Privacy e dati bancari: il Garante chiarisce le regole
Il Garante per la protezione dei dati personali italiano con il provvedimento n.192/2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”, ha inteso fornire alcune regole di condotta dirette ad assicurare la riservatezza e la sicurezza dei dati bancari.
L’adozione delle prescrizioni in esso contenute ha, tuttavia, incontrato diversi ostacoli interpretativi che si sono riflessi sul piano attuativo impedendo, di fatto, il rispetto del termine di adeguamento previsto. Per tali ragioni, tramite l’Associazione Bancaria Italiana, i soggetti richiamati dal provvedimento (Istituti di credito, società appartenenti a gruppi bancari, nonché Poste Italiane S.p.A.) hanno richiesto all’Autorità Garante dei chiarimenti in merito.
Volendone ricordare i contenuti, finalità dell’intervento del 2011 era quello di garantire il rispetto del Codice in materia di protezione dei dati personali, sia nella circolazione di informazioni relative alla clientela all’interno di banche o gruppi bancari, quanto in ordine al tracciamento delle operazioni bancarie – di tipo dispositivo o di semplice inquiry – effettuate dai dipendenti degli stessi istituti.
L’esigenza di tale specifica tutela traeva origine dalle ripetute istanze pervenute all’attenzione dell’Autorità con le quali numerosi interessati avevano denunciato l’illecito accesso ai propri dati personali (nella fattispecie, ai dati bancari) ad opera “verosimilmente” dei dipendenti di alcune banche con cui intrattenevano rapporti contrattuali, dati ceduti a terzi soggetti e utilizzati, ad esempio, in vista di una futura produzione in giudizio (segnatamente, in separazioni giudiziali o procedure esecutive).
Nello specifico, il Garante, ai fini del raggiungimento del suddetto obiettivo, pur avendo riconosciuto ai titolari del trattamento una evidente discrezionalità nella determinazione delle soluzioni organizzative, aveva prescritto l’adozione di apposite misure, distinte in “necessarie” ed “opportune”.
Le prime, in particolare, prevedevano: la designazione in qualità di responsabili del trattamento dati, da parte dei destinatari del provvedimento, delle società operanti in outsourcing; l’adozione di soluzioni informatiche in grado di registrare, in occasione di ogni accesso ai dati bancari, determinate informazioni (codice identificativo dell’operatore che ha posto in essere l’operazione di accesso, data e ora di esecuzione, codice della postazione di lavoro utilizzata, codice del cliente e tipologia del rapporto contrattuale oggetto dell’operazione), ad eccezione di quelle semplici consultazioni effettuate in forma “aggregata”, le quali non consentono la riconducibilità dei dati al cliente; la conservazione dei file di log, per almeno 24 mesi dalla data di registrazione dell’operazione; l’attivazione di alert capaci di individuare e segnalare anomalie e rischi relativi alle operazioni di inquiry; l’esecuzione di una periodica e documentata attività di auditing interno demandata ad una unità organizzativa o a personale differente rispetto a quello cui è affidato il trattamento dei dati bancari della clientela.
Tra le misure opportune, invece, venivano individuate: l’informativa da rendere al cliente ex articolo 13 del Codice privacy e l’eventuale possibilità che i dati possano circolare tra le agenzie o filiali di ciascuna banca; la comunicazione, senza ritardo, all’interessato circa le operazioni di trattamento illecito effettuato dagli incaricati sui suoi dati; ed infine, l’obbligo di comunicazione tempestiva al Garante, in caso di grave violazione nella protezione di dati personali, sia essa accidentale o illecita.
L’impossibilità di adempiere entro il termine prescritto del 3 dicembre 2013 per le ragioni suesposte ha, dunque, reso necessaria l’emanazione del successivo provvedimento n. 357 del 18 luglio 2013, con cui l’Autorità ha definito il quadro operativo, chiarendone l’ambito di applicazione del precedente intervento.
In primo luogo, sono oggetto delle normativa tutte le operazioni connesse allo svolgimento dell’attività bancaria stricto sensu indicate all’articolo 10, comma 1, del Testo Unico Bancario (raccolta del risparmio tra il pubblico ed esercizio del credito).
Con riguardo, poi, alle altre attività finanziarie esercitabili dalle Banche, vi sarebbero le operazioni di trattamento connesse alle attività che possono essere svolte dalle banche comunitarie in tutti gli Stati membri dell’UE, sulla base dell’autorizzazione dell’Autorità di vigilanza del Paese di origine (cosiddette “attività ammesse al mutuo riconoscimento”, previste ex articolo 1, comma 2, lettera f) del Testo Unico Bancario). Tuttavia, poiché tra tali ultime operazioni ve ne sarebbero alcune non contemplate dal provvedimento del 2011 (ad esempio, la locazione di cassette di sicurezza, i servizi di informazione commerciale, ecc.), i titolari del trattamento sono chiamati a valutare ulteriormente le operazioni da tracciare.
In relazione all’ambito soggettivo di applicazione: rimangono escluse tanto le banche depositarie (chiamate a custodire gli strumenti finanziari e le disponibilità liquide di un fondo comune di investimento), quanto le società di assicurazione, purché le operazioni poste in essere dagli incaricati del trattamento non rendano necessario l’accesso ai dati bancari della clientela.
Inoltre, il provvedimento chiarificatore, facendo specifico riferimento ad alcune precedenti pronunce del Garante, ha ricompreso tra i dati bancari: “quelli contenuti negli estratti conto, quelli afferenti alle movimentazioni bancarie, le informazioni relative alle operazioni attive e passive e le operazioni effettuate sul conto corrente del cliente, nonché le operazioni richieste dal cliente nell’ambito di prestazioni ed attività connesse ai rapporti contrattuali”.
Infine, l’Autorità Garante ha prorogato al 3 giugno 2014 il termine ultimo per l’adeguamento, precisando che “l’entità del differimento non pregiudica il raggiungimento in tempi brevi della piena tutela dei diritti degli interessati e, al contempo, la realizzazione del livello di sicurezza delle informazioni bancarie che l’implementazione del sistema è volta a garantire”.
Per visualizzare il provvedimento del 12 maggio 2011, n. 192, Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie, clicca qui.
Per visualizzare il provvedimento del 18 luglio 2013, n. 357, Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti all'interno dei gruppi bancari e 'tracciabilità' delle operazioni bancarie; proroga del termine per completare l'attuazione delle misure originariamente prescritte, clicca qui.
Il Garante per la protezione dei dati personali italiano con il provvedimento n.192/2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”, ha inteso fornire alcune regole di condotta dirette ad assicurare la riservatezza e la sicurezza dei dati bancari.
L’adozione delle prescrizioni in esso contenute ha, tuttavia, incontrato diversi ostacoli interpretativi che si sono riflessi sul piano attuativo impedendo, di fatto, il rispetto del termine di adeguamento previsto. Per tali ragioni, tramite l’Associazione Bancaria Italiana, i soggetti richiamati dal provvedimento (Istituti di credito, società appartenenti a gruppi bancari, nonché Poste Italiane S.p.A.) hanno richiesto all’Autorità Garante dei chiarimenti in merito.
Volendone ricordare i contenuti, finalità dell’intervento del 2011 era quello di garantire il rispetto del Codice in materia di protezione dei dati personali, sia nella circolazione di informazioni relative alla clientela all’interno di banche o gruppi bancari, quanto in ordine al tracciamento delle operazioni bancarie – di tipo dispositivo o di semplice inquiry – effettuate dai dipendenti degli stessi istituti.
L’esigenza di tale specifica tutela traeva origine dalle ripetute istanze pervenute all’attenzione dell’Autorità con le quali numerosi interessati avevano denunciato l’illecito accesso ai propri dati personali (nella fattispecie, ai dati bancari) ad opera “verosimilmente” dei dipendenti di alcune banche con cui intrattenevano rapporti contrattuali, dati ceduti a terzi soggetti e utilizzati, ad esempio, in vista di una futura produzione in giudizio (segnatamente, in separazioni giudiziali o procedure esecutive).
Nello specifico, il Garante, ai fini del raggiungimento del suddetto obiettivo, pur avendo riconosciuto ai titolari del trattamento una evidente discrezionalità nella determinazione delle soluzioni organizzative, aveva prescritto l’adozione di apposite misure, distinte in “necessarie” ed “opportune”.
Le prime, in particolare, prevedevano: la designazione in qualità di responsabili del trattamento dati, da parte dei destinatari del provvedimento, delle società operanti in outsourcing; l’adozione di soluzioni informatiche in grado di registrare, in occasione di ogni accesso ai dati bancari, determinate informazioni (codice identificativo dell’operatore che ha posto in essere l’operazione di accesso, data e ora di esecuzione, codice della postazione di lavoro utilizzata, codice del cliente e tipologia del rapporto contrattuale oggetto dell’operazione), ad eccezione di quelle semplici consultazioni effettuate in forma “aggregata”, le quali non consentono la riconducibilità dei dati al cliente; la conservazione dei file di log, per almeno 24 mesi dalla data di registrazione dell’operazione; l’attivazione di alert capaci di individuare e segnalare anomalie e rischi relativi alle operazioni di inquiry; l’esecuzione di una periodica e documentata attività di auditing interno demandata ad una unità organizzativa o a personale differente rispetto a quello cui è affidato il trattamento dei dati bancari della clientela.
Tra le misure opportune, invece, venivano individuate: l’informativa da rendere al cliente ex articolo 13 del Codice privacy e l’eventuale possibilità che i dati possano circolare tra le agenzie o filiali di ciascuna banca; la comunicazione, senza ritardo, all’interessato circa le operazioni di trattamento illecito effettuato dagli incaricati sui suoi dati; ed infine, l’obbligo di comunicazione tempestiva al Garante, in caso di grave violazione nella protezione di dati personali, sia essa accidentale o illecita.
L’impossibilità di adempiere entro il termine prescritto del 3 dicembre 2013 per le ragioni suesposte ha, dunque, reso necessaria l’emanazione del successivo provvedimento n. 357 del 18 luglio 2013, con cui l’Autorità ha definito il quadro operativo, chiarendone l’ambito di applicazione del precedente intervento.
In primo luogo, sono oggetto delle normativa tutte le operazioni connesse allo svolgimento dell’attività bancaria stricto sensu indicate all’articolo 10, comma 1, del Testo Unico Bancario (raccolta del risparmio tra il pubblico ed esercizio del credito).
Con riguardo, poi, alle altre attività finanziarie esercitabili dalle Banche, vi sarebbero le operazioni di trattamento connesse alle attività che possono essere svolte dalle banche comunitarie in tutti gli Stati membri dell’UE, sulla base dell’autorizzazione dell’Autorità di vigilanza del Paese di origine (cosiddette “attività ammesse al mutuo riconoscimento”, previste ex articolo 1, comma 2, lettera f) del Testo Unico Bancario). Tuttavia, poiché tra tali ultime operazioni ve ne sarebbero alcune non contemplate dal provvedimento del 2011 (ad esempio, la locazione di cassette di sicurezza, i servizi di informazione commerciale, ecc.), i titolari del trattamento sono chiamati a valutare ulteriormente le operazioni da tracciare.
In relazione all’ambito soggettivo di applicazione: rimangono escluse tanto le banche depositarie (chiamate a custodire gli strumenti finanziari e le disponibilità liquide di un fondo comune di investimento), quanto le società di assicurazione, purché le operazioni poste in essere dagli incaricati del trattamento non rendano necessario l’accesso ai dati bancari della clientela.
Inoltre, il provvedimento chiarificatore, facendo specifico riferimento ad alcune precedenti pronunce del Garante, ha ricompreso tra i dati bancari: “quelli contenuti negli estratti conto, quelli afferenti alle movimentazioni bancarie, le informazioni relative alle operazioni attive e passive e le operazioni effettuate sul conto corrente del cliente, nonché le operazioni richieste dal cliente nell’ambito di prestazioni ed attività connesse ai rapporti contrattuali”.
Infine, l’Autorità Garante ha prorogato al 3 giugno 2014 il termine ultimo per l’adeguamento, precisando che “l’entità del differimento non pregiudica il raggiungimento in tempi brevi della piena tutela dei diritti degli interessati e, al contempo, la realizzazione del livello di sicurezza delle informazioni bancarie che l’implementazione del sistema è volta a garantire”.
Per visualizzare il provvedimento del 12 maggio 2011, n. 192, Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie, clicca qui.
Per visualizzare il provvedimento del 18 luglio 2013, n. 357, Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti all'interno dei gruppi bancari e 'tracciabilità' delle operazioni bancarie; proroga del termine per completare l'attuazione delle misure originariamente prescritte, clicca qui.