Banche e privacy: i limiti del dovere/diritto di accesso ai conti correnti
A cura di Damiana Lesce
Con provvedimento n. 286 del 22 giugno 2017 (doc. web n. 6629414), il Garante della Privacy ha dichiarato illecito il trattamento dei dati personali di una correntista da parte un Istituto di Credito per il tramite del proprio incaricato che ha posto in essere una serie di accessi al conto corrente della medesima, senza apparenti motivazioni operative.
Nel caso in esame, il Garante è intervenuto a seguito della segnalazione di una donna la quale denunciava il fatto che, nell’ambito di un procedimento civile, la controparte in giudizio aveva depositato una memoria difensiva nella quale erano riportate date e cifre di versamenti eseguiti dall’interessata in un determinato
periodo di tempo; tali dati sarebbero stati consegnati alla controparte da una persona in servizio presso la stessa filiale ove lei aveva il conto corrente.
Le indagini accertavano che il dipendente dell’Istituto di Credito aveva compiuto una serie di accessi al conto corrente della signora, irrituali sia nei modi che nella quantità. Senza il consenso della cliente e senza un altro motivo legittimo, il dipendente aveva consultato più volte, anche da filiali diverse da quella di appartenenza, il conto corrente della donna, presumibilmente comunicando le informazioni raccolte alla controparte dell’interessata.
Il dipendente della Banca, in qualità di incaricato del trattamento, ha effettuato un trattamento illecito in quanto in contrasto con le disposizioni vigenti (artt. 4, comma 1, lett. h), 30, 167 e 169 del Codice Privacy) e con le prescrizioni impartite dal Garante al punto 3 del provvedimento del 25 ottobre 2007 concernente “Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario” (doc. web n. 1457247) e con provvedimento del 12 maggio 2011 “in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” (doc. web n. 1813953).
I predetti provvedimenti, da un lato, richiamano l’obbligo per gli Istituti di Credito di identificare la clientela nell’esecuzione delle diverse operazioni bancarie e, dall’altro, prescrivono agli stessi di operare di attività di controllo interno, con cadenza almeno annuale, sulla legittimità e liceità degli accessi ai dati effettuati dai propri incaricati, prevedendo altresì che l'esito dell'attività di controllo sia messo a disposizione del Garante, in caso di specifica richiesta. Quanto sopra per consentire alle Banche di assumere ogni opportuna iniziativa idonea ad evitare casi analoghi a quelli del caso in esame, e per i quali possono rispondere ai sensi dell’art. 15 del Codice.
Ma non solo.
Tale obbligo deve essere assolto anche in vista dell’entrata in vigore del nuovo Regolamento sulla protezione dei dati, al fine di assicurare il rispetto del principio di “responsabilità del titolare del trattamento” (Accountability) di cui all’art.24 del Regolamento (UE) 2016/679.
Con provvedimento in esame, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), il Garante ha ordinato all’Istituto di Credito l’adozione di ulteriori misure per implementare i controlli sulla legittimità degli accessi e sensibilizzare i dipendenti al rispetto delle regole.
L’Autorità si è riservata di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni previste per il trattamento illecito dei dati.
