Dati personali: nozione e trattamento in ambito bancario

Nel settore bancario la capacità di interpretare correttamente il concetto di dato personale è diventata un elemento essenziale, perché l’operatività quotidiana espone gli operatori a un flusso continuo di informazioni che rientrano ormai stabilmente nell’ambito di applicazione del GDPR.

La giurisprudenza più recente e i provvedimenti del Garante, tanto italiano quanto europeo, mostrano infatti come la nozione di dato personale si sia progressivamente ampliata, includendo elementi come i log applicativi, le registrazioni telefoniche, le tracce di utilizzo dei servizi online o gli indicatori generati dai sistemi utilizzati per la valutazione del rischio correlato al merito creditizio.

In parallelo, la responsabilità dell’intermediario emerge non solo quando si verifica una violazione evidente del GDPR, ma soprattutto quando la gestione interna dei dati risulta non trasparente, incompleta o non proporzionata rispetto alla finalità perseguita.

Il corso offre quindi una ricostruzione articolata della disciplina, analizzando le più recenti pronunce della Corte di Giustizia UE ed i provvedimenti più rilevanti dell’EDPB e del Garante Privacy, al fine di approfondire il mutato concetto di dato personale, nonché i presupposti del trattamento lecito dei dati in ambito bancario e la conseguente corretta gestione dei diritti degli interessati: particolare attenzione, pertanto, verrà posta proprio sulle attività che coinvolgono specificamente gli operatori bancari, come quelle attinenti al merito creditizio, ai servizi di pagamento ed alle verifiche AML.

Tematiche oggetto di attenzione e discussione

SESSIONE ANTIMERIDIANA

Dati personali e identificazione delle persone fisiche

• La nozione di dato personale nel GDPR: la centralità del concetto di identificazione/identificabilità
• Mezzi e fattori per identificare una persona fisica
• Pseudonimizzazione Vs. anonimizzazione: quando i dati pseudinimizzati si considerano dati personali
• La nuova nozione di dato personale relativa e contestuale: la sentenza Deloitte della Corte di Giustizia UE del 04 settembre 2025
• L’implementazione di misure tecniche ed organizzative che garantiscano l’impossibilità di re-identificazione:
  • sistemi di separazione e custodia delle chiavi
  • implementazione di log di tracciamento
  • policy di conservazione e cancellazione dei dati
• Il trasferimento a terzi di dati pseudonimizzati: presidi e garanzie per gli interessati
  • DPIA e analisi del rischio di re-identificazione
  • Obblighi di trasparenza e ulteriori specifiche nelle informative privacy

Il trattamento legittimo dei dati personali in ambito bancario

• L’approccio risk based del GDPR applicato al trattamento di dati in ambito bancario
• Le “finalità legittime” del trattamento da parte delle banche
• Le modalità di trattamento dei dati nell’attività bancaria, alla luce dei principi generali del GDPR
• Gli obblighi informativi minimi sul trattamento specifico dei dati personali: il caso della registrazione delle chiamate
• Il divieto di divulgazione dei dati bancari
• Le condizioni di legittimità delle richieste di accesso ai dati dei conti correnti da parte dell’Autorità giudiziaria (Corte di Giustizia UE, cause riunite C-313/23, C-316/23 e C-332/23, Inspektorat kam Visshia sadeben savet, del 30/04/2025)
• Garanzie di liceità delle consultazioni interne sui dati bancari dei clienti: tracciamento dei log e tempi di conservazione dei dati

La corretta gestione dei diritti degli interessati

• La gestione delle richieste di accesso ai dati bancari da parte del cliente
• Le criticità correlate al recupero di dati da sistemi legacy ed ai tempi di risposta
• Il difficile rapporto fra normativa AML e diritto di accesso
• L’accesso ai dati personali delle telefonate con gli operatori di banca
• L’accesso alle informazioni relative ai log degli accessi ai dati personali: la sentenza Pankki S della Corte di Giustizia UE
• Le garanzie di effettività del diritto alla cancellazione dei dati personali
• L’esercizio dei diritti di rettifica e di modifica dei consensi per marketing e profilazione

SESSIONE POMERIDIANA

Il trattamento dei dati antiriciclaggio

• La compliance integrata col GDPR
• L’obbligo di analisi del rischio a mezzo DPIA
• L’identificazione di una valida base giuridica per l’adeguata verifica
• L’uso di fonti esterne per l’adeguata verifica
• Le deroghe al divieto di divulgazione dei dati personali ed i presidi a tutela dei dati dei clienti
  • l’adeguata verifica svolta da terzi intermediari
  • le SOS e la condivisione di informazioni sulle segnalazioni
  • la condivisione delle informazioni all’interno di un gruppo bancario

Il trattamento dei dati per la valutazione del merito creditizio

• I dati oggetto di trattamento
• L’utilizzo delle banche dati pubbliche e private
• Le condizioni di liceità del trattamento dei dati giudiziari per la valutazione di solvibilità
• Credit scoring e trattamento automatizzato dei dati personali
• La portata del divieto ex art. 22 GDPR dalla sentenza SCHUFA alla sentenza Dun & Bradstreet Austria
• Le specificità della CCD 2 per il credito ai consumatori

Il trattamento dei dati correlati ai servizi di pagamento

• Il necessario coordinamento fra GDPR e PSD 2: le linee guida EDPB
• Le diverse nozioni di “consenso esplicito” e “dati sensibili”
• Il trattamento dei dati del “tacito interessato”
• L’applicazione concreta dei principi di minimizzazione, trasparenza, responsabilizzazione e sicurezza
• L’uso dei dati dei clienti per individuare frodi: analisi comportamentale e monitoraggio delle transazioni

Sede
Il Seminario sarà svolto a distanza in modalità Zoom meeting. I docenti saranno collegati in videoconferenza e i partecipanti potranno interagire a voce in tempo reale per sottoporre eventuali quesiti.

Ulteriori informazioni
FORMAZIONE FINANZIATA
In qualità di ente di formazione in possesso della Certificazione Qualità UNI EN ISO 9001:2015, Bancaria Consulting s.r.l. è abilitato ad organizzare corsi finanziabili attraverso Fondi Paritetici Interprofessionali.

Per ogni ulteriore informazione scrivi a:
formazione@dirittobancario.it
o chiama il numero di telefono 0444 1233891

Dati per effettuare il bonifico
Intestazione: Bancaria Consulting Srl
Banca: Banca per il Trentino Alto Adige
IBAN: IT35 Y 08304 01833 000009335839
Causale: indicare la data e il titolo del corso, insieme al nome del/dei partecipante/i

L’iscrizione si perfeziona mediante la procedura di acquisto online o con il ricevimento a mezzo e-mail del “Modulo di iscrizione” e della ricevuta di pagamento anticipato. Il pagamento anticipato, da eseguirsi a mezzo bonifico bancario alla coordinate indicate nel programma o sopra. Dell’avvenuta iscrizione verrà data conferma scritta tramite e-mail inviata all’indirizzo indicato al momento dell’iscrizione.