Le risultanze istruttorie hanno evidenziato che le banche agiscono quali autonomi titolari del trattamento.
Da ciò consegue che il flusso di dati personali riferiti ai clienti nell'ambito di gruppi si configura come
comunicazione a terzi.
Nell'informativa resa alla clientela, pertanto, ai sensi dell'art. 13 del Codice, ogni banca-titolare del
trattamento deve indicare che i dati personali della clientela possono essere oggetto di comunicazione ad
altri titolari del trattamento nell'ambito del medesimo gruppo bancario.
In relazione al profilo del consenso, si rileva che la comunicazione di dati, in tale ambito, è possibile solo
ove sia stato acquisito il consenso informato dell'interessato (art. 23 del Codice) o si sia in presenza di
uno dei presupposti di esonero del consenso previsti dall'art. 24 del Codice.
Al contrario, il flusso di dati tra diverse agenzie o filiali di una stessa banca costituisce circolazione di
informazioni all'interno di un unico titolare del trattamento e, non configurando un'operazione di
comunicazione di dati a terzi, non richiede il consenso degli interessati.
L'informativa, tuttavia, potrà contenere anche l'indicazione che i dati della clientela potranno circolare tra
le agenzie o filiali di ciascuna banca.
3. La circolazione delle informazioni tra le banche del gruppo e i soggetti che gestiscono i sistemi
informativi
contenenti
dati
bancari
della
clientela.
3.1. Aspetti organizzativi emersi a seguito dell'attività istruttoria condotta
.
Sotto il profilo organizzativo, all'esito dell'attività ispettiva è emerso che i sistemi informativi contenenti i
dati relativi alla clientela delle banche, mediante i quali vengono registrati gli accessi dei dipendenti a tali
dati, sono gestiti da società (interne o esterne alla compagine di gruppo) con le quali ciascuna banca
stipula appositi contratti di servizio. In proposito, l'ABI ha individuato due tipologie organizzative:
1. gruppi bancari caratterizzati da una gestione prevalentemente interna del sistema informativo […]
affidata a una società di servizio appartenente al gruppo bancario, che si configura come soggetto terzo
Responsabile o, in alcuni casi, Titolare del trattamento dei dati personali […];
2. gruppi bancari/banche caratterizzati da una gestione prevalentemente esterna del sistema
informativo […] caratterizzati da un elevato livello di outsourcing, in relazione alla gestione
del sistema informativo. In questo caso, la banca titolare del trattamento, esternalizzando la
gestione dei dati, designa il soggetto terzo "responsabile del trattamento".
Nell'ambito della prima tipologia organizzativa, l'ABI ha evidenziato che la c.d. società "strumentale",
nella maggior parte dei casi, assume la veste di titolare autonomo del trattamento dei dati della clientela;
sono anche presenti, tuttavia, casi residuali di designazione della stessa come responsabile del
trattamento.
Nell'ambito di tale tipologia si possono evidenziare due ulteriori sottocategorie:
a) le realtà bancarie di grandi dimensioni, ove la gestione dei sistemi informativi è affidata a una società
"strumentale" interna al gruppo che può assumere diverse forme -tra cui quella del consorzio- e che può
avvalersi di soggetti terzi per la gestione di talune attività soprattutto di carattere infrastrutturale;
b) le realtà bancarie di medie dimensioni, ove si configurano sistemi informativi in alcuni casi
analoghi a quelli descritti alla precedente lettera a), in altri casi centralizzati presso la
capogruppo.
Nell'ambito della seconda tipologia organizzativa descritta dall'ABI, la gestione del sistema informativo
mediante il quale vengono effettuate operazioni di trattamento dei dati personali della clientela della
banca è affidata, in prevalenza, a un unico soggetto terzo (solo in casi limitati sono previsti anche più
soggetti, in genere in numero non superiore a due) che "partecipa alle attività di trattamento e gestione