/ Fiscalità e regolamentazione / Come le banche proteggono la tua privacy secondo il GDPR ed evitano fughe di dati?
Pubblicato il Maggio 15, 2024

La protezione dei tuoi dati bancari non è una promessa, ma un insieme di processi tecnici e legali che hai il diritto di verificare.

  • Le banche usano tecniche come la pseudonimizzazione per proteggere i dati anche dall’accesso dei propri dipendenti.
  • La normativa PSD2 ti dà il controllo sulle app di terzi collegate al tuo conto, ma devi gestirlo attivamente.

Raccomandazione: Esegui un audit personale dei consensi almeno ogni tre mesi e usa i modelli forniti in questa guida per esercitare i tuoi diritti di accesso e controllo.

La preoccupazione per la sicurezza dei propri dati finanziari è più che legittima. In un mondo digitale dove ogni transazione lascia una traccia, il timore che le informazioni personali possano cadere nelle mani sbagliate, essere usate per scopi commerciali non autorizzati o, peggio, per un furto d’identità, è concreto. Molti si affidano all’idea che la propria banca, in quanto istituzione solida, sia una fortezza impenetrabile. Si sente spesso parlare dei diritti garantiti dal GDPR, come il diritto di accesso o di cancellazione, ma questi concetti rimangono spesso astratti, percepiti come clausole legali complesse piuttosto che come strumenti pratici a disposizione del cittadino.

L’approccio comune si ferma alla superficie: si consiglia di leggere informative sulla privacy lunghe e complesse o di fare attenzione alle email di phishing. Ma questo sposta la responsabilità quasi interamente sul cliente. E se la vera chiave per la sicurezza non fosse solo difendersi dalle minacce esterne, ma comprendere e verificare le protezioni interne che la banca è obbligata ad attuare? La tua privacy non dipende da una promessa, ma da un’ingegneria della protezione precisa e verificabile. Questo articolo adotta la prospettiva di un Data Protection Officer (DPO) per svelare i meccanismi operativi che trasformano i tuoi diritti da testo di legge a realtà tangibile.

Esploreremo come le banche devono gestire i tuoi dati, dalle tecniche per nascondere la tua identità nei sistemi di test, agli obblighi di cancellazione dopo la chiusura di un conto, fino alla gestione sicura dell’Open Banking. L’obiettivo è darti la conoscenza per passare da un ruolo passivo a uno attivo: non solo sperare di essere protetto, ma sapere come verificare che la tua privacy sia un pilastro fondamentale dell’architettura della tua banca.

Per chi preferisce un formato video, il Garante per la Protezione dei Dati Personali offre una sintesi chiara sui diritti fondamentali del cittadino nell’era digitale. Questo video introduce i principi di libertà e controllo che sono alla base del Regolamento Europeo.

Per navigare con chiarezza attraverso i meccanismi di protezione che la tua banca deve adottare, abbiamo strutturato questo articolo in sezioni specifiche. Ogni sezione risponde a una domanda precisa, fornendo strumenti e conoscenze per un controllo attivo della tua privacy finanziaria.

Sommario: La tua guida operativa alla privacy bancaria secondo il GDPR

Perché hai diritto di sapere esattamente quali dati la banca conserva e come li protegge?

Il Regolamento Generale sulla Protezione dei Dati (GDPR), all’articolo 15, stabilisce un principio fondamentale: il diritto di accesso. Non si tratta di una mera formalità, ma del tuo potere di interrogare la banca e ottenere una mappa completa delle tue informazioni personali. Questo diritto non si limita a sapere “se” la banca ha i tuoi dati, ma impone all’istituto di fornire dettagli precisi su quali categorie di dati sono trattate (anagrafici, transazionali, di profilazione), per quali finalità, con chi vengono condivisi (ad esempio, società di recupero crediti, partner commerciali) e per quanto tempo verranno conservati. Questo è il primo passo per un audit personale sulla gestione della propria privacy.

