g-docweb-display Portlet

Banche: configurazione dei sistemi di allerta rientranti nelle misure previste per il contrasto finanziario al terrorismo - 7 febbraio 2008 [1523046]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1523046]

Banche: configurazione dei sistemi di allerta rientranti nelle misure previste per il contrasto finanziario al terrorismo - 7 febbraio 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTA la segnalazione presentata da Sergio Marini nei confronti di Banca Carige S.p.A. relativamente al trattamento di dati personali effettuato dalla banca nell´ambito delle misure previste per il contrasto finanziario al terrorismo;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO

1.1. Con nota pervenuta il 16 aprile 2007, Sergio Marini ha rappresentato che, dopo essere stato identificato in occasione di una negoziazione di un assegno bancario presso uno sportello di Banca Carige S.p.A. (di seguito, la banca), tale operazione non poteva essere portata a termine; ciò, secondo quanto gli veniva riferito dall´addetto allo sportello (e confermato immediatamente dopo dal direttore), poiché il suo nome e cognome risultavano inseriti "nell´elenco dei latitanti terroristi".

Il segnalante ha inoltre rappresentato che, un mese prima, un proprio cliente correntista della banca non era riuscito a effettuare un bonifico a suo favore; detto cliente –che, a dire del segnalante, dopo questo episodio ha interrotto le relazioni contrattuali da tempo in essere (cfr. comunicazione dell´8 luglio 2007)– avrebbe riferito alla moglie del medesimo segnalante l´impossibilità di provvedere al bonifico poiché, secondo quanto riferito dalla banca, il nominativo del segnalante figurava appunto nel menzionato elenco.

Alla luce di tali circostanze il segnalante, lamentando la comunicazione a terzi di tali informazioni, peraltro non rispondenti al vero, ha chiesto l´intervento del Garante per far sì che "la banca Carige provveda nel più breve tempo possibile a eliminare l´inconveniente affinché possa nel futuro operare con la suddetta banca"; ciò, reclamando anche il risarcimento dei danni (comunicazione del 16 aprile 2007).

1.2. Nella risposta del 6 giugno 2007 alla richiesta di informazioni inoltrata da questa Autorità la banca, descritto il quadro normativo in materia che prevede, tra l´altro, obblighi di "congelamento" e il divieto di mettere (direttamente o indirettamente) risorse finanziarie a disposizione di soggetti menzionati nelle liste di sospetti terroristi, ha precisato (con dichiarazioni rese ai sensi e per gli effetti di cui all´art. 168 del Codice) che, "poiché non sempre i dati anagrafici dei presunti terroristi che vengono comunicati agli intermediari sono […] analitici […] e debbono essere recepiti dalla banca anche gli alias", "il sistema della banca in un primo momento "blocca" immediatamente l´operazione che dovesse essere impartita da un presunto terrorista (o che allo stesso pervenisse), individuato in questa prima fase sulla base dei soli nome e cognome ovvero dell´alias. In una seconda fase, gestita manualmente dall´operatore, quest´ultimo controlla se vi sia o meno corrispondenza tra il nominativo di colui che ha disposto l´operazione o del beneficiario della stessa ed il nominativo del presunto talibano così come individuato dal sistema procedurale; qualora tale corrispondenza non venga individuata, sulla base delle generalità complete dei due soggetti che vengono messi a raffronto, l´operatore […] deve contattare telefonicamente l´ufficio centrale della banca, appositamente individuato dalla normativa interna […], affinché il sistema venga sbloccato e l´operazione resa in tal modo possibile".

Quanto alla lamentata comunicazione a terzi della circostanza che il Marini sarebbe stato un terrorista, la banca ha dichiarato che il personale addetto alla filiale interessata avrebbe in realtà comunicato che un omonimo del segnalante, e non il segnalante medesimo, compariva nel predetto elenco.

