principio di correttezza

Accesso non autorizzato dei dipendenti di una banca ai dati relativi al conto del cliente

Un interessante provvedimento del Garante è intervenuto sul caso di una cliente che si è vista produrre in giudizio, ad opera della controparte, dati relativi al proprio conto corrente, che solo lei e il personale della banca avrebbero potuto conoscere.

Ne è nata una contestazione, portata all’attenzione anche del Garante tramite segnalazione.

Il Garante, nell’accertare la violazione, ha imposto non solo adeguate misure di sicurezza, ma ha anche chiarito che la banca è tenuta a dare immediatamente informazione al cliente in ordine all’accesso illecito al trattamento dei dati da parte del proprio personale, rispondendo tale obbligo al principio di correttezza previsto all’art. 11 del Codice della privacy.

Segnatamente, il Garante ha stabilito, nel richiamato provvedimento, che

Deve altresì rilevarsi che la mancata comunicazione alla segnalante dell’accesso non autorizzato alle informazioni personali alla stessa riferibili, una volta accertato mediante le verifiche interne disposte dalla banca, integra una violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a) del Codice). Tanto più, tenendo conto del comportamento osservato nel caso di specie nel quale la banca ha inizialmente dichiarato che le indagini aziendali concernenti gli accessi effettuati nei confronti dei conti correnti che facevano capo alla XY “non risulta[va]no direttamente riconducibili all’opera di dipendenti diversi da quelli addetti all’ordinaria e regolare gestione dei rapporti stessi” e che, pertanto, non erano stati riscontrati elementi oggettivi per ritenere che le informazioni utilizzate nell’ambito della controversia giudiziaria in corso provenissero da personale della banca (cfr. nota Intesa SanPaolo del 17 gennaio 2008); affermazioni risultate in seguito non rispondenti ai fatti realmente accaduti.

Tale tempestiva informazione, in termini generali, avrebbe potuto consentire alla correntista l’adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali (nel caso di specie preordinata ad assicurare anche il segreto bancario).

Deve ritenersi, pertanto che la banca, una volta acquisita la conoscenza di accessi non autorizzati che riguardano la clientela, sia tenuta a darne notizia senza ritardo agli interessati.

Tale principio, di enorme portata, vale ovviamente per tutti i trattamenti di dati personali, a prescindere dal fatto che il titolare sia o meno un istituto di credito.

In altre parole, l’illiceità del trattamento per violazione del precetto normativo contenuto nell’art. 11 del d.lgs. 196/2003 è duplice: da un lato si riscontra nell’accesso non autorizzato ai dati da parte del personale non legittimato  ad accedervi; dall’altro lato si riscontra nella mancata comunicazione al soggetto interessato dell’illiceità dell’accesso. L’omessa comunicazione, si noti,  impedirebbe all’interessato medesimo di reagire tempestivamente e di contenere il (rischio di) danno.

Nel provvedimento reso dal Garante viene definita, dunque, un’ipotesi di violazione del principio di correttezza del trattamento, il quale, essendo previsto per legge all’art. 11 del Codice, si traduce anche, contemporaneamente, in violazione di legge. Ove il titolare volesse evitare la violazione del principio di correttezza, secondo la prospettazione del Garante, è tenuto ad informare l’interessato (ossia il cliente) della violazione del trattamento (riscontrata, ad esempio, attraverso le indagini interne aziendali, da prevedere come misura di sicurezza).

L’osservanza del principio di correttezza previsto per legge, che così interpretato si traduce nell’obbligo di avvisare l’interessato della violazione, finisce per rappresentare in ultima analisi (e questo è ciò che più sorprende) un’autodenuncia di violazione imposta al titolare del trattamento.    

Per comprendere meglio la fattispecie, riporto di seguito quanto riportato dal Garante per la protezione dei dati personali nella newsletter del 9 settembre 2009:

Banche: dati dei clienti più protetti

Gli accessi non autorizzati devono essere tempestivamente comunicati al titolare del conto

La banca deve proteggere con particolare attenzione i dati della clientela e deve dare immediata notizia al titolare del conto di eventuali accessi ingiustificati, anche se effettuati da propri dipendenti, alle informazioni riguardanti il conto corrente.

È quanto ha stabilito il Garante per la privacy, con un provvedimento di cui è stato relatore Mauro Paissan, affrontando il caso di una signora che lamentava il trattamento illecito dei suoi dati personali da parte della propria banca. Nell’ambito di una causa di separazione, il marito aveva infatti prodotto una memoria contenente informazioni, relative a un conto corrente, che solo la donna stessa o il personale della filiale presso la quale aveva aperto il conto potevano conoscere.

Alla scoperta della violazione, la cliente si era subito rivolta all’istituto di credito per chiedere chi avesse avuto accesso ai dati, comunicandoli poi all’esterno. L’istituto bancario aveva inizialmente negato i fatti e solo in seguito a ulteriori richieste della donna, ammetteva che un dipendente aveva prima consultato senza giustificate “esigenze operative” i conti correnti della segnalante e poi inoltrato i dati a un altro funzionario del gruppo bancario. A causa del loro comportamento, entrambi i lavoratori erano stati temporaneamente sospesi dal lavoro.

La donna si era nel frattempo rivolta anche al Garante. Gli accertamenti dell’Autorità hanno messo in luce che la banca aveva sì adottato misure di sicurezza ma non sufficienti a impedire il trattamento non consentito dei dati del conto corrente. L’istituto di credito, inoltre, pur avendo rilevato l’accesso non autorizzato ai conti della sua cliente, non l’aveva tempestivamente avvertita, con ciò violando il principio di correttezza. La tempestiva informazione avrebbe, infatti, potuto consentire alla correntista perlomeno di ridurre i rischi derivanti dall’indebita divulgazione dei dati del suo conto.

L’Autorità ha prescritto al gruppo bancario di adottare misure di sicurezza idonee a garantire la scrupolosa vigilanza sull’operato degli incaricati, e di sensibilizzare i funzionari al rigoroso rispetto delle norme sulla privacy attraverso attività di formazione. Ha inoltre stabilito che la banca, una volta acquisita la conoscenza di accessi non autorizzati ai dati della clientela, inclusi quelli eventualmente effettuati dai suoi dipendenti, è tenuta a comunicarlo tempestivamente agli interessati.

L’Autorità ha infine disposto la trasmissione del provvedimento alla Procura della Repubblica per le valutazioni di competenza riguardo a eventuali illeciti penali commessi.

Fabio Bravo

www.fabiobravo.it

 

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books