Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti all'interno dei gruppi bancari e 'tracciabilità' delle operazioni bancarie; proroga del termine per completare l'attuazione delle misure originariamente prescritte - 18 luglio 2013 [2573636]

(Pubblicato sulla Gazzetta Ufficiale n. 185 dell'8 agosto 2013)

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2573636
Data:
18/07/13
Argomenti:
Circolazione dati bancari infragruppo , Banche credito e finanza
Tipologia:
Prescrizioni del Garante

[doc. web n. 2573636]

VEDI ANCHE Proroga del termine per l'adempimento delle prescrizioni di cui al Provvedimento n. 192 del 12 maggio 2011 in materia di circolazione delle informazioni bancarie - 22 maggio 2014


Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti all'interno dei gruppi bancari e 'tracciabilità' delle operazioni bancarie; proroga del termine per completare l'attuazione delle misure originariamente prescritte - 18 luglio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 185 dell'8 agosto 2013)

Registro dei provvedimenti
n. 357 del 18 luglio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice") e, in particolare, l'art. 154, comma 1, lett. c) e h);

VISTO il provvedimento n. 192 adottato dal Garante in data 12 maggio 2011, recante "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie" (pubblicato sulla Gazzetta Ufficiale n. 127 del 3 giugno 2011 e sul sito www.garanteprivacy.it, doc. web n. 1813953; di seguito, provvedimento n. 192/2011);

VISTE le richieste di chiarimento formulate dall'Associazione bancaria italiana (di seguito, ABI) in ordine ad alcuni aspetti regolati dal suddetto provvedimento;

VISTE le note dell'11 dicembre 2012 e 29 aprile 2013, con le quali ABI ha chiesto a questa Autorità un differimento del termine per l'implementazione delle misure prescritte con il provvedimento n. 192/2011;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

Con il provvedimento n. 192/2011, l'Autorità, nel prescrivere ai titolari del trattamento di adottare misure necessarie per tracciare le operazioni bancarie effettuate dagli "incaricati del trattamento" sui dati bancari dei clienti (anche occasionali), ha rimesso agli stessi "titolari" la discrezionalità nell'individuare le soluzioni organizzative più idonee per la relativa implementazione.

Ciononostante, essendo stati sollevati dagli operatori di settore, attraverso ABI, dei dubbi interpretativi riguardo ad alcuni aspetti regolati dal suddetto provvedimento, questa Autorità intende rendere alcuni chiarimenti al riguardo.

1.1. Ambito oggettivo di applicazione del provvedimento.

Come noto, il tracciamento riguarda le operazioni bancarie −sia di tipo dispositivo, sia di semplice visualizzazione− effettuate utilizzando informazioni concernenti la situazione economica e patrimoniale del cliente.

Quindi, nell'ambito di applicazione del provvedimento, rientrano, in primo luogo, le operazioni di trattamento connesse allo svolgimento dell'attività bancaria in senso stretto, e cioè "la raccolta di risparmio tra il pubblico e l'esercizio del credito" (art. 10, comma 1 del d.lg. 385/1993- Testo Unico Bancario).

Per quanto concerne, poi, le attività genericamente indicate dall'art. 10, comma 3 del T.U.B. –che consente alle banche di svolgere anche "ogni altra attività finanziaria"-, possono sorgere incertezze riguardo a quali operazioni siano effettivamente riconducibili a detta attività, non solo in ragione dell'ampiezza di tale definizione, ma anche del continuo sviluppo del mondo bancario che, attualmente, sia per scelta imprenditoriale, sia per le nuove richieste provenienti dalla clientela, offre nuove tipologie di servizi e di prodotti.

In proposito, va rilevato che per "altre" attività finanziarie debbono intendersi essenzialmente le "attività ammesse al mutuo riconoscimento" (e cioè quelle che possono essere svolte dalle banche comunitarie in tutti gli Stati membri dell'Unione europea sulla base dell'autorizzazione dell'Autorità di vigilanza del Paese d'origine), indicate all'art. 1, comma 2, lett. f) del TUB (con cui è stata data attuazione alla direttiva comunitaria 89/646/CEE del Consiglio del 15 dicembre 1989), a cui le Istruzioni di vigilanza della Banca d'Italia fanno riferimento ai fini dell'individuazione della "attività finanziaria". Quindi si deve ritenere che siano soggette all'applicazione del provvedimento n. 192/2011 anche le operazioni di trattamento connesse allo svolgimento di detta attività.

Tuttavia, poiché nell'ambito dell'elenco delle attività indicate dal citato art. 1, comma 2, lett. f) del TUB rientrano anche attività che esulano dalla logica di applicazione del provvedimento n. 192/2011 (ad es. locazione di cassette di sicurezza, servizi di informazione commerciale, ecc.), spetta ai titolari del trattamento effettuare un'ulteriore valutazione per riservare il tracciamento a quelle sole operazioni che effettivamente comportino l'accesso dei loro incaricati ad informazioni riferibili alla situazione economica e patrimoniale dei singoli clienti.

Inoltre, con più specifico riferimento al concetto di "dato bancario", utili indicazioni possono essere rinvenute in alcune pronunce adottate dal Garante (v. tra gli altri, la deliberazione 25 ottobre 2007 "Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario", doc. web n. 1457247; provv. 17 luglio 2008 in tema di "accesso ai dati personali del de cuius", doc. web n. 1541439), ove sono indicati come "dati bancari", tra gli altri, quelli contenuti negli estratti conto, quelli afferenti alle movimentazioni bancarie, le informazioni relative alle operazioni attive e passive effettuate sul conto corrente del cliente, nonché le operazioni richieste dal cliente nell'ambito di prestazioni ed attività connesse ai rapporti contrattuali.

