Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamenti di dati personali relativi ad un conto bancario - 22 giugno 2017 [6629414]

VEDI ANCHE Newsletter dell'8 agosto 2017

 

[doc. web n. 6629414]

Trattamenti di dati personali relativi ad un conto bancario - 22 giugno 2017

Registro dei provvedimenti
n. 286 del 22 giugno 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 ("Codice in materia di protezione dei dati personali", di seguito "Codice");

VISTA la segnalazione presentata ai sensi dell'art. 141, comma 1, lett. a), del Codice da XX nei confronti di Intesa Sanpaolo S.p.A. in ordine a una comunicazione a terzi di dati bancari relativi all'interessata, successivamente utilizzati nell'ambito di un procedimento giudiziario;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. La segnalazione.

1.1. Con la segnalazione pervenuta il 29 novembre 2016 la Sig.ra XX, intestataria di un rapporto di conto corrente presso Intesa Sanpaolo S.p.A. (incardinato presso la filiale di Caltagirone di viale Europa fino alla sua chiusura, quindi trasferito presso l'agenzia di Viale Principe Umberto), ha lamentato l'illecita comunicazione di dati personali che la riguardano ad un soggetto terzo non autorizzato.

In particolare la segnalante ha rappresentato che nell'ambito di un procedimento giudiziario dinanzi al Tribunale civile di Caltagirone, sezione lavoro, la controparte in giudizio ha depositato una memoria difensiva (di cui ha prodotto copia) nella quale sono riportate "date e cifre di versamenti" effettuati dall'interessata tra il 2010 al 2012.

Secondo quanto sostenuto dalla segnalante, l'anzidetta controparte, il Sig. (….),  avrebbe ricevuto le informazioni in questione da un proprio congiunto, dipendente di Intesa Sanpaolo S.p.A., il quale, all'epoca dei fatti, prestava servizio nella medesima filiale ove era incardinato il conto corrente dell'interessata.

Ritenendo che il comportamento posto in essere da Intesa Sanpaolo S.p.A. sia palesemente in contrasto con i princìpi in materia di protezione dei dati personali, soprattutto sotto il profilo della liceità e della correttezza nel trattamento dei dati, la segnalante si è rivolta a questa Autorità ai sensi dell'art. 141, comma 1, lett. a) del Codice chiedendo che sia accertata l'illiceità della condotta dell'istituto di credito in questione, sostanziatasi, a suo dire, in un'indebita comunicazione a terzi dei suoi dati personali.

2. Le dichiarazioni dell'istituto di credito.

Con nota del 22 febbraio 2017, in risposta alla richiesta di informazioni formulata dall'Autorità (cfr. nota del 27 gennaio 2017), Intesa Sanpaolo S.p.A., nel confermare quanto già comunicato all'interessata in data 30 ottobre 2013 (di cui ha allegato copia), ha sostenuto che "non risultano accessi indebiti al conto corrente intestato alla segnalante", precisando che "all'epoca dei fatti, il congiunto del dipendente (che, ad avviso della segnalante, avrebbe illecitamente acquisito i dati riferiti al proprio conto corrente) prestava servizio presso una filiale diversa da quella di radicamento del conto corrente della Signora XX e quindi, grazie ai profili di sicurezza adottati da Intesa Sanpaolo, poteva operare unicamente sui rapporti della filiale di appartenenza ed era materialmente impossibilitato, con gli strumenti aziendali a disposizione, ad accedere a rapporti radicati presso altre filiali".

3. Le ulteriori osservazioni dell'interessata.

Con successiva nota dell'11 marzo 2017, la segnalante, in risposta alla nota del 1° marzo 2017 con cui l'Autorità, prendendo atto delle dichiarazioni rese dall'istituto di credito e non ravvisando gli estremi di una violazione del Codice, aveva chiuso il procedimento istruttorio, ha fornito ulteriori e più dettagliati elementi che hanno reso necessaria la riapertura dell'istruttoria medesima.

In particolare, posto che i lamentati accessi indebiti sarebbero avvenuti tra il 2010 e il 2012 in un ambito geografico in cui le filiali di Intesa Sanpaolo S.p.a. sono state interessate da una complessiva riorganizzazione aziendale (anche in ragione dell'incorporazione di altri istituti bancari), l'Autorità, con nota del 24 marzo 2017, ha chiesto all'istituto bancario in questione di effettuare ulteriori accertamenti rispetto alla vicenda rappresentata dalla segnalante, estendendo gli stessi anche nei confronti di altre filiali della medesima provincia e prendendo in considerazione un arco temporale più ampio rispetto a quello già considerato.

4. La successiva nota inviata da Intesa Sanpaolo S.p.a.

Con comunicazione del 28 aprile 2017 Intesa Sanpaolo S.p.A. ha dichiarato che, a seguito delle ulteriori indagini, effettuate - come richiesto - su un orizzonte temporale più ampio e coinvolgendo altre filiali oltre a quella oggetto del primo accertamento (in particolare, alcune "sedi temporanee di lavoro del dipendente menzionato dalla segnalante"), è emerso che "il predetto soggetto, presso due filiali ove non era radicato il conto corrente della Signora XX, nel periodo antecedente e posteriore a quello già oggetto di verifica, ha operato una serie di accessi a tale rapporto, irrituali sia nei modi che nella quantità". L'istituto di credito ha inoltre precisato che "nonostante la circolarità tra le filiali della banca limitata ad alcune operazioni, il soggetto in esame procedeva ad interrogare il conto corrente della segnalante anche da filiali diverse da quella di appartenenza del rapporto, senza apparenti motivazioni operative. Come noto, infatti, all'epoca non era ancora scaduto il termine per l'attuazione delle prescrizioni previste dal provvedimento dell'Autorità n. 192 del 12 maggio 2011". 

5. Le valutazioni dell'Autorità.

Dagli accertamenti effettuati dalle strutture della banca preposte ai controlli sul tracciamento degli accessi ai sistemi informativi è risultato che un dipendente dell'istituto di credito in questione, ha posto in essere "una serie di accessi" indebiti al conto corrente della segnalante "da filiali diverse da quella di appartenenza del rapporto, senza apparenti motivazioni operative…".

Sebbene all'epoca cui risalgono i fatti non fosse ancora entrato in vigore l'obbligo, per gli istituti di credito, di adottare le misure necessarie previste dall'Autorità con il provvedimento del 12 maggio 2011 "in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie" (doc. web n. 1813953), le indagini effettuate, anche grazie ai profili di sicurezza comunque adottati dal titolare del trattamento in questione, hanno consentito di accertare che presso Intesa Sanpaolo S.p.A. è stato effettuato, in assenza del consenso dell'interessata o di altro legittimo presupposto, un trattamento illecito di dati riferiti alla segnalante (artt. 11, lett. a), 23 e 24 del Codice) nelle forme della consultazione e della loro (presumibile) successiva comunicazione a terzi (nel caso di specie, il congiunto del dipendente, controparte dell'interessata in giudizio civile). Ciò è verosimilmente avvenuto per effetto del comportamento posto in essere da un dipendente della banca che, in qualità di incaricato del trattamento e discostandosi dalle istruzioni ricevute, ha effettuato un trattamento illecito in quanto in contrasto con le disposizioni vigenti (artt. 4, comma 1, lett. h), 30, 167 e 169 del Codice) e con le specifiche prescrizioni impartite dall'Autorità al punto 3 del provvedimento del 25 ottobre 2007 concernente "Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario" (doc. web n. 1457247).

Si segnala, in proposito, che i provvedimenti dell'Autorità sopracitati da un lato richiamano espressamente l'obbligo, per gli istituti di credito, di identificare la clientela nell'esecuzione delle diverse operazioni bancarie (v. par. 2.2 delle Linee guida) e dall'altro, prescrivono agli stessi l'effettuazione di attività di controllo interno, con cadenza almeno annuale, sulla legittimità e liceità degli accessi ai dati effettuati dai propri incaricati, prevedendo altresì che l'esito dell'attività di controllo sia messo a disposizione del Garante, in caso di specifica richiesta (v. par. 4.3.2 provv. del 12 maggio 2011).

Ciò al fine di consentire agli istituti di credito, da un lato, di assumere ogni opportuna iniziativa idonea ad evitare, per quanto possibile, incidenti similari a quello occorso nel caso in esame (dei quali possono essere chiamati a rispondere ai sensi dell'art. 15 del Codice) nonché, nella prospettiva ormai prossima dell'entrata in vigore del nuovo Regolamento sulla protezione dei dati, di assicurare il rispetto del principio di "responsabilità del titolare del trattamento" (c.d. accountability) di cui all'art.24 del Regolamento (UE) 2016/679.

Premesso quanto sopra, impregiudicati gli eventuali profili di responsabilità civile (art. 15 del Codice) e le eventuali violazioni penalmente rilevanti in capo all'autore della condotta oggetto della segnalazione, si ritiene opportuno, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), prescrivere a Intesa Sanpaolo S.p.A. di verificare la possibilità di adottare ulteriori e più adeguate misure volte a implementare i controlli sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati del trattamento e a sensibilizzare gli stessi al rispetto delle istruzioni puntualmente impartite.

L'Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le previste violazioni amministrative concernenti il trattamento illecito dei dati.

TUTTO CIÒ CONSIDERATO, IL GARANTE

1) dichiara illecito il trattamento dei dati personali della segnalante effettuato da Intesa Sanpaolo S.p.A. per il tramite del proprio incaricato che ha posto in essere una serie di accessi al conto corrente della medesima, senza apparenti motivazioni operative, da filiali diverse da quella in cui il conto era radicato.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 22 giugno 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia