DELIBERAZIONE 12 maggio 2011 - Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie. (11A07238)

IL GARANTE PER LA PROTEZIONE

DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

Esaminate le istanze (segnalazioni, reclami e quesiti) pervenute in tema di trattamento di dati personali della clientela effettuato dalle banche in ordine ai temi della «circolazione» delle informazioni riferite ai clienti all'interno dei gruppi bancari e della «tracciabilita'» delle operazioni bancarie effettuate da incaricati del trattamento di tali dati (comprese quelle che non comportano movimentazione di denaro - c.d. inquiry);

Visti i provvedimenti gia' adottati in tale ambito dall'Autorita';

Ritenuto di dover definire, in tale contesto, un quadro unitario di misure necessarie e opportune in grado di fornire ulteriori orientamenti utili per gli operatori del settore e i clienti, individuando, a tal fine, i comportamenti piu' appropriati da adottare;

Ritenuto che tali misure debbano essere oggetto di prescrizioni rese dal Garante ai sensi dell'art. 154, comma 1, lettera c) del Codice;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

Premesso:

1. Profili generali.

1.1. Scopo del provvedimento.

Il presente provvedimento mira a fornire prescrizioni in relazione al trattamento di dati personali della clientela effettuato dai soggetti definiti al punto 1.2. al fine di garantire il rispetto dei principi in materia di protezione dei dai personali ai sensi del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) in ordine ai temi della «circolazione» delle informazioni riferite ai clienti in ambito bancario e della «tracciabilita'» delle operazioni bancarie effettuate dai dipendenti di istituti di credito (sia quelle che comportano movimentazione di denaro, sia quelle di sola consultazione, c.d. inquiry).

1.2. Ambito soggettivo di applicazione.

Il presente provvedimento si applica ai seguenti soggetti ove stabiliti sul territorio nazionale (art. 5 del Codice): alle banche, incluse quelle facenti parte di gruppi (disciplinati, in generale, dall'art. 2359 del codice civile e, in particolare, dagli articoli 60 e seguenti del decreto legislativo n. 385/1993); alle societa', anche diverse dalle banche purche' siano parte di tali gruppi (di seguito anch'esse denominate «banche»), nell'ambito dei trattamenti dalle stesse effettuati sui dati personali della clientela; a «Poste Italiane S.p.a.» (relativamente all'attivita' che gli operatori postali possono svolgere nell'ambito dei servizi bancari e finanziari ai sensi del decreto del presidente della Repubblica 14 marzo 2001, n. 144 - vedi regolamento recante norme sui servizi di Bancoposta, adottato in attuazione della delega contenuta nell'art. 40 della legge 23 dicembre 1998, n. 448; vedi anche Istruzioni di vigilanza per le banche - circolare Banca d'Italia n. 229 del 21 aprile 1999 - 10° Aggiornamento del 9 aprile 2004).

Il presente provvedimento si riferisce ai trattamenti effettuati dai soggetti sopra indicati mediante i propri dipendenti.

Restano salve le norme del Codice in materia di trasferimento dei dati all'estero da parte dei titolari del trattamento. In relazione a tale aspetto l'Autorita' si riserva, qualora se ne dovesse ravvisare la necessita', di intervenire con un successivo provvedimento.

Il presente provvedimento, inoltre, non riguarda le modalita' con le quali i clienti accedono on line ai servizi bancari (c.d. home banking).

1.3. Attivita' svolta.

Nel redigere il provvedimento si e' tenuto conto delle istanze (segnalazioni, reclami e richieste di pareri) pervenute nel tempo in materia; degli accertamenti ispettivi effettuati, negli anni 2008, 2009 e 2010, presso le maggiori banche e/o gruppi bancari nazionali nonche' presso «Poste Italiane S.p.a.»; degli specifici provvedimenti collegiali adottati dal Garante all'esito di alcuni di tali accertamenti; delle risultanze di un'ulteriore attivita' di indagine e rilevazione, svolta con la collaborazione dell'Associazione bancaria italiana (di seguito, ABI) e ultimata nel mese di ottobre 2010.

Con istanze rivolte all'Autorita', numerosi interessati hanno dichiarato di essere venuti a conoscenza che dati personali a loro riferiti (in specie, informazioni bancarie), conservati nei data base di alcune banche con le quali avevano instaurato rapporti contrattuali, erano stati oggetto di indebito accesso, verosimilmente da parte di alcuni dipendenti, i quali, successivamente, li avrebbero comunicati a terzi che li avrebbero utilizzati per scopi personali e, segnatamente, in vista di una loro produzione in giudizio (di norma, in separazioni giudiziali e procedure esecutive, in particolare, in pignoramenti presso terzi).

Considerata la rilevanza del tema, l'Autorita' ha disposto accertamenti ispettivi presso alcuni istituti bancari volti a verificare, anzitutto, se effettivamente vi fossero stati accessi da parte di dipendenti alle informazioni bancarie dei clienti e i presupposti degli stessi.

All'esito dell'attivita' ispettiva svolta, sono emersi non solo elementi che hanno consentito di definire alcune segnalazioni con singole decisioni del Garante (provvedimenti 28 maggio 2009, doc. web n. 1624734; 18 giugno 2009, doc. web n. 1635720; 23 luglio 2009, doc. web n. 1640294; 18 marzo 2010, doc. web n. 1715015), ma anche profili problematici di carattere generale.

Inoltre, in ragione dell'accertata diversita' di soluzioni organizzative adottate dalle banche e dell'elevato numero di soggetti coinvolti nell'indagine intrapresa, l'Autorita' ha ritenuto necessario coinvolgere l'ABI in nuovi approfondimenti volti a chiarire ulteriormente le problematiche in esame.

Tali approfondimenti si sono concretizzati nella predisposizione, da parte dell'Autorita', di un questionario tipo, teso a rilevare le scelte organizzative effettuate dalle singole banche in relazione ai profili in questione, cui ha fatto riscontro un successivo documento elaborato dall'ABI in forma aggregata e anonima, da cui risulta che alla rilevazione hanno partecipato «340 tra banche e gruppi bancari, che fanno complessivamente riferimento a 441 banche operanti sul territorio italiano». 2. La circolazione delle informazioni tra le banche appartenenti al gruppo.

2.1. Aspetti organizzativi emersi a seguito dell'attivita' istruttoria condotta.

La circolazione delle informazioni riferite alla clientela nell'ambito di un gruppo bancario puo' avvenire a diversi livelli astrattamente riconducibili a tre distinte tipologie:

1) la comunicazione di dati personali tra banche appartenenti al medesimo gruppo;

2) la circolazione di tali dati tra agenzie o filiali della stessa banca;

3) la circolazione di dati nell'ambito di una stessa agenzia o filiale.

Nella prima tipologia, relativa alla circolazione di dati personali della clientela tra banche appartenenti ad uno stesso gruppo, l'attivita' ispettiva svolta ha consentito di accertare che presso le singole realta' bancarie sono state effettuate scelte...