Esercitare questo diritto è più semplice di quanto si pensi. Non servono avvocati: è sufficiente una richiesta formale, via PEC o raccomandata, in cui si specificano le informazioni desiderate. La banca ha 30 giorni di tempo per rispondere in modo chiaro e completo. Un rifiuto o una risposta parziale non solo è una violazione dei tuoi diritti, ma può anche essere un campanello d’allarme su una gestione poco trasparente dei dati. Questo potere di verifica è la prima linea di difesa contro l’uso improprio delle tue informazioni.

Studio di caso: Sanzione per accesso negato

Un esempio concreto del rigore delle autorità è la sanzione inflitta alla Banca di Credito Cooperativo Appulo Lucana. Una dipendente aveva richiesto accesso completo al proprio fascicolo personale. La banca ha fornito solo documenti parziali, omettendo informazioni cruciali. Per questa violazione degli articoli 12 (trasparenza) e 15 (accesso) del GDPR, il Garante per la protezione dei dati personali ha emesso una sanzione di 20.000 euro. Questo caso dimostra che il diritto di accesso è un obbligo inderogabile e che le omissioni vengono punite.

Per facilitare l’esercizio di questo diritto, è possibile utilizzare un modello di richiesta standard. Di seguito, i punti chiave da includere nella tua comunicazione alla banca:

  • Oggetto: Richiesta di accesso ai dati personali ex art. 15 GDPR
  • Contenuto: Indicare i propri dati anagrafici e numero di conto/cliente.
  • Richiesta specifica: Chiedere l’elenco completo delle categorie di dati personali trattati.
  • Condivisione: Domandare l’elenco delle terze parti (nomi e categorie) con cui i dati sono stati condivisi.
  • Conservazione: Richiedere di conoscere i periodi di conservazione previsti per ogni categoria di dato.
  • Scadenza: Concludere menzionando l’attesa di un riscontro entro il termine di 30 giorni previsto dalla normativa.

Non considerare questo diritto come un’azione ostile, ma come un normale esercizio di controllo e trasparenza, un pilastro della fiducia tra te e il tuo istituto finanziario.

Come la banca nasconde il tuo nome dai database di test per evitare che i dipendenti vedano tutto?

Uno dei rischi meno noti per la privacy non proviene da hacker esterni, ma dall’interno della banca stessa. Sviluppatori, analisti e tester necessitano di dati per costruire e manutenere applicazioni, aggiornare i sistemi o eseguire simulazioni. Utilizzare dati reali di clienti in questi ambienti di “non-produzione” costituirebbe un’enorme vulnerabilità. Qualsiasi dipendente con accesso a questi sistemi potrebbe, in teoria, visualizzare informazioni sensibili. Per questo, il GDPR promuove i principi di privacy by design e by default, che obbligano le banche a implementare misure tecniche di protezione fin dalla fase di progettazione dei sistemi.

Le due tecniche principali utilizzate sono la pseudonimizzazione e l’anonimizzazione. Con la pseudonimizzazione, i dati identificativi diretti (come nome, cognome, codice fiscale) vengono sostituiti da codici fittizi (pseudonimi). I dati rimangono utili per i test (es. l’analisi di un flusso di transazioni è ancora possibile), ma non sono direttamente riconducibili a una persona specifica senza una chiave di decodifica, conservata in modo sicuro e separato. L’anonimizzazione è un processo più radicale e irreversibile, che elimina qualsiasi possibilità di re-identificazione. Per gli ambienti di test, la pseudonimizzazione è spesso la soluzione preferita perché preserva l’utilità statistica dei dati.

Questi meccanismi di ingegneria della privacy creano una barriera fondamentale tra il personale tecnico e le tue informazioni personali. Anche se un dipendente accede al database di test, vedrà solo codici alfanumerici al posto dei nomi dei clienti, proteggendo la riservatezza. La mancanza di controlli adeguati può portare a gravi violazioni, come dimostrano casi reali di accessi non autorizzati da parte di dipendenti. Ad esempio, un caso recente di Intesa Sanpaolo ha rivelato che l’accesso anomalo da parte di un dipendente ai dati di alcuni clienti ha portato a una notifica al Garante, evidenziando come anche i grandi istituti debbano costantemente vigilare su questi rischi interni.

Chiedere alla propria banca quali misure di pseudonimizzazione adotta è un tuo diritto, parte di quella trasparenza che il GDPR impone. Dimostra una maturità nella gestione della privacy che va oltre i semplici obblighi di legge.

Dati in cloud o in sede: quale architettura offre maggiori garanzie di riservatezza oggi?

La domanda su dove risiedano fisicamente i dati bancari è diventata centrale. Tradizionalmente, le banche hanno sempre gestito i dati all’interno dei propri data center “on-premise”, ovvero in infrastrutture di loro proprietà e sotto il loro diretto controllo fisico. Questo approccio offre il massimo livello di sovranità dei dati, poiché le informazioni non lasciano mai il perimetro aziendale (e spesso nazionale). Tuttavia, mantenere un’infrastruttura proprietaria sicura e aggiornata richiede investimenti enormi e competenze specialistiche costanti.

Oggi, sempre più istituti si affidano a provider di servizi cloud, che offrono flessibilità, scalabilità e livelli di sicurezza fisica e informatica spesso superiori a quelli che una singola banca potrebbe permettersi. I grandi provider cloud investono miliardi in sicurezza e dispongono di certificazioni internazionali (come ISO 27001). Però, l’uso del cloud introduce una complessità: la sovranità dei dati. Se un provider ha sede negli Stati Uniti, i dati potrebbero essere soggetti al CLOUD Act, una legge statunitense che consente alle autorità americane di richiedere l’accesso a dati conservati dai loro provider, anche se questi si trovano fisicamente in Europa. Questo crea un potenziale conflitto con il GDPR.

Per bilanciare sicurezza e sovranità, sta emergendo un approccio europeo. Progetti come Gaia-X, a cui aderiscono anche importanti banche italiane come Intesa Sanpaolo, mirano a creare un’infrastruttura cloud federata basata su standard europei. L’obiettivo è garantire che i dati strategici, inclusi quelli bancari, siano gestiti secondo regole chiare di sicurezza e sovranità digitale, mitigando i rischi legati a giurisdizioni extra-UE. Il futuro è probabilmente ibrido: dati critici su cloud “sovrani” o on-premise, e servizi meno sensibili su cloud pubblici.

Per una visione più chiara delle differenze, ecco un confronto diretto tra le due architetture, basato su un’analisi comparativa recente del settore.

Cloud vs On-premise: confronto per le banche italiane
Aspetto Cloud Certificato Data Center On-premise
Certificazioni ISO 27001, SOC 2 Variabile per dimensione banca
Conformità GDPR Clausole contrattuali standard UE Controllo diretto
Sovranità dati Dipende dal provider (rischio CLOUD Act USA) Completa in territorio italiano
Costi sicurezza Inclusi nel servizio Investimenti diretti elevati

Come cliente, hai il diritto di chiedere alla tua banca dove e come i tuoi dati vengono conservati, e quali misure sono in atto per garantire la sovranità delle tue informazioni personali nel contesto globale.

L’errore di pensare che i tuoi dati siano al sicuro solo perché la tua banca non è stata hackerata

L’immaginario collettivo associa la fuga di dati a un attacco diretto alla banca, un “cyber-assalto” in grande stile. Sebbene questo rischio esista, la realtà della sicurezza informatica moderna è molto più complessa e interconnessa. Il vero tallone d’Achille per molte organizzazioni, incluse le banche, è la cosiddetta supply chain, ovvero la rete di fornitori e partner esterni. La tua banca si affida a decine, se non centinaia, di società terze per servizi cruciali: software di contabilità, piattaforme di marketing, servizi di consulenza, gestione documentale, e molto altro. Ognuno di questi fornitori rappresenta un potenziale punto di ingresso per una minaccia.

Un attacco alla supply chain avviene quando un cybercriminale, invece di attaccare direttamente il bersaglio finale (la banca), compromette uno dei suoi fornitori meno sicuri. Una volta all’interno della rete del fornitore, può sfruttare la connessione di fiducia per infiltrarsi nei sistemi della banca. Il perimetro di rischio, quindi, non è più limitato alle mura digitali dell’istituto di credito, ma si estende a ogni singolo anello della sua catena di fornitura. È un errore pensare “la mia banca è sicura”; la domanda corretta è: “quanto è sicura la rete di partner della mia banca?”.

