Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Internal auditing e trattamento dei dati personali - 25 gennaio 2007 [1381999]

[doc. web n. 1381999]

Internal auditing e trattamento dei dati personali - 25 gennaio 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il ricorso –non regolarizzato- proposto dal Antonio Li Causi nei riguardi di Banca Nuova S.p.a., relativo ad un trattamento di dati personali effettuato in un rapporto di lavoro, e la richiesta dell'interessato di considerarlo quale segnalazione o reclamo;

Vista la documentazione in atti, compresi gli elementi acquisiti dall'Autorità il 31 maggio 2006 nel corso di un accertamento in loco disposto presso la sede legale della banca;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1.1. La segnalazione. Il sig. Antonio Li Causi ha lamentato l'illiceità di talune operazioni di trattamento di dati personali a sé riferiti effettuate nell'ambito del rapporto di lavoro alle dipendenze di Banca Nuova S.p.a. (di seguito "la banca").

L'iniziale ricorso contro la banca (nota prot. n. 10577/28174 del 15 luglio 2003), non regolarizzato, è stato esaminato dall'Autorità su richiesta dell'interessato alla stregua di una segnalazione.

L'interessato ha rappresentato che:

a) è stato dipendente della banca (con la qualifica di analista programmatore Edp su grandi sistemi) fino al 14 aprile 2003, data in cui è stato licenziato per giusta causa all'esito di un procedimento disciplinare per i seguenti comportamenti illeciti: destinazione ad uso privato del personal computer assegnatogli dalla banca per motivi di servizio; alterazione della sua configurazione mediante installazione non autorizzata di hardware, software e di altre strumentazioni informatiche; tentativi di accessi notturni al sistema informativo centrale della banca (v. allegato 3) alla segnalazione);
b) ha impugnato il licenziamento dinanzi al giudice del lavoro di Trapani chiedendo di essere reintegrato con ricorso ex art. 700 c.p.c., accolto con ordinanza del 21 luglio 2003 (con la quale il giudice ha dichiarato illegittima la procedura disciplinare adottata);
c) in fase di costituzione nel predetto giudizio ex art. 700 c.p.c., al fine di provare l'insussistenza del periculum in mora quale elemento idoneo ad azionare la tutela d'urgenza chiesta dal ricorrente, la banca ha prodotto copia integrale dell'estratto di conto corrente, acceso dall'interessato presso lo stesso istituto di credito, recante il saldo e il promemoria degli ultimi movimenti bancari registrati, tra i quali anche il versamento, da parte della banca, della somma spettante al medesimo a titolo di competenze di fine rapporto (c.d. tfr);
d) nel periodo antecedente al licenziamento, durante il quale era stato sospeso cautelativamente dal servizio, la banca ha effettuato attività ispettive con personale interno (c.d. internal auditing), asportando dalla propria scrivania documenti contenenti anche "dati sensibili come: i certificati delle analisi del sangue, agende personali, files informatici, fotografie, documenti a sfondo politico", apprendendone, così, il contenuto (cfr. segnalazione cit., p. 3).

1.2. Profili di asserita illiceità del trattamento. Il segnalante asserisce che le attività indicate ai precedenti punti c) e d) abbiano violato la disciplina sulla protezione dei dati personali sotto due aspetti:

a) la banca avrebbe utilizzato nel giudizio del lavoro, senza il consenso dell'interessato, dati inerenti al rapporto di conto corrente, che "[...] risulta distinto e separato dal rapporto di lavoro subordinato";
b) "dal verbale di sequestro depositato dall'istituto di credito nel procedimento civile ex art. 700 c.p.c. si evince, senza ombra di dubbio, che i dipendenti dell'istituto di credito hanno letto integralmente il materiale di [sua] proprietà indebitamente asportato dalla scrivania assegnata[gli]" (v. segnalazione, p. 3).

