[doc. web n. 1715015]

Riservatezza dei dati bancari - 18 marzo 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Daniele De Paoli, segretario generale reggente;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTE le "Linee guida in materia di trattamento di dati personali della clientela in ambito bancario", adottate dal Garante con deliberazione n. 53 del 25 ottobre 2007 e pubblicate sulla G.U. 23 novembre 2007, n. 273, con specifico riferimento ai punti 2.1 e 3.2 relativi, rispettivamente, all´inosservanza delle misure di sicurezza e alla comunicazione a terzi di dati personali della clientela che ne può discendere;

VISTO il reclamo presentato da XY nei confronti di Banca Sella Nord Est Bovio Calderari S.p.A. in ordine ad un accesso indebito ed alla comunicazione a terzi di dati bancari relativi all´interessato, successivamente utilizzati nell´ambito di un procedimento giudiziario;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan

PREMESSO

1. XY ha proposto un reclamo avverso Banca Sella Nord Est Bovio Calderari S.p.A. (di seguito, Banca) rappresentando che la propria moglie, nell´atto introduttivo del procedimento di separazione personale, aveva fatto riferimento ad informazioni che lo riguardavano relative ad alcuni suoi rapporti contrattuali in essere con detta Banca, producendo anche specifici documenti bancari denominati "rendiconto al 27.10.2006 del conto gestione "risparmio domani" […] della Banca Bovio Calderari" e "rendiconto al 27.10.2006 del deposito titoli […] della Banca Bovio Calderari" (contraddistinti ai nn. 13 e 14 dell´ "elenco documenti" allegato al menzionato ricorso per separazione personale dei coniugi).

Ritenendo che nel caso in questione si fosse verificata un´evidente violazione del segreto bancario e, comunque, dei principi posti dalla normativa in materia di protezione dei dati personali, soprattutto sotto il profilo della liceità e della correttezza nel trattamento dei dati, il sig. XY aveva deciso di rivolgersi al Garante affinché fosse accertata l´illiceità della condotta della Banca, sostanziatasi, a suo dire, in un´indebita comunicazione a terzi dei suoi dati personali. A riprova del fatto che tale comunicazione era avvenuta a sua insaputa, il reclamante ha prodotto copia di una "dichiarazione di servizio rilasciata da Telecom Italia S.p.A. presso la quale […] è dipendente dalla quale si desumono l´orario di entrata e di uscita, nonché della dichiarazione della mensa aziendale (mensa interna alla sede lavorativa), dichiarazioni dalle quali si evince che […] non si è allontanato dal posto di lavoro se non dopo l´orario indicato, orario comunque successivo a quello di chiusura della banca […]" (cfr. reclamo del 14 ottobre 2008, p. 2, in atti).

2. L´Autorità, in data 24 marzo 2009 ha inviato alla Banca una richiesta di informazioni, volta a conoscere:

- le misure implementate al fine di prevenire accessi non autorizzati o trattamenti di dati personali della clientela non conformi alla finalità della raccolta (ad es. tramite il tracciamento degli accessi degli incaricati del trattamento); le modalità di designazione degli incaricati e le istruzioni impartite ai dipendenti che, come incaricati del trattamento, consultano le banche dati contenenti informazioni relative ai clienti;

- i tempi di conservazione dei dati relativi agli accessi  effettuati al termine del rapporto contrattuale;

- con riferimento al caso di specie, i soggetti (ivi compresi gli incaricati della banca) che hanno avuto accesso al menzionato report in data 27 ottobre 2006.

A seguito degli accertamenti effettuati, la Banca, con nota del 22 aprile 2009, nel fornire riscontro ha dichiarato, che:

- "tutti gli accessi alle procedure e agli archivi dei dati sono protetti dai sistemi di autenticazione che prevedono l´utilizzo di apposite credenziali, costituite dal codice di identificazione dell´incaricato (user-id), associato ad una "password" riservata e conosciuta soltanto [dal dipendente incaricato del trattamento]";

- "tutte le procedure informatiche prevedono un "log applicativo" che consente di tracciare gli accessi, memorizzando le relative informazioni (data, ora, indirizzo ip, user id dell´operatore e dati trattati)" e che "i dati relativi agli accessi memorizzati nei "log applicativi" vengono conservati sui sistemi centrali e sono soggetti a periodico backup. I dati archiviati vengono storicizzati per un periodo di dieci anni dalla data di registrazione […]";

- "tutti i dipendenti della banca sono designati incaricati del trattamento";
- "l´analisi degli accessi sul rapporto oggetto del reclamo nella data del 27 ottobre 2006 evidenzia che l´unico accesso è stato effettuato alle ore 8.32´.13´´ del mattino da parte di [un dipendente della banca], e si è concluso alle ore 8.34´.27´´. Interpellato in merito il collega ha risposto che, considerato il tempo trascorso non ricorda il caso specifico; esclude tuttavia di avere operato in violazione della normativa sulla privacy e della deontologia professionale, consegnando qualsivoglia documentazione a soggetti non formalmente legittimati."

Inoltre, la Banca, in riferimento al caso di specie, ha precisato che l´interessato aveva presentato un ricorso all´Ombudsman bancario nel mese di ottobre 2007; in tale occasione, nel rispondere ad una specifica richiesta di informazioni formulata da tale organismo, aveva riferito che "non era emersa alcuna traccia documentale che potesse attestare la consegna dei documenti in oggetto a persona diversa dall´intestatario del rapporto", tanto che, sulla base di tale riscontro, l´Ombudsman bancario aveva respinto il ricorso dell´interessato.

3. Con nota del 20 agosto 2009, il reclamante, alla luce del riscontro fornito dalla Banca, nel riportarsi integralmente a quanto precedentemente dichiarato, ha puntualizzato che i documenti bancari oggetto del reclamo "sono stati stampati nell´intervallo [temporale] indicato dallo stesso istituto di credito, intervallo che va tra le 8.32´.13´´ e le 8.34´.27´´, […], quindi certamente non in presenza [dell´interessato], che in quel ristretto arco temporale prestava già servizio presso gli uffici di Telecom Italia S.p.A., […], come si può rilevare […] dalla dichiarazione del datore di lavoro in cui viene evidenziato l´orario di inizio (ore 8.18´) e di fine (18.14´) della prestazione lavorativa […]". Con riferimento alle dichiarazioni che, secondo la banca, sarebbero state rese dal dipendente che aveva operato l´accesso ai dati, il reclamante ha sottolineato che esse risulterebbero "in palese contrasto sia con le prove fornite [dall´interessato], che con la liceità a dare informazioni stampe o qualsivoglia documentazione a persona diversa [dal medesimo interessato] (il solo formalmente legittimato ad operare sui rapporti a se stesso intestati)", non avendo "mai rilasciato deleghe di nessun genere, nemmeno temporanee sui rapporti personali al medesimo intestati e radicati presso banca Sella S.p.A."

4. Dalle risultanze istruttorie emerge che presso Banca Sella Nord Est Bovio Calderari S.p.A è stato effettuato, in assenza del consenso dell´interessato o di altro legittimo presupposto, un trattamento illecito di dati personali (artt. 11, lett. a), 23 e 24 del Codice), nella forma dell´accesso ai dati bancari riferiti al reclamante. Ciò è verosimilmente avvenuto per effetto del comportamento posto in essere dall´incaricato della banca, il quale, secondo quanto riferito dalla stessa banca, non solo non è stato in grado di giustificare le ragioni che lo avevano indotto a consultare la posizione del reclamante, ma ha anche effettuato l´accesso in un orario in cui il sig. XY, unico soggetto deputato a richiedere e a ricevere tali informazioni, risultava inequivocabilmente in servizio presso la propria sede di lavoro (artt. 4, comma 1, lett. h), 30, 167 del Codice).

All´esito dell´istruttoria, risulta che la Banca ha adottato, allo stato, le misure "minime" di sicurezza a protezione dei dati dei clienti trattati con l´ausilio di strumenti elettronici, in conformità a quanto prescritto dagli artt. 33 e 34 del Codice e dalle regole 1-26 del relativo Allegato B). Tuttavia, in ragione dell´accaduto, si ritiene di prescrivere alla stessa Banca di rafforzare le misure di sicurezza "idonee" di cui all´art. 31 del Codice, in modo non solo di garantire una scrupolosa vigilanza sull´operato degli incaricati, ma anche di sensibilizzare gli incaricati stessi al puntuale rispetto delle istruzioni loro impartite attraverso specifiche iniziative di formazione del personale (punto 19.6 dell´Allegato B), dando comunicazione al Garante  delle misure adottate entro sessanta giorni dalla ricezione del presente provvedimento.

Stante i profili di responsabilità, anche penale, che possono scaturire dalla vicenda, si ritiene di disporre la trasmissione degli atti alla Procura della Repubblica per le eventuali determinazioni di competenza.

TUTTO CIÒ PREMESSO, IL GARANTE

1. ritenuta l´illiceità del trattamento dei dati personali del sig. XY, effettuato da Banca Sella Nord Est Bovio Calderari S.p.A. per il tramite del proprio incaricato (punto 4), ai sensi dell´art. 154, comma 1, lett. c) del Codice prescrive alla banca stessa, in persona del legale rappresentante pro tempore, di rafforzare le misure di sicurezza idonee a garantire la scrupolosa vigilanza sull´operato degli incaricati e a sensibilizzarli al rispetto delle istruzioni loro impartite in occasione di specifiche iniziative di formazione del personale (prescritte dalla regola 19.6 dell´Allegato B) al Codice) (punto 4);

2. prescrive a Banca Sella Nord Est Bovio Calderari S.p.A., in persona del legale rappresentante pro tempore, di comunicare a questa Autorità, entro 60 giorni dalla ricezione del presente provvedimento, le misure adottate per dare attuazione alle prescrizioni indicate al punto 1 del presente dispositivo;

3. dispone la trasmissione degli atti e di copia del presente provvedimento all´autorità giudiziaria per le eventuali determinazioni di competenza (punto 4).

Roma, 18 marzo 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE REGGENTE
De Paoli