Visualizzazione del rischio supply chain nelle reti di fornitori bancari

Le banche sono obbligate dal GDPR a garantire che anche i loro fornitori rispettino standard di sicurezza adeguati (art. 28 GDPR), ma la vigilanza è un’attività complessa e continua. I numeri confermano che le violazioni sono un evento tutt’altro che raro. Secondo i dati ufficiali, il Garante Privacy ha registrato nel 2024 una media di quasi 6 violazioni di dati personali al giorno in Italia, per un totale di oltre 2.200 notifiche. Molte di queste non derivano da attacchi diretti, ma da incidenti, errori umani o vulnerabilità presso terze parti.

Nel 2021, secondo CLUSIT, la percentuale degli attacchi cyber in Europa è cresciuta del 5% rispetto all’anno precedente

– CLUSIT, Rapporto sulla sicurezza ICT in Italia

La tua sicurezza, quindi, non dipende solo dalla solidità della serratura della porta principale della banca, ma anche dalla qualità di tutte le chiavi in mano ai suoi partner. La trasparenza su questa rete di fornitori è un altro aspetto chiave della conformità al GDPR.

Quando la banca è obbligata a cancellare definitivamente tutto il tuo storico dopo la chiusura del conto?

Il “diritto all’oblio”, sancito dall’articolo 17 del GDPR, è uno dei più potenti a disposizione dei cittadini. In linea di principio, una volta che il rapporto contrattuale con la banca cessa (ad esempio, con la chiusura del conto corrente), l’istituto non ha più una base legale per continuare a trattare i tuoi dati personali e dovrebbe quindi cancellarli. Tuttavia, nel settore bancario questo diritto si scontra con una serie di obblighi di legge che impongono alla banca di conservare determinate informazioni per periodi di tempo specifici, anche contro la volontà del cliente.

La normativa più importante in questo contesto è quella sull’antiriciclaggio (D.Lgs. 231/2007). Questa legge obbliga le banche a conservare i dati anagrafici e le registrazioni di tutte le operazioni per un periodo di 10 anni dalla chiusura del rapporto. Questo obbligo prevale sul diritto all’oblio del GDPR. Lo scopo è permettere alle autorità di vigilanza, come la Banca d’Italia e l’Unità di Informazione Finanziaria, di ricostruire le movimentazioni finanziarie in caso di indagini per riciclaggio di denaro o finanziamento del terrorismo.

Esistono però delle eccezioni. I dati raccolti per finalità diverse da quelle obbligatorie per legge, come i dati utilizzati per il marketing e la profilazione commerciale, non sono soggetti a questi lunghi periodi di conservazione. Per queste informazioni, hai il diritto di chiederne la cancellazione immediata in qualsiasi momento, anche durante il rapporto con la banca, semplicemente revocando il consenso. La banca deve quindi distinguere attentamente tra i dati che è obbligata a tenere e quelli che deve eliminare su richiesta.

Per fare chiarezza, è utile consultare una tabella riassuntiva basata sulle disposizioni normative vigenti in Italia, come dettagliato in diverse analisi di settore.

Tempi di conservazione dati bancari per obbligo normativo
Tipo di dato Periodo conservazione Riferimento normativo
Dati transazionali e anagrafici 10 anni D.Lgs. 231/2007 (Antiriciclaggio)
Dati contratti specifici 5 anni Art. 2948 c.c.
Consensi marketing Cancellazione immediata su richiesta Art. 17 GDPR
Log accessi dipendenti 24 mesi Provvedimento Garante 192/2011

Al termine del periodo di conservazione obbligatorio, la banca è tenuta a cancellare o anonimizzare in modo irreversibile i dati. Hai il diritto di chiedere conferma dell’avvenuta cancellazione.

Come revocare l’accesso ai dati bancari alle app che non usi più?

L’introduzione della direttiva PSD2 e dell’Open Banking ha aperto le porte a un ecosistema di nuove applicazioni finanziarie (FinTech). Molti di noi usano app per aggregare conti, gestire budget o effettuare pagamenti, autorizzandole ad accedere ai nostri dati bancari. Questo avviene tramite un consenso esplicito che forniamo attraverso l’interfaccia della nostra banca. Se da un lato queste app offrono servizi innovativi, dall’altro creano un nuovo fronte di rischio per la privacy. Ogni app a cui concediamo l’accesso diventa un ulteriore custode dei nostri dati, ampliando il perimetro di potenziale vulnerabilità.

Il problema è che spesso, dopo aver provato un’app e smesso di usarla, ci si dimentica di revocare il consenso. L’app potrebbe quindi continuare ad avere un accesso “dormiente” ai nostri dati, o conservare lo storico delle informazioni raccolte. È fondamentale condurre un audit personale periodico dei consensi attivi. Tutte le banche sono obbligate a fornire, all’interno del proprio home banking, una sezione dedicata alla “Gestione consensi PSD2” o “App collegate”. Da qui è possibile visualizzare l’elenco di tutte le terze parti (TPP – Third Party Provider) autorizzate e revocare l’accesso con un semplice click.

Diversi clienti hanno scoperto che le banche inviavano per errore documenti bancari tramite WhatsApp ai destinatari sbagliati o spedivano ripetutamente messaggi pubblicitari nonostante l’opposizione, evidenziando l’importanza di controllare regolarmente le autorizzazioni attive.

Federprivacy

La revoca del consenso tramite l’home banking interrompe l’accesso futuro, ma non cancella i dati che l’app ha già raccolto. Per questo, è buona norma inviare anche una richiesta di cancellazione dati direttamente al provider dell’app, esercitando il proprio diritto all’oblio (art. 17 GDPR).

Il tuo piano d’azione per la revoca dei consensi PSD2

  1. Accedi all’home banking della tua banca e cerca la sezione dedicata alla gestione dei consensi o delle app collegate (solitamente chiamata “Gestione consensi PSD2” o “Servizi di terze parti”).
  2. Analizza attentamente l’elenco delle applicazioni e dei servizi che hanno un accesso attivo ai tuoi dati.
  3. Per ogni app che non utilizzi più o di cui non ti fidi, seleziona l’opzione per revocare il consenso. La banca è obbligata a rendere questa operazione semplice e immediata.
  4. Dopo aver revocato l’accesso, invia un’email separata direttamente al fornitore dell’app, richiedendo la cancellazione di tutti i dati storici raccolti in base all’art. 17 del GDPR.
  5. Imposta un promemoria sul tuo calendario (ad esempio, ogni tre o sei mesi) per ripetere questo controllo e mantenere pulita la lista degli accessi.

La gestione attiva dei consensi è una responsabilità condivisa. Rileggere la procedura per revocare gli accessi delle app è il primo passo per riprendere il controllo.

Questo check-up periodico è una delle abitudini più importanti per la propria igiene digitale e per limitare l’esposizione dei dati finanziari a solo ciò che è strettamente necessario.

Come segnalare pratiche commerciali scorrette o truffe finanziarie all’autorità di vigilanza?

Sapere a chi rivolgersi quando si sospetta una violazione è tanto importante quanto conoscere i propri diritti. Il sistema italiano prevede diverse autorità di vigilanza, ciascuna con competenze specifiche. Identificare l’interlocutore corretto è il primo passo per una segnalazione efficace. Un errore comune è inviare un reclamo generico alla propria banca, che potrebbe non essere la parte responsabile o avere l’interesse a investigare a fondo, specialmente se la pratica scorretta è interna.

Per le questioni strettamente legate alla violazione della privacy (es. dati usati senza consenso, mancata risposta a una richiesta di accesso), l’autorità competente è il Garante per la Protezione dei Dati Personali. Il suo sito web offre moduli online per presentare reclami e segnalazioni in modo strutturato. Se il problema riguarda invece la pubblicità ingannevole o pratiche commerciali aggressive, l’ente preposto è l’AGCM (Autorità Garante della Concorrenza e del Mercato). Per problemi legati a prodotti di investimento o alla trasparenza dei costi, ci si può rivolgere a Banca d’Italia o Consob. In caso di frodi informatiche come il phishing, la denuncia va presentata alla Polizia Postale.

Infine, per le controversie con la banca di importo inferiore a 200.000 euro, esiste uno strumento di risoluzione stragiudiziale molto efficace: l’Arbitro Bancario Finanziario (ABF). È più rapido ed economico di un tribunale ordinario. Queste autorità non sono entità astratte; hanno poteri ispettivi e sanzionatori concreti. Come dimostrano i dati, nel 2024 il Garante ha inflitto sanzioni per un totale di quasi 24 milioni di euro, a seguito di migliaia di reclami.

Ecco una mappa per orientarsi tra le diverse competenze, basata sulle indicazioni ufficiali delle autorità.

Mappa delle autorità competenti per tipo di violazione
Tipo di violazione Autorità competente Come segnalare
Violazione privacy/dati personali Garante Privacy Modulo online su garanteprivacy.it
Pubblicità ingannevole AGCM Segnalazione su agcm.it
Problemi prodotti investimento Banca d’Italia/Consob Esposto online o PEC
Frodi informatiche Polizia Postale Denuncia presso uffici territoriali
Controversie < 200.000€ ABF Ricorso online su arbitrobancariofinanziario.it

La segnalazione non è solo un atto di tutela personale, ma un contributo alla salute dell’intero sistema finanziario, aiutando le autorità a identificare e correggere pratiche scorrette a beneficio di tutti i consumatori.

Punti chiave da ricordare

  • Il tuo diritto di accesso (Art. 15 GDPR) non è una formalità, ma uno strumento di audit per verificare quali dati la banca ha, come li usa e con chi li condivide.
  • La sicurezza dei dati non riguarda solo gli hacker: tecniche come la pseudonimizzazione sono cruciali per proteggere le tue informazioni dall’accesso interno dei dipendenti.
  • L’Open Banking (PSD2) ti dà il controllo, ma richiede una gestione attiva: esegui un controllo periodico delle app collegate al tuo conto e revoca i consensi non più necessari.

Cosa cambia davvero per i tuoi dati bancari con la PSD2 e l’Open Banking?

La Direttiva sui Servizi di Pagamento 2 (PSD2) e il concetto di Open Banking hanno rappresentato una delle più grandi trasformazioni del settore finanziario degli ultimi decenni. L’obiettivo era stimolare la concorrenza e l’innovazione, obbligando le banche ad “aprire” le proprie infrastrutture a terze parti autorizzate (TPP) tramite API (Application Programming Interfaces) sicure. Questo ha permesso la nascita di servizi che prima erano impensabili: app che aggregano tutti i tuoi conti in un’unica vista, strumenti di pianificazione finanziaria che analizzano le tue spese, e sistemi di pagamento innovativi. Per il consumatore, il beneficio è una maggiore scelta e servizi più personalizzati.

Tuttavia, questa “apertura” ha cambiato radicalmente il paradigma della privacy. Prima della PSD2, i tuoi dati finanziari vivevano quasi esclusivamente all’interno della tua banca. Oggi, ogni volta che autorizzi un’app di terze parti, crei una copia parziale dei tuoi dati o un canale di accesso continuo. La responsabilità della protezione si sposta da un singolo custode (la banca) a un ecosistema di attori interconnessi. La sicurezza del sistema nel suo complesso dipende dalla solidità dell’anello più debole.

Per mitigare questo rischio, la PSD2 impone requisiti di sicurezza molto stringenti, come la Strong Customer Authentication (SCA), e stabilisce che solo le entità autorizzate dalle autorità nazionali (in Italia, la Banca d’Italia) possono accedere ai dati. Piattaforme come CBI Globe, utilizzata dalla maggior parte delle banche italiane, agiscono come un hub standardizzato per garantire che questo scambio di dati avvenga in un ambiente controllato e sicuro. CBI Globe crea un’infrastruttura comune che facilita la comunicazione tra banche e TPP, garantendo al contempo il rispetto delle regole di sicurezza e trasparenza.

Studio di caso: L’ecosistema italiano dell’Open Banking attraverso CBI Globe

CBI Globe è una piattaforma collaborativa che agisce da intermediario tecnologico per quasi l’80% del mercato bancario italiano. Invece di costringere ogni banca a sviluppare e mantenere API separate per ogni TPP, CBI Globe offre un gateway unico e standardizzato. Questo non solo riduce i costi e la complessità, ma soprattutto innalza il livello di sicurezza, garantendo che lo scambio di dati tra banche e terze parti avvenga in un ambiente di fiducia, supervisionato e conforme alle normative europee e nazionali.

Per consolidare la tua comprensione di questo nuovo scenario, è utile rivedere come la PSD2 ha ridefinito la gestione dei dati bancari.

In conclusione, l’Open Banking non significa che i tuoi dati siano “liberi” e senza protezione. Significa che il controllo è passato nelle tue mani. Ogni consenso che dai è una tua decisione, e la capacità di monitorare e revocare questi consensi, come visto in precedenza, è lo strumento principale per navigare in sicurezza in questo nuovo ecosistema finanziario.

Domande frequenti su privacy e dati bancari

Cosa fare se la banca non cancella i dati dopo la richiesta?

Ci si può rivolgere al Garante per la protezione dei dati personali con le modalità indicate all’art. 77 del Regolamento UE 2016/679. In caso di rifiuto implicito o di risposta insoddisfacente, è possibile presentare un reclamo formale. Il Garante può avviare un’istruttoria e, se accerta la violazione, ordinare alla banca di adempiere alla richiesta e irrogare sanzioni.

La banca può rifiutarsi di cancellare i dati per obblighi di legge?

Sì, la banca non solo può, ma deve rifiutarsi di cancellare determinate categorie di dati se sussiste un obbligo legale di conservazione. L’esempio più importante è la normativa antiriciclaggio, che impone una conservazione decennale dei dati transazionali. Questi obblighi legali prevalgono sul diritto all’oblio previsto dal GDPR.

Posso richiedere una prova dell’avvenuta cancellazione?

Sì, è un tuo diritto. Dopo aver richiesto la cancellazione dei dati per i quali non sussistono obblighi di conservazione (es. dati di marketing), puoi chiedere alla banca una conferma scritta che attesti l’avvenuta eliminazione. Questa conferma dovrebbe specificare quali categorie di dati sono state cancellate in modo definitivo dai loro sistemi.

Scritto da Alessandro Conti, Dottore Commercialista e Revisore Legale esperto in fiscalità degli strumenti finanziari e tutela del patrimonio. Specialista in dichiarazione dei redditi, calcolo ISEE e normative successorie legate ai conti bancari.
Tassazione al 12,5% o al 26%: come scegliere gli strumenti giusti per pagare meno tasse legalmente?
Come il Fondo Interbancario e le leggi europee proteggono i tuoi soldi se la banca fallisce?
Novità del sito
Quanto puoi permetterti di chiedere in prestito prima che la banca ti dica di no (Rapporto Rata/Reddito)?
Rata del mutuo troppo alta: quali opzioni hai oggi per abbassarla senza perdere la casa?
Simulatore rata prestito: quanto sono affidabili i preventivi online rispetto all’offerta reale in filiale?
Come le banche analizzano i tuoi ultimi 6 mesi di movimenti prima di concederti un mutuo?
App aggregatrici di conti: sono sicure per monitorare tutte le tue banche in una sola schermata?
Post simili
Come il patrimonio mobiliare influenza il tuo ISEE e strategie legali per non perdere i bonus
Giacenza Media per ISEE: La guida rapida per non perdere i bonus (e risolvere i problemi con la banca)
Hai perso soldi in borsa? Come usare le minusvalenze per non pagare tasse sui guadagni futuri
Vendere in guadagno: come funziona la tassazione sul Capital Gain e quando conviene incassare?