Trasmissione di banche dati contenenti pseudonimi all’estero

Nel quadro della consultazione dell’Autorità federale di vigilanza sui mercati finanziari (FINMA) in merito alla revisione parziale della circolare 2008/21 «Rischi operativi – banche», tenutasi nel 2013, abbiamo chiarito la nostra posizione riguardo alla trasmissione di dati personali sotto forma di pseudonimi e alle conseguenze nel settore bancario.

Nel corso dell'anno in rassegna la FINMA ci ha fatto notare le discrepanze esistenti tra l'attuazione concreta della sua circolare 2008/7 «Outsourcing - banche» e la posizione dell'IFPDT. Una gran parte degli istituti finanziari controllati in Svizzera ritiene che non sussista alcun obbligo di informare in modo specifico i propri clienti in merito all'esternalizzazione dei loro dati personali sotto forma di pseudonimi. I rappresentanti del settore bancario ritengono che tali dati non rientrino nel campo di validità della legge sulla protezione dei dati (LPD).

Questa posizione si basa su un'interpretazione divergente del concetto di identificabilità delle persone i cui dati vengono sostituiti da pseudonimi. La LPD prevede infatti che tutte le informazioni relative a una persona identificata o identificabile sono dati personali. Gli operatori del settore finanziario deducono che i dati rappresentati mediante pseudonimi non siano dati personali ai sensi della LPD in quanto non consentono di risalire a persone identificate o identificabili. Argomentando in questo modo i dati vengono qualificati dal punto di vista di chi riceve gli pseudonimi nell'ipotesi che il ricevente non sia in grado di correlare i dati ricevuti alle persone interessate. Optare per questa interpretazione permetterebbe di aggirare la LPD con misure tecniche, a dispetto di quanto voluto dal legislatore.

Per comprendere la questione da un punto di vista tecnico, partiamo da una spiegazione chiara. Tramite una procedura specifica, gli elementi complessivi che consentono un'identificazione di una persona sono sostituiti da un identificatore neutro (in questo caso uno pseudonimo). Parallelamente, questo pseudonimo viene registrato in una tabella di corrispondenza separata insieme agli elementi di identificazione e permette agli aventi diritto di stabilire un collegamento tra lo pseudonimo e la persona interessata, che dunque diventa identificabile ai sensi della LPD. Con questo metodo, per le persone che non hanno accesso alla tabella di corrispondenza è impossibile risalire all'identità della persona, che tuttavia rimane identificabile per chi è in possesso della tabella.

In questo caso una banca può, ad esempio, mantenere protetta la sua tabella di corrispondenza in Svizzera e far trattare i dati dei clienti all'estero trasmettendoli sotto forma di pseudonimi. Ora la questione è: da quale punto di vista si valuta la possibilità di identificare una persona? Esclusivamente dal punto di vista di chi riceve i dati (A), esclusivamente dal punto di vista di chi trasmette i dati (B) oppure secondo una valutazione alternativa (C)? A seconda del punto di vista scelto la LPD è applicabile o meno. Nella variante A, le informazioni non possono essere considerate dati personali e chi li riceve non può risalire alla persona interessata, pertanto la LPD non è applicabile. Nella variante B si giunge alla conclusione opposta. Nella variante C si prende in considerazione un punto di vista alternativo, cioè il punto di vista della banca che esternalizza il trattamento dei dati o del destinatario dei dati. In entrambi i casi la LPD è sempre applicabile.

La LPD stessa non menziona espressamente quale metro di giudizio utilizzare per la valutazione. Tuttavia il legislatore è consapevole dello sviluppo tecnologico vertiginoso in ambito digitale e proprio in base a questa situazione mutevole ha creato una legge tecnicamente neutra che possa andare di pari passo con lo sviluppo tecnologico dell'era moderna e trovare applicazione in tutte le circostanze che mettono a repentaglio i diritti della personalità. Inoltre il Tribunale federale ha confermato la nostra posizione nella decisione Logistep (DTF 136 II 508) (cfr. il nostro 18° rapporto d'attività 2010/2011, n. 1.3.5, in tedesco). In questa decisione il Tribunale federale ha stabilito i presupposti per definire secondo quale punto di vista si deve valutare la possibilità di identificare una persona, e nel caso di specie applica il cosiddetto punto di vista alternativo.

Da quanto espresso si evince che in caso di trasmissione di dati di clienti delle banche all'estero si applica la LPD, il che presuppone determinati obblighi per le banche che esternalizzano il trattamento dei dati. Conformemente alla circolare FINMA 2007/08 «Outsourcing - banche» (n. marg. 35), i clienti devono essere informati dettagliatamente riguardo al trasferimento tramite una lettera speciale. Inoltre, in una simile situazione, al cliente deve essere concessa la possibilità di rifiutare la clausola controversa senza pregiudizi o di mettere fine al rapporto contrattuale. Riteniamo che al giorno d'oggi questa opzione sia vincolante nel settore del traffico dati finanziari, in cui sussiste un rischio latente di manipolazione dei dati e appropriamento indebito. Da questo approccio basato sul rischio deriva il dovere per gli istituti finanziari di garantire la trasparenza di questo tipo di trattamento nei confronti dei clienti, affinché possano far valere senza ostacoli il loro diritto di autodeterminazione per quanto riguarda l'informazione.

Per quanto riguarda il canale informativo da scegliere, la LPD non prevede modelli. È possibile offrire nelle condizioni generali della banca un'informazione dettagliata e precisa anche per quanto riguarda i rischi derivanti dall'esternalizzazione del trattamento dati, a condizione che il cliente sia informato anche in altro modo e che le condizioni generali non siano integrate globalmente nel contratto. Come menzionato sopra, i clienti devono avere la possibilità di opporsi, il che significa che la banca deve concedere al cliente un termine conveniente entro il quale respingere la clausola controversa o sciogliere il suo contratto senza pregiudizi. In caso contrario viene meno il consenso del cliente secondo il principio della libera volontà. La mancata rinuncia da parte del cliente entro il termine stabilito può essere considerato un tacito consenso. Se però dati personali o profili della personalità particolarmente degni di protezione sono coinvolti da un'esternalizzazione del trattamento dati all'estero, è obbligatorio un consenso esplicito. Se questo non avviene, la clausola di esternalizzazione non è valida.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/22--rapporto-d-attivita-2014-2015/trasmissione-di-banche-dati-contenenti-pseudonimi-allestero.html