 

2. Produzione documentale del segnalante

2.1. Il segnalante ha prodotto copiosa documentazione integrativa della segnalazione, in particolare copia dell'ordinanza del 5 settembre 2003 con la quale il Tribunale di Trapani, su reclamo della banca, ha revocato la menzionata ordinanza di reintegrazione.

L'ordinanza di revoca dichiara "[...] non raggiunto il richiesto fumus d'illegittimità del procedimento disciplinare  applicato [...]" e insussistente il periculum in mora, sulla scorta di quanto provato dalla banca producendo l'estratto conto del lavoratore, così motivando: "... l'ammontare del capitale percepito a titolo di TFR [...] appare sufficiente a garantirne la soddisfazione dei bisogni primari nelle more di definizione del giudizio di merito".

2.2. In aggiunta ai numerosi altri documenti del segnalante indicati nella nota interna dell'Ufficio del Garante in data 22 dicembre 2006, i quali che non contengono elementi utili ai fini della valutazione della liceità e correttezza dei trattamenti effettuati, il segnalante ha prodotto un ulteriore documento attinente all'ispezione interna effettuata dalla banca sulla sua postazione di lavoro in pendenza del procedimento disciplinare e avvalendosi, come detto, della direzione di Audit (v. il verbale di incidente probatorio del 21 dicembre 2004).

Da tale documento emerge che detta ispezione ha avuto impulso dal responsabile dei controlli e.d.p. (a seguito della ricezione dal sistema informativo centrale della banca di una segnalazione relativa a tentativi di accessi notturni effettuati dalla postazione del segnalante) e che la medesima ha trovato ragione nella necessità di proteggere i dati dei clienti della banca (con particolare riferimento a quelli contabili e relativi ai bonifici e ai rapporti interbancari, che vengono rielaborati e aggiornati dal sistema informativo proprio in orario notturno).

In relazione alle modalità con le quali le attività ispettive sono state svolte, dal citato verbale di incidente probatorio risulta, altresì, che:

  • vi è stata una segnalazione automatica dei tentativi di accesso tramite l'utenza del segnalante, avvenuti il 22 gennaio 2003, e successivi approfondimenti hanno dimostrato che altri tentativi erano stati fatti il 15 gennaio 2003, a partire dalla medesima utenza. I rilevamenti sulle utenze assegnate al personale per verificare eventuali accessi anomali venivano effettuati non indiscriminatamente su tutti i lavoratori, ma solo a campione e in fasce orarie di chiusura della banca;
  • solo in presenza di irregolarità si è proceduto con controlli più approfonditi sull'utenza segnalata, risalendo anche al dipendente cui la medesima era assegnata; in tal modo, sono stati segnalati i tentativi di accesso effettuati con "il nome utente Li Causi" dal suo computer;
  • sono state svolte successive attività da parte del personale interno della banca (tre ispettori) in momenti di chiusura degli uffici, in prevalenza presso la postazione di lavoro del segnalante; ciò, in sua assenza e su incarico, nonché sotto la supervisione del responsabile della postazione Sicilia della funzione Audit (incardinata nella capogruppo Banca Popolare di Vicenza) il quale non ha partecipato direttamente all'ispezione;
  • tali attività hanno evidenziato che:
    • il computer assegnato al segnalante era stato manipolato installando un modem, un apparecchio per la raccolta di quantità notevoli di dati, un secondo hard disk, software estraneo alla configurazione standard di cui sono dotati tutti i computer assegnati ai lavoratori della banca salve autorizzazioni in deroga per circostanze eccezionali non esistenti nel caso di specie;
    • sulla scrivania dell'interessato erano situati vari documenti (incluse agende personali) oggetto di "veloce disamina" da parte dei tre ispettori e che sono risultati contenere codici identificativi di server o di postazioni di altri utenti della banca;
  • all'esito dell'attività ispettiva, il materiale informatico e cartaceo reperito sulla postazione del segnalante è stato imballato in tre scatoloni e sigillato; ne è stato fatto un elenco ed è stata redatta una relazione sugli accertamenti svolti e le relative risultanze.

