Il trattamento illecito dei dati a seguito di accesso non autorizzato da parte di un bancario su un conto corrente di un cliente è stato oggetto di un recente provvedimento del Garante, iscritto nel Registro dei provvedimenti n. 286 del 22 giugno 2017.
L'articolo continua dopo la pubblicità
Segui tutti gli aggiornamenti nel dossier dedicato alla Privacy
Tutta la normativa aggiornata sulla Privacy nel Commento breve al Regolamento europeo per la privacy
Nel corso di un giudizio, nell’ambito di un procedimento civile, la controparte aveva depositato una memoria difensiva nella quale erano riportate date e cifre di versamenti eseguiti dall'interessata in un determinato periodo di tempo. Informazioni che, secondo quanto sostenuto dalla segnalante, la controparte avrebbe ricevuto da un proprio congiunto in servizio presso la stessa filiale ove lei aveva il conto corrente.
Pertanto la parte in giudizio (interessata), ai sensi dell’art. 141 del Codice in materia di protezione dei dati personali, aveva inviato al Garante una segnalazione volta ad accertare l'illiceità della condotta dell'istituto di credito in questione, sostanziatasi, a suo dire, in un'indebita comunicazione a terzi dei suoi dati personali.
L’istituto di credito, in risposta alla richiesta di informazioni formulata dall'Autorità nel confermare quanto già comunicato all'interessata, ha sostenuto che "non risultano accessi indebiti al conto corrente intestato alla segnalante", precisando che "all'epoca dei fatti, il congiunto del dipendente (che, ad avviso della segnalante, avrebbe illecitamente acquisito i dati riferiti al proprio conto corrente) prestava servizio presso una filiale diversa da quella di radicamento del conto corrente della Signora e quindi, grazie ai profili di sicurezza adottati dalla banca, poteva operare unicamente sui rapporti della filiale di appartenenza ed era materialmente impossibilitato, con gli strumenti aziendali a disposizione, ad accedere a rapporti radicati presso altre filiali".
A una successiva richiesta dell’Autorità l’Istituto di credito aveva esteso le sue indagini ad un periodo temporale più ampio ed aveva scrutinato l’attività di più filiali.
Da questa successiva indagine era emerso che "nonostante la circolarità tra le filiali della banca limitata ad alcune operazioni, il soggetto in esame procedeva ad interrogare il conto corrente della segnalante anche da filiali diverse da quella di appartenenza del rapporto, senza apparenti motivazioni operative. Come noto, infatti, all'epoca non era ancora scaduto il termine per l'attuazione delle prescrizioni previste dal provvedimento dell'Autorità n. 192 del 12 maggio 2011".
Sebbene all'epoca cui risalgono i fatti non fosse ancora entrato in vigore l'obbligo, per gli istituti di credito, di adottare le misure necessarie previste dall'Autorità con il provvedimento del 12 maggio 2011 "in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie", le indagini effettuate, anche grazie ai profili di sicurezza comunque adottati dal titolare del trattamento in questione, hanno consentito di accertare che presso la banca è stato effettuato, in assenza del consenso dell'interessata o di altro legittimo presupposto, un trattamento illecito di dati riferiti alla segnalante (artt. 11, lett. a), 23 e 24 del Codice) nelle forme della consultazione e della loro (presumibile) successiva comunicazione a terzi (nel caso di specie, il congiunto del dipendente, controparte dell'interessata in giudizio civile). Ciò è verosimilmente avvenuto per effetto del comportamento posto in essere da un dipendente della banca che, in qualità di incaricato del trattamento e discostandosi dalle istruzioni ricevute, ha effettuato un trattamento illecito in quanto in contrasto con le disposizioni vigenti (artt. 4, comma 1, lett. h), 30, 167 e 169 del Codice) e con le specifiche prescrizioni impartite dall'Autorità al punto 3 del provvedimento del 25 ottobre 2007 concernente "Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario".
Per quanto di interesse in questa sede ci limitiamo a richiamare le prescrizioni del Garante relativamente al profilo degli accessi informatici da parte dei dipendenti delle banche ai dati relativi alla clientela e al correlato tracciamento delle operazioni poste in essere dagli stessi.
La policy di sicurezza delle banche deve prevedere una serie di adempimenti, quali:
1. il "tracciamento" degli accessi ai sistemi e i tempi di conservazione dei relativi file di log.
2. il. tracciamento delle operazioni
3. la conservazione dei log di tracciamento delle operazioni.
4. l'implementazione di alert volti a rilevare intrusioni o accessi anomali e abusivi ai sistemi informativi.
5. le informazioni da rendere all’interessato in caso di accessi non autorizzati;
6. le comunicazioni al Garante.
Sulla scorta di quanto sopra richiamato, il Garante ha dichiarato illecito il trattamento dei dati personali della segnalante effettuato dall’istituto di credito per il tramite del proprio incaricato che ha posto in essere una serie di accessi al conto corrente della medesima, senza apparenti motivazioni operative, da filiali diverse da quella in cui il conto era radicato.