Garante privacy, Registro dei provvedimenti n. 286 del 22 giugno 2017
Gli istituti di credito devono svolgere controlli interni, con cadenza almeno annuale, per verificare la legittimità e liceità degli accessi ai dati da parte dei propri dipendenti. Il principio è stato ribadito dal Garante privacy che ha dichiarato illecito il comportamento di un dipendente di una banca che aveva effettuato una serie di accessi indebiti al conto corrente di una cliente.
L’Autorità è intervenuta a seguito della segnalazione della donna che lamentava l’illecita comunicazione a terzi non autorizzati di dati personali che la riguardavano. In particolare, la segnalante denunciava che, nell’ambito di un procedimento civile, la controparte in giudizio aveva depositato una memoria difensiva nella quale erano riportate date e cifre di versamenti eseguiti dall’interessata in un determinato periodo di tempo. Informazioni che, secondo quanto sostenuto dalla segnalante, la controparte avrebbe ricevuto da un proprio congiunto in servizio presso la stessa filiale ove lei aveva il conto corrente.
La banca, che in un primo momento aveva dichiarato di non aver riscontrato accessi anomali al conto della donna, ad una successiva richiesta del Garante di effettuare una ricerca su un arco di tempo più ampio e coinvolgendo più filiali, ha accertato invece che il dipendente aveva compiuto una serie di accessi al conto corrente della signora, irrituali sia nei modi che nella quantità. Senza il consenso della cliente e senza un altro motivo legittimo, il dipendente aveva consultato più volte, anche da filiali diverse da quella di appartenenza, il conto corrente della donna ed è presumibile che abbia comunicato le informazioni raccolte ad un suo parente, controparte dell’interessata.
Il trattamento illecito è stato rilevato, anche grazie alle misure di sicurezza adottate dalla banca, nonostante all’epoca dei fatti non fossero ancora obbligatorie le prescrizioni del Garante sulla tracciabilità degli accessi compiuti dai dipendenti. Tuttavia, per evitare il più possibile il ripetersi di episodi simili, il Garante, alla luce delle disposizioni del Codice privacy e delle prescrizioni impartite in ambito bancario, ha ordinato alla banca l’adozione di ulteriori misure per implementare i controlli sulla legittimità degli accessi e sensibilizzare i dipendenti al rispetto delle regole.
L’Autorità si è riservata di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni previste per il trattamento illecito dei dati