g-docweb-display Portlet

Newsletter 3 maggio 2007

Stampa Stampa Stampa

N. 289 del 3 maggio2007

• Banche: accesso ai dati e dipendenti infedeli
• Telecamere in piscina 
• Banche e comunicazioni di dati personali a terzi

Banche: accesso ai dati e dipendenti infedeli
Il Garante richiama un istituto di credito a maggiori controlli contro accessi non autorizzati alla Centrale rischi della Banca d´Italia

È vietato l´accesso ai dati personali dei clienti conservati nella Centrale rischi della Banca d´Italia se non giustificato da legittime esigenze. Il principio è stato ribadito dal Garante che ha dichiarato illecito il comportamento di un  dirigente di banca che, per scopi personali, aveva fatto controllare la posizione debitoria del cognato. L´Autorità, con un provvedimento di cui è stato relatore Mauro Paissan, ha prescritto all´istituto di credito di adottare misure di sicurezza mirate a contenere i rischi di accesso non autorizzato e di effettuare controlli più tempestivi ed efficaci sulla correlazione tra l´accesso ai sistemi di informazione creditizia e l´esigenza di trattare una pratica che giustifichi, nel rispetto della legge, le interrogazioni alla banca dati.

La decisione del Garante è stata presa a seguito di una segnalazione presentata da un ex cliente di una banca con la quale aveva cessato qualsiasi rapporto contrattuale dal 2001. Il cliente, messo a conoscenza che dopo tale data erano stati effettuati da parte dell´istituto di credito accessi alla Centrale rischi della Banca d´Italia relativi alla sua persona e al proprio coniuge, aveva chiesto spiegazioni. L´ente creditizio non aveva fornito idoneo riscontro alla richiesta del cliente, il quale si è quindi rivolto al Garante per vedere tutelati i suoi diritti.

In seguito agli accertamenti disposti dall´Autorità, la banca ha dovuto invece dichiarare che le richieste alla Centrale rischi della Banca d´Italia erano state effettuate indebitamente per ragioni di natura personale da parte di un dirigente dell´istituto di credito, cognato del cliente, che aveva incaricato alcuni collaboratori, pur apparentemente estranei alle finalità private da lui perseguite e non consapevoli dell´illiceità della richiesta, di effettuare le interrogazioni alla Centrale rischi.

Il Garante ha pertanto dichiarato illecito il trattamento dei dati effettuato a danno del cliente. Inoltre, diversamente da quanto dichiarato all´Autorità, la banca non aveva fornito al cliente, a fronte dei chiarimenti da lui richiesti, le vere ragioni dell´accesso illecito e ha pertanto violato il suo diritto ad essere preventivamente informato di ogni trattamento dati che possa interessarlo.

L´Autorità ha infine disposto la trasmissione degli atti alla magistratura per le valutazioni di competenza riguardo agli illeciti penali eventualmente configurabili.

 

Telecamere in piscina
Vietato riprendere le persone negli spogliatoi

È vietato utilizzare sistemi di videosorveglianza che riprendano persone negli spogliatoi. Lo ha ribadito il Garante, con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti, adottato a seguito di una segnalazione da parte dei Carabinieri relativa ad alcune telecamere installate in una piscina che riprendevano indebitamente clienti e ospiti. I Carabinieri erano intervenuti a seguito della denuncia di un furto avvenuto all´interno degli spogliatoi ed avevano acquisito la videocassetta delle riprese effettuate dal sistema di videosorveglianza. Il sistema si avvaleva di due coppie di telecamere installate negli spogliatoi maschili e femminili della piscina, entrambe visibili. Dalle riprese emergeva che le telecamere, oltre a controllare la zona adibita a guardaroba, riprendevano direttamente le persone anche mentre si cambiavano. Nei pressi dei locali, alcuni cartelli riportavano soltanto una scarna informativa sull´uso di un sistema di videosorveglianza.

L´Autorità ha stabilito che il trattamento dei dati personali violava la riservatezza e la dignità delle persone in quanto, pur essendo lecito l´utilizzo della videosorveglianza per tutelarsi da eventuali danni o furti, non erano stati adottati accorgimenti tecnici volti ad evitare riprese di persone negli spogliatoi.

Il Garante ha quindi disposto il divieto di installare telecamere con queste modalità e ha bloccato il trattamento dei dati già raccolti ed eventualmente conservati. Ha poi prescritto alla società il rispetto delle regole in materia di videosorveglianza, disposte dal Garante con il provvedimento generale del 29 aprile 2004 qualora avesse comunque necessità di dotarsi di sistemi di videosorveglianza a tutela del patrimonio. La società avrà in particolare l´obbligo di adottare tutte le misure e gli accorgimenti necessari ad evitare la ripresa delle persone nei locali adibiti a spogliatoi e di assicurare una adeguata e dettagliata informativa ai clienti sulla presenza di telecamere.

 

Banche e comunicazioni di dati personali a terzi
Senza il consenso del cliente la banca non può inviare documentazione a persone estranee

Senza il consenso del cliente la banca non può inviare documentazione o estratti conto a persone estranee. Il principio è stato ribadito dall´Autorità Garante, in un provvedimento di cui è stato relatore Giuseppe Fortunato, che ha richiamato una banca al rispetto delle norme che disciplinano la comunicazione di dati personali a terzi. Queste regole prevedono che i dati vengano comunicati solo dopo aver acquisito il consenso della clientela, una volta che questa sia stata adeguatamente informata, oppure, senza consenso, nelle sole ipotesi stabilite dal Codice della privacy: ad esempio, per adempiere ad un obbligo previsto dalla legge o per dare esecuzione ad un contratto.

Il comportamento illecito è stato rilevato dal Garante a seguito del reclamo di un correntista che lamentava la comunicazione al fax dello studio del figlio di informazioni sulla sua situazione bancaria. In particolare la banca non è stata in grado di provare che la comunicazione fosse avvenuta con il consenso del cliente o che rientrasse comunque in una delle ipotesi previste dal Codice. A riprova di ciò, solo in un tempo successivo alla contestata comunicazione è intervenuta una espressa autorizzazione del padre che consentiva al figlio di visionare e fotocopiare documenti depositati presso la banca.

Già in precedenti occasioni il Garante ha affermato che la banca deve verificare che le comunicazioni di dati personali avvengano senza violare obblighi derivanti dalla legge o da un rapporto contrattuale così come stabilito anche dalle regole di comportamento contenute nel codice di autodisciplina elaborato dall´Abi, le quali prevedono che le banche debbano mantenere la riservatezza sulle informazioni acquisite dalla clientela o di cui comunque vengono a conoscenza per la loro funzione. Nel caso esaminato dal Garante non risulta, invece, che la banca abbia svolto la predetta verifica né abbia rispettato il codice di autodisciplina, comunicando senza autorizzazione dati ad un estraneo in violazione del principio di liceità e correttezza sancito dal Codice della privacy.

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo. Ha collaborato Antonio Caselli.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.752 - Fax: 06.69677.755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it