 

3. Deduzioni ed osservazioni della banca

3.1. In riscontro alla richiesta di informazioni dell'Autorità (nota prot. n. 7106/28174 del 26 marzo 2004), la banca ha affermato che la condotta tenuta nel caso di specie e, segnatamente, l'attività di indagine effettuata sull'utilizzo privato del computer aziendale assegnato in uso al segnalante, era rivolta a far valere legittimamente i diritti della banca anche in sede giudiziaria (v. nota dell'avv. Fortuna per conto di Banca Nuova del 15 aprile 2004).

3.2. Ritenendo tali informazioni non esaustive, la banca è stata invitata (nota prot. n. 25782 n. del 9 luglio 2004) ad integrarle nell'audizione tenutasi il 26 luglio 2004 presso l'Autorità. In tale sede, l'avv. Fortuna, in qualità di legale della banca, ha dichiarato che l'estratto di conto corrente intestato al segnalante è stato prodotto in giudizio in quanto, "la corresponsione del T.F.R. esclude la configurabilità del periculum in mora, condizione questa per l'emanazione di un provvedimento in via d'urgenza a favore del lavoratore [...]" e che "[...] l'ordine di accredito senza la materiale prova dell'avvenuto accredito, di per se stesso non avrebbe potuto escludere la sussistenza del periculum in mora, motivo per cui i documenti sono stati prodotti congiuntamente" (verbale di audizione del 26 luglio 2004, p. 1).

Il legale ha poi affermato che nelle c.d. "banche private" non esiste "[...] un servizio ispettivo con personale esclusivamente addetto alla relativa incombenza, venendo tali funzioni, a seconda della natura del caso, delegate al personale dotato di maggiore competenza tecnica" (verbale cit., p. 2); si è comunque riservato di "[...] verificare l'esistenza di specifiche lettere di incarico ed altri eventuali documenti utili ai fini di comprovare le modalità operative in caso di ispezioni e, ove reperite, di produrle", ed ha infine dichiarato che "[...] la banca, nel corso dell'ispezione, [ha] usato ogni precauzione in materia di privacy sigillando il materiale del Li Causi". Le stesse produzioni documentali in giudizio dimostrerebbero, "[...] sempre sotto l'aspetto del rispetto della privacy, un comportamento perfettamente legittimo tenuto dalla banca nel corso dell'ispezione" (verbale cit., p. 2).

Nell'audizione, è stato da ultimo chiesto alla banca di fornire "[...] eventuali documenti e istruzioni circa le modalità e le misure adottate nel corso delle ispezioni per la custodia e la conservazione di atti, documenti e supporti" (verbale cit., p. 2).

3.3. A parziale scioglimento della predetta riserva, la banca ha inviato all'Autorità un atto della capogruppo Banca Popolare di Vicenza S.p.a. (v. allegato alla nota prot. n. 30966 del 24 settembre rubricato "Modalità di funzionamento della direzione audit, relativamente all'espletamento delle indagini" ).

Tale documento, nel dare conto dell'esistenza obbligatoria presso il Gruppo Bpv di una funzione di internal audit (anche in attuazione di istruzioni di vigilanza della Banca d'Italia), la cui l'attività è stata disciplinata da due "manuali" approvati dal Consiglio di amministrazione della capogruppo e verificati dalla Banca d'Italia nel corso di un'ispezione espletata nel 2001, afferma che:

  • "[...] gli accertamenti in loco non pianificati sono effettuati da un incaricato che è abilitato ad accedere alla struttura sottoposta a verifica mediante una lettera mandato, firmata dal Direttore generale [...]";
  • "[...] la scelta dell'incaricato è di competenza dei Responsabili delle Unità che compongono la Direzione Audit. L'incaricato può avvalersi, per l'espletamento del mandato, di altri addetti del Servizio o di esperti provenienti da altre strutture aziendali, previa approvazione del Direttore Generale [...]";
  • "[...] il rapporto d'indagine è inviato al Direttore Generale, nonché al Consigliere delegato e al Presidente del Collegio sindacale e, nel caso di vicende di non particolare rilievo, solo al Collegio sindacale [...]";
  • tutti i documenti inerenti all'indagine sono conservati, durante gli accertamenti "[...], a cura dell'incaricato che segue le prescrizioni di riservatezza"; "[...] l'internal auditor deve rispettare il valore e la proprietà delle informazioni che riceve ed è tenuto a non divulgarle senza autorizzazione, a meno che lo impongano motivi di ordine legale o etico. L'internal auditor deve esercitare la dovuta cautela nell'uso e nella protezione delle informazioni acquisite nel corso dell'incarico".

Il documento riferisce, poi, dell'esistenza di norme di autoregolamentazione di cui il Gruppo Bpv si è dotato; esse includerebbero un "codice etico" che "trae spunto dalle indicazioni del d.lg. n. 231/2001" e "intende fornire un insieme di norme comportamentali da rispettare nella quotidianità del lavoro". Lo stesso codice è reperibile nell'Intranet aziendale e sarebbe stato distribuito a tutti i dipendenti, con lettera di accompagnamento (v. allegato 18 al verbale operazioni del 31 maggio 2006).

 

4. Accertamenti "in loco"

4.1. L'Autorità ha infine disposto l'effettuazione di una verifica in loco presso la sede della banca. In tale circostanza, in relazione al profilo di cui al punto 1.2. lett. a), la banca ha ribadito la necessità di produrre in giudizio l'estratto del conto corrente del segnalante al fine di raggiungere la prova piena dell'insussistenza del periculum in mora, tenuto conto che "[...] nessun altro documento, attesa la non terzietà della banca [titolare del conto corrente nella] causa pendente, poteva essere prodotto al fine di provare l'avvenuto versamento dell'importo". La banca ha altresì dichiarato che: "la produzione della copia del cedolino paga contenente le specifiche rispetto agli emolumenti di fine rapporto versati, oltre a non poter costituire la prova dell'effettiva erogazione del TFR [...]", non poteva avvenire "[...] in tempi compatibili con la tutela cautelare azionata" ( verbale operazioni del 31 maggio 2006, p. 4).

4.2. In relazione alle misure di sicurezza adottate dalla banca per proteggere sia i dati dei lavoratori in generale, sia quelli del segnalante specificamente trattati nelle attività di audit, la banca ha prodotto:

  • copia delle "lettere di distacco/assegnazione alla Direzione Audit, postazione Sicilia-Trapani" di due dei tre dipendenti ai quali è stato commissionato l'audit (v. allegato n. 16 al verbale operazioni del 31 maggio 2006);
  • copia di una nota interna di assegnazione temporanea alla medesima Direzione del terzo dipendente (v. allegato n. 17 al verbale operazioni del 31 maggio 2006);
  • copia delle lettere firmate da tali lavoratori e dallo stesso segnalante "per presa visione" del "codice interno di autodisciplina nella prestazione dei servizi di investimento e dei servizi accessori", comprendente il "regolamento aziendale per il trattamento dei dati personali". Tale  documento, adottato dalla capogruppo in virtù del proprio ruolo di coordinamento e organizzazione in materia di risorse umane, è stato acquisito agli atti dell'accertamento in loco, in quanto costituisce "parte integrante" della lettera di designazione degli incaricati del trattamento (v. allegato 18 al verbale operazioni del 31 maggio 2006).

4.3. Riguardo all'informativa resa al segnalante circa il trattamento dei dati che lo riguardano, la banca ha dichiarato che lo stesso è divenuto dipendente di Banca Nuova S.p.a. a seguito del perfezionamento, nell'agosto del 2002, di un'operazione di fusione per incorporazione di Banca del Popolo (originario datore di lavoro del segnalante) in Banca Nuova, affermando che la prescritta informativa gli sarebbe stata resa dal precedente datore di lavoro (v. verbale operazioni del 31 maggio 2006, p. 5).

 

5. Liceità dei trattamenti effettuati dalla banca

5.1. Profili estranei al controllo del Garante. Il presente provvedimento riguarda unicamente i profili di competenza dell'Autorità in relazione al trattamento dei dati personali, con esclusione di ogni altro aspetto rappresentato dall'interessato, con particolare riguardo alla legittimità del licenziamento e di alcune attività correlate, tra cui l'apprensione di taluni effetti personali in occasione dell'audit interno, nonché di altri aspetti valutati in sede penale.

5.2. La produzione in giudizio dei documenti da parte della banca. Per quanto attiene al primo profilo di lamentela dell'interessato, indicato al punto 1.2. lett. a), dagli elementi in atti emerge che la banca, producendo in giudizio i menzionati documenti, ha inteso esclusivamente provare l'avvenuto versamento della somma spettante all'interessato a titolo di competenze di fine rapporto; ciò, al fine di dimostrare in sede cautelare, come poi è avvenuto, l'insussistenza del periculum in mora dedotto dal ricorrente. Non consta alcun utilizzo di tali dati diverso da quello della difesa in sede giudiziaria.

Tale trattamento risulta lecito anche se è stato effettuato senza il consenso dell'interessato, tenuto conto che i dati non risultano essere stati trattati per altre finalità e oltre il periodo necessario (art. 24, comma 1, lett. f) del Codice, art. 20, comma 1, lett. g) l. n. 675/1996; Provv25 maggio 2005, doc. web n. 1222371; Provv15 maggio 2002, doc. web n. 1064805; Provv.21 novembre 2001, doc. web n. 42106; Provv23 maggio 2001, doc. web n. 39821).

5.3. Apprensione del contenuto di documenti del segnalante in sede di audit. Anche in relazione al secondo profilo segnalato, indicato al punto 1.2. lett. b), gli elementi in atti non evidenziano violazioni della disciplina di protezione dei dati.

5.3.1. Il trattamento di dati personali effettuato in occasione della citata ispezione non risulta illecito (art. 11, comma 1, lett. a), del Codice). L'attività di controllo interno svolta dalla banca nel caso di specie –c.d."internal auditing"- traeva peraltro il suo fondamento nella regolamentazione delle modalità di funzionamento della direzione Audit adottata da Banca Popolare di Vicenza, in qualità di capogruppo (v. punto 2.3.).

L'attività di controllo interno nelle banche è altresì prevista, oltre che dalla legge (d.lg., 24 febbraio 1998, n. 58, recante il Testo unico delle disposizioni in materia di intermediazione finanziaria; l. 28 dicembre 2005, n. 262, recante Disposizioni per la tutela del risparmio; l. 5 luglio 1991, n. 197 e d.lg. 20 febbraio 2004, n. 56 in materia di contrasto al riciclaggio e al terrorismo internazionale sul piano finanziario), da un quadro regolamentare che fa capo a istruzioni della Banca d'Italia (in particolare, le Istruzioni di vigilanza in materia di "Organizzazione e controlli interni").

Queste ultime richiedono alle banche di dotarsi di sistemi di monitoraggio dei rischi aziendali e di verifica dell'affidabilità e della sicurezza, anche dei sistemi informativi, istituendo indicatori di anomalie (c.d. alert) per orientare successivi interventi di audit. Ciò è avvenuto, nel caso di specie, mediante la costituzione di una direzione Audit di gruppo che operava, per quanto riguarda la banca, mediante la "postazione Sicilia-Trapani".

Rilevano, al riguardo, anche le norme di autoregolamentazione di cui il Gruppo Bpv si è dotato, con particolare riguardo al "codice interno di autodisciplina nella prestazione dei servizi di investimento e dei servizi accessori" emanato ai sensi dell'art. 58, comma 1, del regolamento Consob 1° luglio 1998, n. 11522. Detto codice prevede che gli intermediari si dotino "di una funzione di controllo interno che opera secondo adeguati standard professionali" (v. p. 9, punto 2.4 del codice in allegato 18 al verbale operazioni del 31 maggio 2006). Copia di tale documento, reperibile nell'Intranet aziendale e consegnato in formato cartaceo ai lavoratori, inclusi i tre ispettori e il segnalante, i quali hanno sottoscritto apposita comunicazione (allegato 18 al verbale operazioni del 31 maggio 2006), obbliga "tutti i dipendenti/collaboratori e i promotori finanziari [...] a leggere le disposizioni contenute nel codice" (p. 3 del codice in allegato 18 al verbale operazioni del 31 maggio 2006).

5.3.2. Dagli elementi acquisiti non risulta che la banca abbia violato l'obbligo di dotarsi di misure di sicurezza dei dati, in particolare di quelle minime (artt. 31 e ss. del Codice, All. B) al Codice).

In particolare, ciò emerge dall'esame di copia del documento programmatico sulla sicurezza (c.d. d.p.s.) aggiornato dalla banca al 31 marzo 2006 (v. allegato 19 al verbale operazioni del 31 maggio 2006), unitamente alla prova dell'adozione del d.p.s. nel 2003 (acquisita dall'Autorità in occasione dell'esame effettuato d'ufficio mediante consultazione dell'archivio delle Camere di commercio della relazione accompagnatoria del bilancio di esercizio della banca per detto anno).

Va poi rilevato che i tre dipendenti che hanno partecipato alle attività di audit sono stati designati quali incaricati del trattamento (art. 4, comma 1, lett. h) e 30 del Codice) dei dati personali relativi alle mansioni rivestite nel rapporto di lavoro e hanno ricevuto istruzioni scritte cui attenersi (v. il punto 4.2.).

Sotto quest'ultimo profilo, il Garante ravvisa tuttavia (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c)), l'opportunità che tali istruzioni siano aggiornate tenendo conto della maggiore complessità della disciplina in materia di misure di sicurezza contenuta nel Codice entrato in vigore dopo i fatti. Ciò, considerato che il "regolamento aziendale per il trattamento dei dati personali" non risulta oggetto di una recente verifica, dopo essere stato redatto a norma del d.P.R. n. 318/1999 e della legge n. 675/1996 (vigenti, appunto, all'epoca dei fatti) e pur essendo stato rivisitato nel settembre del 2002.

 

5.4. Informativa resa all'interessato

Infine, con riguardo all'informativa sul trattamento dei dati resa all'interessato in qualità di dipendente, non si ravvisano, allo stato degli atti, profili di violazione del Codice, preso atto (anche ai sensi dell'art. 168 del Codice) di quanto la banca ha dichiarato in sede ispettiva circa il fatto che il segnalante ha ricevuto tale informativa da Banca del Popolo (divenuta Banca Nuova per effetto di un'operazione di fusione per incorporazione perfezionatasi nell'agosto del 2002) e documentato, dalla medesima banca, con comunicazione al Garante dell'8 giugno 2006 mediante trasmissione di copia del modulo con il quale l'interessato, riferendosi all'informativa fornita, ha prestato il consenso al trattamento dei dati (sia personali nei casi diversi da quelli di cui all'art. 12 dell'allora vigente l. n. 675/1996, sia sensibili) per le finalità connesse alle obbligazioni derivanti dal rapporto di lavoro con Banca del Popolo.


In conclusione, risultando infondata la segnalazione per le ragioni sopra illustrate, il Garante ravvisa comunque l'opportunità di prescrivere la misura sopra indicata al punto 4.3.2.

TUTTO CIÒ PREMESSO, IL GARANTE

prescrive a Banca Nuova S.p.a., in qualità di titolare del trattamento dei dati dei propri dipendenti, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, la misura opportuna dell'aggiornamento delle istruzioni scritte rese ai lavoratori designati quali incaricati del trattamento, tenendo conto delle prescrizioni contenute nel Codice (punto 4.3.2.).

Roma, 25 gennaio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli