Il Garante Privacy in una recente prescrizione, dichiarando illecito il trattamento dei dati personali effettuato da una banca sui conti correnti dei clienti senza apparenti motivazioni operative, ha ribadito la necessità che gli istituti di credito svolgano, almeno annualmente, adeguati controlli interni sulla legittimità e liceità degli accessi ai dati da parte dei propri dipendenti.
L’Autorità è, infatti, intervenuta a seguito della segnalazione di una signora che lamentava l’illecita comunicazione a terzi non autorizzati dei suoi dati personali. In particolare, la donna, intestataria di un rapporto di conto corrente presso un noto istituto bancario nazionale, , si è vista produrre da controparte, nell’ambito di un procedimento giudiziario nel quale era coinvolta, una memoria difensiva contenente date e cifre di versamenti da lei effettuati in un determinato periodo di tempo.
Ritenendo che le informazioni in questione provenissero da un congiunto di controparte dipendente dell’istituto in questione, la segnalante si è rivolta al Garante per denunciare l’illecita condotta dello stesso in contrasto con le regole privacy ed in particolare dei principi di liceità e di correttezza nel trattamento.
Da parte sua la banca, sostenendo in un primo momento come non risultassero accessi indebiti al conto della donna, ha dovuto ammettere una serie di accessi irrituali “sia nei modi che nella quantità” senza apparenti motivazioni operative avvenuti da filiali diverse da quella in cui la signora aveva il rapporto.
Le indagini effettuate hanno, infatti, consentito di accertare che un dipendente aveva effettivamente trattato in maniera illecita i dati riferiti alla signora in assenza di un suo consenso o di altro legittimo presupposto, nelle forme della consultazione e della loro (presumibile) successiva indebita comunicazione a terzi.
Lo stesso, in qualità di incaricato del trattamento, si era discostato dalle istruzioni ricevute dall’istituto, operando in contrasto con le disposizioni vigenti e con le specifiche prescrizioni in materia impartite dal Garante. Quest’ultime, infatti, prevedono oltre l’obbligo, per gli istituti di credito, di identificare la clientela nell’esecuzione delle diverse operazioni bancarie, anche di svolgere controlli interni proprio per evitare incidenti come quello verificatosi (dei quali possono essere chiamati a rispondere ai sensi dell’art. 15 del Codice).
Occorre precisare che il trattamento illecito è stato rilevato anche grazie alle misure di sicurezza adottate dalla banca, nonostante all’epoca dei fatti non fossero ancora obbligatorie le prescrizioni in materia di tracciabilità degli accessi compiuti dai dipendenti. Tuttavia, per prevenire il ripetersi di simili episodi, il Garante, alla luce delle disposizioni del Codice privacy nonché delle prescrizioni impartite in ambito bancario, ha ordinato alla banca l’adozione di ulteriori misure per implementare i controlli sulla legittimità degli accessi.
Il Garante, infine, ha colto l’occasione per segnalare l’importanza di una necessaria sensibilizzazione al rispetto delle istruzioni puntualmente impartite nella prospettiva ormai prossima dell’entrata in vigore del nuovo Regolamento UE sulla protezione dei dati 2016/679, il quale, all’art. 24, prevede il rispetto del principio di “responsabilità del titolare del trattamento” (c.d. accountability), riservandosi, inoltre, di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le previste violazioni amministrative concernenti il trattamento illecito dei dati.