Search   You are here:  Le notizie  

Dalla Newsletter del Garante per la protezione dei dati personali

n. 289 del 3 maggio2007


• Banche: accesso ai dati e dipendenti infedeli
• Banche e comunicazioni di dati personali a terzi



Banche: accesso ai dati e dipendenti infedeli. Il Garante richiama un istituto di credito a maggiori controlli contro accessi non autorizzati alla Centrale rischi della Banca d'Italia

 

È vietato l'accesso ai dati personali dei clienti conservati nella Centrale rischi della Banca d'Italia se non giustificato da legittime esigenze. Il principio è stato ribadito dal Garante che ha dichiarato illecito il comportamento di un  dirigente di banca che, per scopi personali, aveva fatto controllare la posizione debitoria del cognato. L'Autorità, con un provvedimento di cui è stato relatore Mauro Paissan, ha prescritto all'istituto di credito di adottare misure di sicurezza mirate a contenere i rischi di accesso non autorizzato e di effettuare controlli più tempestivi ed efficaci sulla correlazione tra l'accesso ai sistemi di informazione creditizia e l'esigenza di trattare una pratica che giustifichi, nel rispetto della legge, le interrogazioni alla banca dati.

La decisione del Garante è stata presa a seguito di una segnalazione presentata da un ex cliente di una banca con la quale aveva cessato qualsiasi rapporto contrattuale dal 2001. Il cliente, messo a conoscenza che dopo tale data erano stati effettuati da parte dell'istituto di credito accessi alla Centrale rischi della Banca d'Italia relativi alla sua persona e al proprio coniuge, aveva chiesto spiegazioni. L'ente creditizio non aveva fornito idoneo riscontro alla richiesta del cliente, il quale si è quindi rivolto al Garante per vedere tutelati i suoi diritti.

In seguito agli accertamenti disposti dall'Autorità, la banca ha dovuto invece dichiarare che le richieste alla Centrale rischi della Banca d'Italia erano state effettuate indebitamente per ragioni di natura personale da parte di un dirigente dell'istituto di credito, cognato del cliente, che aveva incaricato alcuni collaboratori, pur apparentemente estranei alle finalità private da lui perseguite e non consapevoli dell'illiceità della richiesta, di effettuare le interrogazioni alla Centrale rischi.

Il Garante ha pertanto dichiarato illecito il trattamento dei dati effettuato a danno del cliente. Inoltre, diversamente da quanto dichiarato all'Autorità, la banca non aveva fornito al cliente, a fronte dei chiarimenti da lui richiesti, le vere ragioni dell'accesso illecito e ha pertanto violato il suo diritto ad essere preventivamente informato di ogni trattamento dati che possa interessarlo.

L'Autorità ha infine disposto la trasmissione degli atti alla magistratura per le valutazioni di competenza riguardo agli illeciti penali eventualmente configurabili.

 

 Banche e comunicazioni di dati personali a terzi

Senza il consenso del cliente la banca non può inviare documentazione a persone estranee

 

Senza il consenso del cliente la banca non può inviare documentazione o estratti conto a persone estranee. Il principio è stato ribadito dall'Autorità Garante, in un provvedimento di cui è stato relatore Giuseppe Fortunato, che ha richiamato una banca al rispetto delle norme che disciplinano la comunicazione di dati personali a terzi. Queste regole prevedono che i dati vengano comunicati solo dopo aver acquisito il consenso della clientela, una volta che questa sia stata adeguatamente informata, oppure, senza consenso, nelle sole ipotesi stabilite dal Codice della privacy: ad esempio, per adempiere ad un obbligo previsto dalla legge o per dare esecuzione ad un contratto.

Il comportamento illecito è stato rilevato dal Garante a seguito del reclamo di un correntista che lamentava la comunicazione al fax dello studio del figlio di informazioni sulla sua situazione bancaria. In particolare la banca non è stata in grado di provare che la comunicazione fosse avvenuta con il consenso del cliente o che rientrasse comunque in una delle ipotesi previste dal Codice. A riprova di ciò, solo in un tempo successivo alla contestata comunicazione è intervenuta una espressa autorizzazione del padre che consentiva al figlio di visionare e fotocopiare documenti depositati presso la banca.

Già in precedenti occasioni il Garante ha affermato che la banca deve verificare che le comunicazioni di dati personali avvengano senza violare obblighi derivanti dalla legge o da un rapporto contrattuale così come stabilito anche dalle regole di comportamento contenute nel codice di autodisciplina elaborato dall'Abi, le quali prevedono che le banche debbano mantenere la riservatezza sulle informazioni acquisite dalla clientela o di cui comunque vengono a conoscenza per la loro funzione. Nel caso esaminato dal Garante non risulta, invece, che la banca abbia svolto la predetta verifica né abbia rispettato il codice di autodisciplina, comunicando senza autorizzazione dati ad un estraneo in violazione del principio di liceità e correttezza sancito dal Codice della privacy.

Per ricercare i testi pubblicati nel sito attraverso parole chiave, basta digitarle nella riga qui sotto e cliccare sul tasto VAI
Home:Le ragioni di un nome :Chi siamo:Contatti:In primo piano :Cosa offre Nonsoloprivacy:Le notizie:Le leggi:I Materiali:Le opinioni:I commenti e le interpretazioni:Pagine da meditare:La newsletter:I diari di nonsoloprivacy:Convegni, Seminari, Eventi:Disclaimer:I links di Nonsoloprivacy
Copyright (c) 2000-2010 Condizioni d'Uso Dichiarazione per la Privacy