Casa:
Banche: dati dei clienti più protetti
Garante Privacy , provvedimento 18.06.2009
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, PROVVEDIMENTO 18 giugno 2009
Dati bancari: accesso non autorizzato e misure di sicurezza.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Filippo Patroni Griffi, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);
VISTA la segnalazione presentata da XY nei confronti di Intesa Sanpaolo in ordine a una comunicazione a terzi di dati bancari relativi all'interessata, successivamente utilizzati nell'ambito di un procedimento di separazione;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
PREMESSO
1. XY ha segnalato che, nell'ambito della causa di separazione personale che la vede coinvolta, è stata depositata nell'interesse del marito una memoria difensiva contenente informazioni bancarie a sé riferite trattate presso Intesa Sanpaolo, asseritamente acquisite per il tramite di un funzionario della banca medesima.
Dalla documentazione prodotta risulta che la banca, a seguito di una prima richiesta della segnalante, ha dichiarato alla stessa che le indagini interne non avevano fatto emergere "elementi oggettivi" per ritenere che tali informazioni sarebbero state comunicate al marito dal personale della banca (nota del 17 gennaio 2008).
In un successivo riscontro a un'istanza presentata dalla segnalante ai sensi dell'art. 7 del Codice la banca ha rettificato le proprie affermazioni, precisando che un dipendente della filiale di Cagliari, acquisiti dati personali alla stessa riferiti, li aveva successivamente comunicati ad altro dipendente di altra banca del gruppo, e segnatamente di Intesa Sanpaolo Private Banking S.p.A. (cfr. nota del 18 aprile 2008).
2. Nell'ambito di controlli svolti dall'Autorità al fine di verificare (tra l'altro) gli accessi effettuati sul conto corrente intestato alla segnalante, la banca ha fornito la documentazione attestante gli esiti della menzionata indagine interna dalla quale risultano accessi indebiti, in quanto non giustificati da esigenze operative, sul conto corrente della segnalante (cfr. verbale di operazioni compiute del 29 maggio 2008, p. 2). In particolare, è emerso che la banca ha riscontrato che un proprio dipendente del "centro imprese" di Cagliari ha effettuato alcune interrogazioni sui conti correnti bancari che facevano capo alla segnalante dando comunicazione degli esiti delle medesime ad altro dipendente (che gliene aveva fatto richiesta) appartenente a una società del medesimo gruppo bancario; detti accessi sono stati effettuati da una filiale diversa da quella nella quale il conto corrente risulta acceso.
A fronte dell'accaduto, a seguito degli accertamenti effettuati la banca ha adottato misure disciplinari a carico dei due dipendenti consistenti nella temporanea sospensione dal servizio e dal trattamento economico (cfr. allegati al verbale di operazioni compiute del 29 maggio 2008).
Dalla documentazione in atti è comunque risultato che la banca aveva provveduto alla designazione degli incaricati, impartendo ai medesimi anche le relative istruzioni.
3. Alla luce di quanto esposto, risulta che presso Intesa Sanpaolo è stato effettuato, in assenza di consenso dell'interessata o di altro legittimo presupposto, un trattamento illecito di dati riferiti alla segnalante (artt. 11, lett. a), 23 e 24 del Codice), nelle forme della consultazione e della loro successiva comunicazione a terzi (nel caso di specie, altro dipendente dello stesso gruppo bancario). Ciò è avvenuto per effetto del comportamento dell'incaricato della banca che, discostandosi dalle istruzioni al medesimo impartite, ha effettuato il trattamento illecito (artt. 4, comma 1, lett. h), 30, 167 e 169 del Codice).
Impregiudicati gli eventuali profili di responsabilità civile (art. 15 del Codice) e le eventuali violazioni penalmente rilevanti in capo agli autori delle condotte oggetto della segnalazione, rispetto alle quali si dispone la trasmissione degli atti alla Procura competente, si rileva che la banca ha adottato le misure di sicurezza "minime" a protezione dei dati dei clienti trattati con l'ausilio di strumenti elettronici conformi a quanto prescritto dagli artt. 33 e 34 del Codice e dalle regole 1-26 dell'Allegato B) al Codice.