1.2. Ambito soggettivo di applicazione del provvedimento.

Il provvedimento trova applicazione nei confronti delle banche, incluse quelle facenti parte di gruppi, e delle società che appartengono agli stessi gruppi, anche se diverse dalle banche, qualora i relativi "incaricati", per il tipo di attività loro richiesta, accedano ad informazioni in grado di rivelare lo stato patrimoniale e contabile del cliente. Pertanto, si chiarisce che laddove nel provvedimento n. 192/2011 viene utilizzato il termine "dipendenti", lo stesso dev'essere interpretato alla stregua di "incaricati del trattamento" (art. 4, comma 1, lett. h) del Codice).

Le misure in questione, inoltre, debbono essere osservate pure dalle società che operano in outsourcing –anche quando non appartengono al gruppo bancario- allorché l'attività esternalizzata sia connessa all'esecuzione di rapporti contrattuali (intercorrenti tra banca e cliente) e richieda l'utilizzo di funzioni applicative a supporto dell'operatività bancaria.

In questa ottica, invece, debbono ritenersi esclusi dall'ambito di applicazione del provvedimento i soggetti che, come le c.d. banche depositarie, hanno il compito di custodire gli strumenti finanziari e le disponibilità liquide di un fondo comune di investimento (società di gestione del risparmio-SGR): in tal caso, infatti, è la stessa SGR ad essere cliente della banca depositaria, la quale, non effettuando un trattamento dei dati bancari del singolo cliente, non ha la possibilità di conoscere lo stato economico e patrimoniale del medesimo.

Analogamente, non sono soggette a tracciamento le attività effettuate dalle società di assicurazione -ancorché facenti parte del gruppo bancario- purché le operazioni di trattamento poste in essere dai relativi incaricati non comportino l'accesso ai dati bancari dei clienti.

2. Rapporti tra il provvedimento n. 192/2011 e il provvedimento sugli "amministratori di sistema".

In riferimento al rapporto intercorrente tra il provvedimento n. 192/2011 e quello relativo a "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", adottato dal Garante in data 27 novembre 2008, si chiarisce che quest'ultimo non ha introdotto obblighi di tracciamento delle operazioni compiute da coloro che rivestono tale funzione, essendosi limitato a prescrivere la tenuta dei log  di accesso ai sistemi (ovvero i log del sistema di autenticazione informatica) garantendo requisiti di integrità e conservazione, lasciati -al di là di indicazioni minime- alla valutazione dei singoli titolari. Pertanto, non è obiettivo del provvedimento n. 192/2011, rivolto alle banche, realizzare forme di controllo più dettagliato sull'operato degli amministratori di sistema nel settore bancario, in quanto gli obblighi di tracciamento devono essere riferiti ai soli addetti a funzioni applicative dei sistemi informativi.

3. Accesso massivo ai dati della clientela.

In caso di accesso massivo ai dati della clientela, si chiarisce che il trattamento deve riguardare i dati relativi all'incaricato che ha effettuato la query, la data, l'ora e il dettaglio della relativa richiesta; inoltre, dal dettaglio di quest'ultima deve risultare possibile verificare se la posizione di un cliente sia stata oggetto di attenzione nell'ambito di una query che abbia prodotto risultati riferibili a più soggetti o a più rapporti.

4. Richiesta di proroga.

Il provvedimento n. 192/2011, anche in adesione alle richieste avanzate dagli operatori di settore, ha fissato per l'adeguamento alle misure prescritte il termine di 30 mesi dalla data di pubblicazione dello stesso sulla Gazzetta Ufficiale, avvenuta il 3 giugno 2011 (G.U. n. 127 del 3 giugno 2011).

Successivamente, con note dell'11 dicembre 2012 e 29 aprile 2013, ABI ha chiesto a questa Autorità di "valutare l'opportunità di prorogare il termine per l'adeguamento alle misure "necessarie" dettate dal provvedimento, fissandolo al 3 dicembre 2014".

A sostegno di tale richiesta, è stato rappresentato che l'attuazione di tali misure si sarebbe rivelata più complessa del previsto, anche in ragione delle incertezze interpretative che avrebbero impedito di pervenire ad una "corretta e sostenibile implementazione" del provvedimento n. 192/2011.

Al riguardo, nel prendere atto delle riferite circostanze e, segnatamente, delle rappresentate, obiettive difficoltà degli operatori ad ultimare l'implementazione delle complesse misure imposte, si ritiene di poter accogliere la richiesta di proroga avanzata da ABI, differendo al 3 giugno 2014 il termine precedentemente fissato al 3 dicembre 2013. L'entità di tale differimento, del resto, non pregiudica il raggiungimento in tempi brevi della piena tutela dei diritti degli interessati e, al contempo, la realizzazione del livello di sicurezza delle informazioni bancarie che l'implementazione del sistema è volta a garantire.

CIO' PREMESSO, IL GARANTE

− ai sensi dell'art. 154, comma 1, lett. h) del Codice, stabilisce che nell'implementazione delle misure indicate nel provvedimento del 12 maggio 2011, i titolari del trattamento tengano conto delle indicazioni fornite con il presente provvedimento (punti 1.1; 1.2; 2; 3);

− ai sensi dell'art. 154, comma 1, lett. c) del Codice, a parziale modifica del provvedimento n. 192/2011, dispone di prorogare al 3 giugno 2014 il termine precedentemente fissato per completare l'attuazione delle prescrizioni indicate al punto 1. del provvedimento stesso (punto 4).

Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 18 luglio 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia