Garante della Privacy – Registro dei provvedimenti n. 286 del 22 giugno 2017
La Banca, per definizione, rappresenta il luogo ideale per la custodia e conservazione di dati e informazioni se non sensibili, certamente di una certa delicatezza.
Tutto nasce dalla denuncia presentata nel novembre del 2016 al “Garante della privacy” da parte di una signora, titolare di un conto corrente presso la banca Intesa San Paolo, con la quale ha lamentato “l’illecita comunicazione di dati personali che la riguardano ad un soggetto terzo non autorizzato”.
In tale contesto, la denunciante ha rappresentato che nell’ambito di un procedimento giudiziario dinanzi al Tribunale civile di Caltagirone, sezione lavoro, la controparte in giudizio ha depositato una memoria difensiva (di cui ha prodotto copia) nella quale sono riportate “date e cifre di versamenti” effettuati dall’interessata tra il 2010 al 2012.
Secondo quanto sostenuto dalla segnalante, l’anzidetta controparte in giudizio, avrebbe ricevuto le informazioni in questione da un proprio congiunto, dipendente di Intesa Sanpaolo S.p.A., il quale, all’epoca dei fatti, prestava servizio nella medesima filiale ove era incardinato il conto corrente dell’interessata.
Accertamenti interni da parte di Banca Intesa
Sulla scorta di mirati accertamenti interni, venivano riscontrati una serie di “accessi” da parte del “dipendente” indicato dalla denunciante, ritenuti “irrituali”.
L’istituto di credito ha inoltre precisato che “nonostante la circolarità tra le filiali della banca limitata ad alcune operazioni”, il soggetto in esame procedeva ad interrogare il conto corrente della segnalante anche da filiali diverse da quella di appartenenza del rapporto, senza apparenti motivazioni operative.
Come noto, infatti, all’epoca non era ancora scaduto il termine per l’attuazione delle prescrizioni previste dall’apposito provvedimento del Garante sulla privacy a suo tempo impartito[1].
Le valutazioni dell’Autorità.
Dagli accertamenti effettuati dalle strutture della banca preposte ai controlli sul tracciamento degli accessi ai sistemi informativi è risultato che il dipendente dell’istituto di credito in questione, ha posto in essere “una serie di accessi indebiti” al conto corrente della segnalante “da filiali diverse da quella di appartenenza del rapporto, senza apparenti motivazioni operative …”.
Pertanto, in assenza del consenso dell’interessata o di altro legittimo presupposto, si evidenziava un trattamento illecito di dati riferiti alla segnalante (artt. 11, lett. a), 23 e 24 del Codice) nelle forme della consultazione e della loro successiva divulgazione a terzi in violazione alla normativa richiamata (nel caso di specie, il congiunto del dipendente, controparte dell’interessata in giudizio civile).
Si segnala, in proposito, che i provvedimenti dell’Autorità sopracitati da un lato richiamano espressamente l’obbligo, per gli istituti di credito, di identificare la clientela nell’esecuzione delle diverse operazioni bancarie (v. par. 2.2 delle Linee guida) e dall’altro, prescrivono agli stessi l’effettuazione di attività di controllo interno, con cadenza almeno annuale, sulla legittimità e liceità degli accessi ai dati effettuati dai propri incaricati, prevedendo altresì che l’esito dell’attività di controllo sia messo a disposizione del Garante, in caso di specifica richiesta (v. par. 4.3.2 provvedimento del 12 maggio 2011).
Controllo interno della Banca
Al fine di contenere al minimo simili incidenti di percorso, gli istituti di credito, secondo le diposizioni impartite dal Garante sulla privacy – provvedimento indicato in nota – devono assumere concrete iniziative nell’ambito della propria organizzazione e dei controlli interni, anche in vista dell’entrata in vigore del nuovo Regolamento sulla protezione dei dati, di assicurare il rispetto del principio di “responsabilità del titolare del trattamento” (c.d. accountability) di cui all’art.24 del Regolamento (UE) 2016/679.
In tal senso, al netto di eventuali responsabilità anche di carattere penale in capo all’autore della condotta oggetto della segnalazione, il Garante ha inoltre ritenuto opportuno, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), prescrivere a Intesa Sanpaolo S.p.A. di verificare la possibilità di adottare ulteriori e più adeguate misure volte a implementare i controlli sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati del trattamento e a sensibilizzare gli stessi al rispetto delle istruzioni puntualmente impartite.
L’Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le previste violazioni amministrative concernenti il trattamento illecito dei dati.
Conclusioni del Garante sulla privacy
Con la dichiarazione di “illecito trattamento dei dati personali della segnalante”, effettuato da Intesa Sanpaolo S.p.A. per il tramite del proprio incaricato che ha posto in essere una serie di accessi al conto corrente della medesima, senza apparenti motivazioni operative, da filiali diverse da quella in cui il conto era radicato, l’Autorità ha acclarato le responsabilità emerse.
Con la sentenza depositata il 22 giugno u.s. da parte dell’Autorità, è stata tracciata una nuova strada sulla tutela alla riservatezza da parte dei clienti, imponendo nello stesso tempo ulteriori cautele ad accorgimenti in capo all’Istituto di credito in grado di evitare situazioni analoghe.
Insomma, la riservatezza, la tutela della privacy della clientela è una cosa seria e tutti gli accorgimenti finalizzati a preservarla non sono mai abbastanza!
===============
(1) Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie – 12 maggio 2011
(Pubblicato sulla Gazzetta Ufficiale n. 127 del 3 giugno 2011)