2.1. Alla luce di quanto sopra evidenziato deve rilevarsi, in termini generali, la liceità del trattamento di dati personali effettuato in base alle disposizioni normative vigenti, al fine di dare attuazione a misure di contrasto del terrorismo (art. 11, comma 1, lett. a) del Codice; cfr. anche Provv. 25 ottobre 2007, in G.U. 23 novembre 2007, n. 273, recante "Linee guida per trattamenti dati relativi al rapporto banca-clientela", consultabile anche sul sito www.garanteprivacy.it, doc. web n. 1457247, punto 3.3.). Tali misure sono specificate nel provvedimento del 9 novembre 2001 dell´Ufficio italiano dei cambi (Uic, Istruzioni in materia di contrasto finanziario al terrorismo, pubblicato sulla G.U. 15 novembre 2001, n. 266; v. anche, in particolare, l´art. 10 d.lg. 22 giugno 2007, n. 109, recante Misure per prevenire, contrastare e reprimere il finanziamento del terrorismo e l´attività dei Paesi che minacciano la pace e la sicurezza internazionale, in attuazione della direttiva 2005/60/Ce, in G.U. 26 luglio 2007, n. 172, disciplina che, tra l´altro, ha abrogato le previgenti disposizioni, applicabili nel caso di specie, contenute nel d.l. 12 ottobre 2001, n. 369, "Misure urgenti per reprimere e contrastare il finanziamento del terrorismo internazionale").

2.2. Tuttavia, con riguardo alla fattispecie in esame, deve rilevarsi che, pur in presenza della menzionata disciplina, applicabile ai soggetti compresi nelle liste formate e aggiornate periodicamente anche a cura dell´Uic, la banca non ha dato alla medesima corretta applicazione alla luce della disciplina di protezione dei dati personali. Infatti, la procedura interna adottata dalla banca (descritta al punto 1.2.) per verificare la ricorrenza tra i propri clienti di nominativi oggetto di segnalazione, deve ispirarsi ai princìpi di qualità dei dati in base ai quali devono essere trattati tutti i dati pertinenti a disposizione (art. 11, comma 1, lett. d) del Codice), con correttezza (art. 11, comma 1, lett. a), del Codice), prevenendo disagi alla clientela (quali quelli verificatisi nel caso di specie e non oggetto di contestazione da parte della banca).
Nel caso di specie la banca non ha infatti utilizzato tutte le informazioni pertinenti, complete e non eccedenti in concreto disponibili nel conseguimento della legittima finalità perseguita (art. 11, comma 1, lett. d), del Codice). Tali informazioni, in concreto disponibili in quanto contenute nella lista utilizzata dalla banca e trasmessa a questa Autorità (allegata alla comunicazione del 6 giugno 2007), non si limitavano infatti al solo nome e cognome del sospetto terrorista, ma includevano dati ulteriori: in particolare, data e luogo di nascita e codice fiscale.

Il trattamento di tutte le informazioni ritraibili dalle liste e in concreto disponibili avrebbe dovuto consentire una più tempestiva ed esatta identificazione del Marini in occasione della negoziazione dell´assegno (e, più in generale, in corrispondenza delle transazioni riferite al medesimo), permettendo di escludere con maggiore rapidità che si trattasse di una diversa persona fisica segnalata nella lista (risultando di immediata evidenza il caso di mera omonimia, data la diversità di data, luogo di nascita, nonché di codice fiscale rispetto al soggetto segnalato).

2.3. In relazione al caso in esame, il sistema informativo della banca, potendo disporre di diverse informazioni riferite all´omonimo soggetto indicato nelle liste dei sospetti terroristi da confrontare con quelle della clientela, avrebbe dovuto consentire la regolare esecuzione dell´operazione richiesta dal segnalante, prevenendone il blocco (e le conseguenti necessarie attività per ripristinare l´ordinario funzionamento del sistema). La banca avrebbe dovuto tenere conto di tutti i dati personali contenuti nell´elenco predisposto dall´Uic, elaborandoli nel proprio sistema informativo in modo da prevenire il blocco di operazioni della clientela vittima di casi di omonimia.

La procedura adottata, frutto di scelte tecnico-organizzative operate dalla banca, ha richiesto invece un intervento diretto dapprima dell´operatore e, quindi, degli uffici centrali della banca chiamati a "sbloccare" la posizione del segnalante; attività che ben si sarebbero potute evitare con opportune implementazioni nei sistemi informativi della banca essendo disponibili, come detto, tutte le informazioni personali necessarie a escludere la ricorrenza di omonimie (e i conseguenti disservizi per la clientela).

2.4. L´intento di prevenire la segnalazione di "falsi positivi" e la ricerca di un contemperamento tra le esigenze di sicurezza e di efficace contrasto al terrorismo e il rispetto dei diritti degli interessati, si evince chiaramente dal quadro normativo che presiede questa delicata materia definendo le condizioni di liceità del trattamento (art. 11, comma 1, lett. a) del Codice; art. 2, comma 3, lett. b), del Regolamento interno del Comitato di sicurezza finanziaria, 14 febbraio 2002, Disposizioni in materia di formazione di liste di soggetti da sottoporre alle misure di congelamento disposte dall´unione europea per contrastare il terrorismo e di rilascio di autorizzazioni in deroga ai vincoli del congelamento; non diversamente, v. pure la Posizione comune del Consiglio del 27 dicembre 2001 relativa all´applicazione di misure specifiche per la lotta al terrorismo, in GUCE, L344/93 del 28 dicembre 2001).

Non a caso, accorgimenti e cautele nell´identificazione della clientela sono stati altresì previsti dall´Uic che, ponendo in capo alle banche obblighi di segnalazione in relazione ai soggetti indicati nelle liste anche in virtù della "semplice ricorrenza dei dati anagrafici indicati nelle liste diffuse" –tenendo però conto di "informazioni che permettano di escludere la corrispondenza con i soggetti indicati nelle liste" (Provv. Uic, 9 novembre 2001, cit.)– ha precisato che nella fase di identificazione, che necessariamente precede gli obblighi di congelamento e segnalazione, "gli intermediari devono tenere conto di tutti gli elementi contenuti nelle liste e verificarne la ricorrenza sulla base delle informazioni disponibili e della conoscenza della clientela" e che, "in particolare, la coincidenza può escludersi qualora uno o più dei dati identificativi disponibili siano del tutto diversi da quelli indicati nelle liste. Tra i dati identificativi sono comprese le cariche, le qualifiche e ogni altro dato riferito nelle liste ai soggetti venuti in rilievo. A quest´ultimo riguardo, la coincidenza non sussiste qualora l´intermediario, sulla base di informazioni certe e secondo valutazioni di ragionevolezza, possa escludere che tali cariche e qualifiche siano attribuibili al cliente in quanto incompatibili con il tenore di vita ed ogni sua altra caratteristica oggettiva e soggettiva" (cfr. parere Uic, 16 gennaio 2002).

Va in conclusione prescritto alla banca di adottare le conseguenti misure per prevenire altri inconvenienti del genere segnalato, nei modi di cui al seguente dispositivo e nel congruo termine ivi indicato. Ciò, ferma restando la facoltà dell´interessato di far valere dinanzi alla competente autorità giudiziaria i propri diritti in relazione ai danni che si ritengono subiti.

TUTTO CIÒ PREMESSO, IL GARANTE

prescrive a Banca Carige S.p.A., ai sensi del medesimo art. 154, comma 1, lett. c), del Codice, di adottare tutte le misure tecnico-organizzative necessarie al fine di assicurare che il trattamento da essa posto in essere –e che è risultato lesivo dei diritti dell´interessato- volto a verificare la corrispondenza dei dati dei propri clienti con i nominativi contenuti nelle liste contenenti i nominativi dei soggetti coinvolti in indagini relative a episodi di terrorismo internazionale avvenga nel rispetto dei princìpi di qualità dei dati e correttezza del trattamento (art. 11 del Codice), adattando i propri sistemi operativi in modo da trattare nella stessa unità di tempo tutte le informazioni pertinenti e non eccedenti, in concreto disponibili, nel conseguimento della legittima finalità perseguita (punto 2.2); ciò, dando riscontro a questa Autorità su tale adempimento entro e non oltre il 10 maggio 2008.

Roma, 7 febbraio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli