HOME

/

DIRITTO

/

PRIVACY 2024

/

CONTO CORRENTI BANCARI DEI CLIENTI: ECCO QUANDO I FUNZIONARI POSSONO ACCEDERE

Conto correnti bancari dei clienti: ecco quando i funzionari possono accedere

La qualifica di dipendente di un istituto di credito non conferisce di per sé il diritto ad accedere al conto corrente di un cliente.

Ascolta la versione audio dell'articolo

Il trattamento illecito dei dati a seguito di accesso non autorizzato da parte di un bancario su un conto corrente di un cliente è stato oggetto di un recente provvedimento del Garante, iscritto nel Registro dei provvedimenti n. 286 del 22 giugno 2017.

L'articolo continua dopo la pubblicità

Segui tutti gli aggiornamenti nel dossier dedicato alla Privacy

Tutta la normativa aggiornata sulla Privacy nel Commento breve al Regolamento europeo per la privacy

1) Il caso

Nel corso di un giudizio, nell’ambito di un procedimento civile,  la controparte aveva depositato una memoria difensiva nella quale erano riportate date e cifre di versamenti eseguiti dall'interessata in un determinato periodo di tempo. Informazioni che, secondo quanto sostenuto dalla segnalante, la controparte avrebbe ricevuto da un proprio congiunto in servizio presso la stessa filiale ove lei aveva il conto corrente.
Pertanto la parte in giudizio (interessata), ai sensi dell’art. 141 del Codice in materia di protezione dei dati personali, aveva inviato  al Garante una segnalazione volta ad accertare l'illiceità della condotta dell'istituto di credito in questione, sostanziatasi, a suo dire, in un'indebita comunicazione a terzi dei suoi dati personali.
L’istituto di credito, in risposta alla richiesta di informazioni formulata dall'Autorità nel confermare quanto già comunicato all'interessata, ha sostenuto che "non risultano accessi indebiti al conto corrente intestato alla segnalante", precisando che "all'epoca dei fatti, il congiunto del dipendente (che, ad avviso della segnalante, avrebbe illecitamente acquisito i dati riferiti al proprio conto corrente) prestava servizio presso una filiale diversa da quella di radicamento del conto corrente della Signora e quindi, grazie ai profili di sicurezza adottati dalla banca, poteva operare unicamente sui rapporti della filiale di appartenenza ed era materialmente impossibilitato, con gli strumenti aziendali a disposizione, ad accedere a rapporti radicati presso altre filiali".
A una successiva richiesta dell’Autorità l’Istituto di credito aveva esteso le sue indagini ad un periodo temporale più ampio ed aveva scrutinato l’attività di più filiali.
Da questa successiva indagine era emerso che "nonostante la circolarità tra le filiali della banca limitata ad alcune operazioni, il soggetto in esame procedeva ad interrogare il conto corrente della segnalante anche da filiali diverse da quella di appartenenza del rapporto, senza apparenti motivazioni operative. Come noto, infatti, all'epoca non era ancora scaduto il termine per l'attuazione delle prescrizioni previste dal provvedimento dell'Autorità n. 192 del 12 maggio 2011".

2) La decisione del Garante

Sebbene all'epoca cui risalgono i fatti non fosse ancora entrato in vigore l'obbligo, per gli istituti di credito, di adottare le misure necessarie previste dall'Autorità con il provvedimento del 12 maggio 2011 "in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie", le indagini effettuate, anche grazie ai profili di sicurezza comunque adottati dal titolare del trattamento in questione, hanno consentito di accertare che presso la banca è stato effettuato, in assenza del consenso dell'interessata o di altro legittimo presupposto, un trattamento illecito di dati riferiti alla segnalante (artt. 11, lett. a), 23 e 24 del Codice) nelle forme della consultazione e della loro (presumibile) successiva comunicazione a terzi (nel caso di specie, il congiunto del dipendente, controparte dell'interessata in giudizio civile). Ciò è verosimilmente avvenuto per effetto del comportamento posto in essere da un dipendente della banca che, in qualità di incaricato del trattamento e discostandosi dalle istruzioni ricevute, ha effettuato un trattamento illecito in quanto in contrasto con le disposizioni vigenti (artt. 4, comma 1, lett. h), 30, 167 e 169 del Codice) e con le specifiche prescrizioni impartite dall'Autorità al punto 3 del provvedimento del 25 ottobre 2007 concernente "Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario".
Per quanto di interesse in questa sede ci limitiamo a richiamare le prescrizioni del Garante relativamente al profilo degli accessi informatici da parte dei dipendenti delle banche ai dati relativi alla clientela e al correlato tracciamento delle operazioni poste in essere dagli stessi.
 

La policy di sicurezza delle banche deve prevedere una serie di adempimenti, quali:
1. il "tracciamento" degli accessi ai sistemi e i tempi di conservazione dei relativi file di log.
2. il. tracciamento delle operazioni
3. la conservazione dei log di tracciamento delle operazioni.
4. l'implementazione di alert volti a rilevare intrusioni o accessi anomali e abusivi ai sistemi informativi.
5. le informazioni da rendere all’interessato in caso di accessi non autorizzati;
6. le comunicazioni al Garante.

Sulla scorta di quanto sopra richiamato, il Garante ha dichiarato illecito il trattamento dei dati personali della segnalante effettuato dall’istituto di credito per il tramite del proprio incaricato che ha posto in essere una serie di accessi al conto corrente della medesima, senza apparenti motivazioni operative, da filiali diverse da quella in cui il conto era radicato.
 

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.