Privacy e dati bancari: il Garante chiarisce le regole

Il Garante per la protezione dei dati personali italiano con il provvedimento n.192/2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”, ha inteso fornire alcune regole di condotta dirette ad assicurare la riservatezza e la sicurezza dei dati bancari.

L’adozione delle prescrizioni in esso contenute ha, tuttavia, incontrato diversi ostacoli interpretativi che si sono riflessi sul piano attuativo impedendo, di fatto, il rispetto del termine di adeguamento previsto. Per tali ragioni, tramite l’Associazione Bancaria Italiana, i soggetti richiamati dal provvedimento (Istituti di credito, società appartenenti a gruppi bancari, nonché Poste Italiane S.p.A.) hanno richiesto all’Autorità Garante dei chiarimenti in merito.

Volendone ricordare i contenuti, finalità dell’intervento del 2011 era quello di garantire il rispetto del Codice in materia di protezione dei dati personali, sia nella circolazione di informazioni relative alla clientela all’interno di banche o gruppi bancari, quanto in ordine al tracciamento delle operazioni bancarie – di tipo dispositivo o di semplice inquiry – effettuate dai dipendenti degli stessi istituti.

L’esigenza di tale specifica tutela traeva origine dalle ripetute istanze pervenute all’attenzione dell’Autorità   con le quali numerosi interessati avevano denunciato l’illecito accesso ai propri dati personali (nella fattispecie, ai dati bancari) ad opera “verosimilmente” dei dipendenti di alcune banche con cui intrattenevano rapporti contrattuali, dati ceduti a terzi soggetti e utilizzati, ad esempio, in vista di una futura produzione in giudizio (segnatamente, in separazioni giudiziali o procedure esecutive).

Nello specifico, il Garante, ai fini del raggiungimento del suddetto obiettivo, pur avendo riconosciuto ai titolari del trattamento una evidente discrezionalità nella determinazione delle soluzioni organizzative, aveva prescritto l’adozione di apposite misure, distinte in “necessarie” ed “opportune”.

Le prime, in particolare, prevedevano: la designazione in qualità di responsabili del trattamento dati, da parte dei destinatari del provvedimento, delle società operanti in outsourcing; l’adozione di soluzioni informatiche in grado di registrare, in occasione di ogni accesso ai dati bancari, determinate informazioni (codice identificativo dell’operatore che ha posto in essere l’operazione di accesso, data e ora di esecuzione, codice della postazione di lavoro utilizzata, codice del cliente e tipologia del rapporto contrattuale oggetto dell’operazione), ad eccezione di quelle semplici consultazioni effettuate in forma “aggregata”, le quali non consentono la riconducibilità dei dati al cliente; la conservazione dei file di log, per almeno 24 mesi dalla data di registrazione dell’operazione; l’attivazione di alert capaci di individuare e segnalare anomalie e rischi relativi alle operazioni di inquiry; l’esecuzione di una periodica e documentata attività di auditing interno demandata ad una unità organizzativa o a personale differente rispetto a quello cui è affidato il trattamento dei dati bancari della clientela.

Tra le misure opportune, invece, venivano individuate: l’informativa da rendere al cliente ex articolo 13 del Codice privacy e l’eventuale possibilità che i dati possano circolare tra le agenzie o filiali di ciascuna banca; la comunicazione, senza ritardo, all’interessato circa le operazioni di trattamento illecito effettuato dagli incaricati sui suoi dati; ed infine, l’obbligo di comunicazione tempestiva al Garante, in caso di grave violazione nella protezione di dati personali, sia essa accidentale o illecita.