti gli interessati che avevano ricevuto solo risposte standardizzate (art. 51 cpv. 3 lett. g cum art. 25 cpv. 2 lett. b LPD) e le ha inflitto un ammonimento (art. 51 cpv. 4 LPD) nonché un emolumento di 5 829,40 CHF.