Deve tuttavia prescriversi a codesta banca di adottare, ai sensi dell'art. 31 del Codice, idonee misure di sicurezza, tese sia a garantire la scrupolosa vigilanza sull'operato degli incaricati, sia a sensibilizzare gli incaricati al rispetto delle istruzioni ricevute anche nel corso delle iniziative formative (prescritte dalla regola 19.6 dell'Allegato B) al Codice).
4.1. Deve altresì rilevarsi che la mancata comunicazione alla segnalante dell'accesso non autorizzato alle informazioni personali alla stessa riferibili, una volta accertato mediante le verifiche interne disposte dalla banca, integra una violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a) del Codice). Tanto più, tenendo conto del comportamento osservato nel caso di specie nel quale la banca ha inizialmente dichiarato che le indagini aziendali concernenti gli accessi effettuati nei confronti dei conti correnti che facevano capo alla XY "non risulta[va]no direttamente riconducibili all'opera di dipendenti diversi da quelli addetti all'ordinaria e regolare gestione dei rapporti stessi" e che, pertanto, non erano stati riscontrati elementi oggettivi per ritenere che le informazioni utilizzate nell'ambito della controversia giudiziaria in corso provenissero da personale della banca (cfr. nota Intesa SanPaolo del 17 gennaio 2008); affermazioni risultate in seguito non rispondenti ai fatti realmente accaduti.
Tale tempestiva informazione, in termini generali, avrebbe potuto consentire alla correntista l'adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali (nel caso di specie preordinata ad assicurare anche il segreto bancario).
Deve ritenersi, pertanto che la banca, una volta acquisita la conoscenza di accessi non autorizzati che riguardano la clientela, sia tenuta a darne notizia senza ritardo agli interessati.
4.2. Con riferimento, infine, alla richiesta avanzata dalla segnalante volta a conoscere i nominativi dei soggetti che, senza autorizzazione, sarebbero venuti a conoscenza di dati personali alla stessa riferiti, essa non può essere esaminata in questa sede. Il presente provvedimento, infatti, adottato a seguito della segnalazione del 15 gennaio 2008 (proposta a seguito della mancata regolarizzazione del menzionato ricorso), non può riguardare tale aspetto, considerato che, ai sensi dell'art. 145, comma 1, del Codice "i diritti di cui all'art. 7 possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante", nei modi e nei termini di cui agli artt. 146 ss. del Codice.
TUTTO CIÒ PREMESSO, IL GARANTE
1. ritenuto illecito il trattamento di dati personali effettuato presso Intesa Sanpaolo s.p.a. dal proprio incaricato (punto 3), ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive a Intesa Sanpaolo S.p.a.:
a. di adottare, entro e non oltre il 30 luglio 2009 idonee misure di sicurezza tese sia a garantire la scrupolosa vigilanza sull'operato degli incaricati, sensibilizzando gli stessi al rispetto delle istruzioni ricevute in occasione di iniziative formative (prescritte dalla regola 19.6 dell'Allegato B) al Codice) (punto 3);
b. una volta acquisita la conoscenza di accessi non autorizzati che riguardano la clientela, di darne notizia senza ritardo agli interessati (punto 4.1.);
2. richiede, ai sensi dell'art. 157 del Codice, a Intesa Sanpaolo S.p.a. di comunicare a questa Autorità, entro e non oltre il 30 luglio 2009, le misure adottate per dare attuazione alle prescrizioni indicate al punto 1 del presente dispositivo;
3. dispone la trasmissione degli atti e di copia del presente provvedimento all'autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili (punto 3).
Roma, 21 aprile 2009 – 18 giugno 2009
IL PRESIDENTE
Pizzetti
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Patroni Griffi