25 Ago Banche: i dipendenti non sono autorizzati a visualizzare furtivamente i conti correnti
Background
Il 22 giugno 2017, il Garante per la Privacy Italiano (d’ora in avanti, il “Garante”) ha dichiarato l’illiceità del trattamento di dati personali operato da parte di un istituto bancario italiano (“Banca”), che ha permesso ad uno dei suoi dipendenti di visualizzare illegittimamente e comunicare i dati del conto corrente di uno dei suoi clienti a terze parti.
Nel caso in esame, la titolare del conto ha sostenuto dinanzi al Garante che i movimenti del suo conto corrente tra il 2010 e il 2012 fossero stati prodotti come prova in un giudizio senza la sua specifica autorizzazione e in mancanza di altra idonea base giuridica. A seguito di indagini più approfondite richieste dal Garante, la Banca ha riconosciuto che uno dei suoi dipendenti avesse effettivamente avuto accesso a tali dati senza una specifica motivazione operativa ed avesse comunicato gli stessi alla propria controparte nel corso di un giudizio.
Contesto giuridico e principali questioni
Nel 2007 il Garante ha pubblicato le Linee Guida per il trattamento dei dati personali nel settore bancario, sottolineando la natura illecita delle informazioni bancarie comunicate a terzi e non autorizzate dall’interessato, che può avere gravi conseguenze anche in termini di responsabilità civile e penale ai sensi degli articoli 15 e 167 del Codice in materia di protezione dei dati personali.
Nel 2011 il Garante ha adottato una decisione con la quale ha richiesto agli operatori del settore bancario di attuare, non oltre il mese di settembre del 2014, sistemi di monitoraggio, avvisi e controlli interni annuali per garantire la sicurezza del trattamento dei dati dei propri clienti.
Nonostante il caso in questione si riferisca a dati personali che sono stati oggetto di trattamento anteriormente all’applicazione delle misure di sicurezza prescritte nella decisione del 2011, il Garante ha confermato che la Banca, tramite un proprio dipendente, ha illecitamente trattato e comunicato dati personali senza il consenso dell’interessato e senza altra idonea base giuridica, diversamente da quanto previsto nelle Linee Guida del 2007 (cfr. anche art. 11 lett. a) e artt. 23 e 24 del Codice in materia di protezione dei dati personali).
È interessante notare che, nel caso in esame, il Garante ha menzionato il principio di “accountability” di cui all’art. 24 del nuovo Regolamento Generale sulla Protezione dei Dati (“RGPD”) per affermare che, a partire dal prossimo maggio 2018, i titolari del trattamento dei dati nel settore bancario non potranno più affidarsi a prescrizioni giuridiche esplicite in termini di misure di sicurezza: ogni titolare dei dati dovrà valutare autonomamente le proprie misure di sicurezza, decidendo quando e come monitorare o effettuare i controlli più opportuni.
Implicazioni pratiche
Dal 2014, il settore bancario italiano è tenuto ad attuare le misure organizzative e tecniche definite nella decisione del Garante del 2011 (che deve essere letta concordemente alle Linee Guida del 2007), nonché ad attuare sistemi di monitoraggio, avvisi e controlli interni annuali per proteggere i dati dei propri clienti.
Inoltre, gli istituti bancari devono assicurare l’identificazione dei propri clienti e stabilire una base giuridica adeguata prima di intraprendere qualsivoglia attività di trattamento dei dati (in particolare per le comunicazioni di dati). I dipendenti devono ricevere inoltre un’adeguata formazione in materia di protezione dei dati personali, con conseguente monitoraggio delle loro operazioni e adeguate verifiche sul sistema di monitoraggio.
A partire dal 25 maggio 2018, gli istituti bancari non potranno contare su prescrizioni giuridiche esplicite in tema di protezione dei dati personali. Al contrario, esse dovranno migliorare le loro misure tecniche ed organizzative poiché le Linee Guida del 2007 e la decisione del 2011 costituiranno un punto di partenza insufficiente.
