g-docweb-display Portlet

Procedimento relativo ai ricorsi - Rifusione delle spese in un caso di adempimento tardivo - 11 novembre 2002 [1067296]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web. n. 1067296]

Procedimento relativo ai ricorsi  - Rifusione delle spese in un caso di adempimento tardivo - 11 novembre 2002

Allorchè il riscontro alle richieste dell´interesato sia tardivo, il titolare del trattamento è tenuto alla rifusione delle spese del procedimento (nel caso di specie, una banca, nonostante la delicatezza della questione sollevata, ha provveduto a bloccare il trattamento dei dati dell´interessato - titolare di un conto corrente gestito secondo modalità di e-banking - soltanto a seguito della presentazione del ricorso).

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato da Fabio Giari, rappresentato e difeso dall’avv. Alessandra Ciardelli

nei confronti di

Banca Generali S.p.A., rappresentata e difesa dagli avv.ti Riccardo Imperiali di Francavilla, Rosario Imperiali d’Afflitto e Simonetta Gazerro;

VISTA la documentazione in atti;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO:

Il ricorrente è intestatario presso Banca Generali S.p.A. di un conto corrente gestito secondo modalità di e-banking che consentono al cliente di consultare dati nel proprio conto ed effettuare on-line le operazioni bancarie ad esso relative.

In occasione di un controllo delle operazioni contabili relative al proprio conto, effettuato attraverso il sito Internet della banca medesima, il ricorrente ha avuto accesso ad una pagina web dell’istituto di credito che permetteva di consultare non solo informazioni relative al proprio conto, ma anche una serie di dati riguardanti altri clienti. Temendo che altri potessero accedere a tali informazioni, l’interessato ha inviato un’istanza ai sensi dell’art. 13 della legge n. 675/1996, con la quale ha chiesto alla banca il blocco immediato del trattamento dei dati che lo riguardano oppure la loro trasformazione in forma anonima.

Nel ricorso presentato a questa Autorità ai sensi dell’art. 29 della legge n. 675/1996, il ricorrente, lamentando il mancato riscontro da parte dell’istituto di credito, ha ribadito le proprie istanze.

A seguito dell’invito ad aderire formulato da questa Autorità in data 16 ottobre 2002, Banca Generali S.p.A., con note anticipate via fax il 18 e il 31 ottobre 2002 e in occasione dell’audizione svoltasi in data 5 novembre 2002, ha sostenuto:

  • di aver già fornito, con lettera in data 1 ottobre 2002 indirizzata al legale del ricorrente, indicazioni in ordine alle istanze dallo stesso proposte;
  • che i dati personali a cui aveva avuto accesso il ricorrente sarebbero stati "riconducibili ad una cartella non disponibile al pubblico con le normali modalità di consultazione" e che il ricorrente, "per poter accedere all’intera directory e quindi vedere i file degli altri clienti", avrebbe "utilizzato un sistema di accesso diverso da quanto contrattualmente previsto (utilizzo di password e username di accesso)", modalità atipica di cui ha fornito una descrizione riassuntiva;
  • che tale anomalia si sarebbe verificata a suo avviso nel particolare momento del trasferimento della gestione del sito ad un ente esterno specializzato e che "nel momento dell’accesso improprio (...) da parte del Giari era attivo il server di back-up"; tale server sarebbe "stato attivo solo per un limitatissimo periodo di tempo durante il mese di settembre, proprio per permettere il suddetto trasferimento";
  • di aver disattivato, dopo la richiesta avanzata dall’interessato, il "servizio per l’intera sua clientela, al fine di evitare qualsiasi possibilità di accesso allo stesso" e che il blocco attinente alla funzione persisterebbe ancora per quanto riguarda il ricorrente;
  • che i dati personali "scaricati" dall’interessato che consulta il servizio risponderebbero al principio di pertinenza e non eccedenza del trattamento;
  • di aver comunicato al sig. Giari che per ottemperare alle richieste di blocco del trattamento dei dati "complessivamente considerato" o di trasformazione in forma anonima dei dati personali che lo riguardano era necessario provvedere alla chiusura del rapporto di conto corrente e di avergli chiesto un’esplicita dichiarazione in merito, dichiarazione che però non è pervenuta; successivamente, nella memoria del 28 ottobre 2002, l’interessato avrebbe precisato la richiesta di blocco specificando che aveva chiesto unicamente un blocco temporaneo "sino al momento in cui non fosse stata ripristinata la sicurezza del sito";
  • che l’interessato avrebbe adottato a suo avviso un comportamento anomalo rispetto alle prescrizioni riguardanti l’accesso al servizio, anche per quanto riguarda la registrazione di alcuni dati che ha effettuato su un supporto;
  • che l’interessato avrebbe continuato ad utilizzare il conto, chiedendo anche la riattivazione del servizio Internet;
  • di avere quindi "prontamente adempiuto a quanto richiesto" dall’interessato, pur ritenendo che lo stesso "avesse contravvenuto a norme contrattuali".

Con la nota inviata in data 31 ottobre 2002, il titolare del trattamento ha chiesto che le spese del procedimento siano poste a carico del ricorrente.

Con la menzionata memoria del 28 ottobre 2002, anticipata via fax, il ricorrente ha lamentato la mancata adozione da parte del titolare del trattamento delle necessarie misure di sicurezza, ribadendo le proprie istanze con "vittoria di spese legali".

CIÒ PREMESSO IL GARANTE OSSERVA

Il ricorso concerne il trattamento dei dati personali del cliente di una banca che presta servizi on-line.

Alla specifica istanza di blocco temporaneo del trattamento alla base del ricorso il titolare del trattamento ha fornito nel corso del procedimento un riscontro indicando anche quali sarebbero state, a suo avviso, le ragioni che avrebbero reso possibile l’accesso da parte del ricorrente alla cartella di dati contenenti informazioni di terzi.

In ragione di tale riscontro, nonché in relazione alle dichiarazioni del titolare del trattamento (riguardanti anche l’illustrazione di alcune modalità tecniche e le misure di sicurezza adottate) della cui veridicità la parte resistente risponde anche ai sensi dell’art. 37-bis della legge n. 675/1996 ("Falsità nelle dichiarazioni e nelle notificazioni al Garante), va dichiarato non luogo a provvedere sul ricorso ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998).

Dagli atti del procedimento emergono delicati aspetti concernenti le modalità tecniche prescelte per la prestazione di servizi on-line, nonché l’idoneità delle misure di protezione volte ad evitare l’indebito trattamento da parte di terzi di dati personali relativi a clienti, che impongono in proposito l’instaurazione, con autonomo provvedimento, di un procedimento amministrativo di controllo.

Il blocco specificamente richiesto è intervenuto, a fronte della criticità della questione sollevata, dopo la presentazione del ricorso. Vanno pertanto poste a carico del titolare del trattamento le spese del procedimento, determinate nella misura forfettaria di € 250 (di cui € 25,82 per diritti di segreteria).

PER QUESTI MOTIVI IL GARANTE:

a) dichiara, ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998, non luogo a provvedere sul ricorso nei termini di cui in motivazione;

b) determina, ai sensi dell’art. 20, commi 2 e 9, del d.P.R. n. 501/1998, nella misura forfettaria di € 250 (di cui € 25,82 per diritti di segreteria) l’ammontare delle spese e dei diritti del presente procedimento, posto a carico di Banca Generali S.p.A., che dovrà liquidarlo direttamente a favore del ricorrente.

Roma, 11 novembre 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli