Con decisione del 29 gennaio 2025, pubblicata il 1° luglio, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha concluso un’indagine ai sensi dell’art. 49 LPD nei confronti di Cembra Money Bank AG, riscontrando violazioni multiple dell’art. 25 cpv. 2 lett. b e cpv. 7 LPD tra il 1° dicembre 2023 e il 31 agosto 2024.
L’indagine ha avuto origine da due reclami distinti: in un caso, la banca non aveva fornito risposta entro il termine legale di 30 giorni; nell’altro, si era limitata a inviare una comunicazione generica, con l’elenco delle categorie di dati trattati e un rinvio alla privacy policy, senza trasmettere i dati personali veri e propri. Le verifiche dell’IFPDT hanno poi evidenziato che, su tredici richieste di accesso esaminate, nove erano state evase oltre i termini di legge e, in tutti i casi, la risposta iniziale era stata standardizzata. In un’occasione, la documentazione successivamente trasmessa comprendeva anche dati utilizzati per negare l’emissione di una carta di credito, a conferma dell’importanza di fornire sin da subito informazioni complete e pertinenti.
L’IFPDT ha sottolineato che il termine di 30 giorni per rispondere a una richiesta di accesso non è una semplice indicazione, ma un obbligo preciso. Può essere prorogato solo in casi eccezionali, a condizione che la decisione sia motivata e comunicata alla persona interessata. La risposta deve essere completa e includere tutti i dati personali effettivamente trattati, anche quelli ottenuti da analisi o strumenti interni, così da garantire la massima trasparenza e permettere all’interessato di esercitare pienamente i propri diritti, come quello di rettifica. Limitarsi a elencare categorie generiche di dati o a rinviare a un’informativa sulla privacy priva questo diritto della sua reale efficacia.
Il procedimento si è concluso con un avvertimento e l’addebito di un emolumento. L’IFPDT ha inoltre richiamato la banca alla piena osservanza della legge e ricordato che il mancato rispetto intenzionale di una simile ingiunzione può comportare sanzioni fino a CHF 250’000.
Il caso rappresenta un segnale forte per tutto il settore bancario: la gestione delle richieste di accesso non è una formalità, ma un banco di prova di trasparenza e affidabilità.
Riassumiamo cosa specifica la legge:
- Art. 25 LPD: il titolare deve fornire i dati personali “in quanto tali” entro 30 giorni.
- Proroga solo con motivazione scritta e comunicazione all’interessato.
- Eccezioni possibili solo nei casi previsti dall’art. 26 LPD, da giustificare per iscritto.
Come bisogna agire per essere conformi:
- Creare procedure interne chiare per gestire le richieste di accesso.
- Monitorare scadenze e usare il meccanismo di proroga quando necessario.
- Fornire risposte individualizzate con dati completi e pertinenti, non solo categorie o link.
- Documentare e motivare ogni eventuale limitazione dell’accesso.
Il rispetto puntuale del diritto di accesso non è solo un obbligo legale: è un segnale concreto di trasparenza e affidabilità, capace di rafforzare la fiducia dei clienti e proteggere la reputazione dell’organizzazione.
