PRIVACY - Garante, "Se il coniuge chiede la separazione allegando un estratto conto acquisito illecitamente dalla banca".
Una signora ha chiesto la separazione dal marito, il quale era intestatario di un rapporto di conto corrente bancario e di deposito titoli, avanzando domande di natura patrimoniale (per il mantenimento dei figli) adducendo che la capacità patrimoniale del marito era comprovata anche dall'estratto conto bancario relativo al suddetto rapporto del correntista. Il marito ha appreso dell'e./c. dal ricorso notificatogli dalla moglie, che la moglie mai aveva ricevuto alcuna delega ad operare sul di lui conto corrente. A fronte del reclamo presentato dall'uomo, il garante per la protezione dei dati personali ha avviato un'indagine. Della consultazione dei "file di log", che avevano registrato l'operazione di consultazione di quel conto in un dato momento, l'accesso a quel conto corrente risaliva a epoca incompatibile con la presenza del titolare del conto in filiale: per le regole che presiedono al cd. "tracciamento degli accessi ai sistemi", i log di tracciamento delle operazioni di inquiry vanno conservati per almeno 24 mesi dalla data di registrazione dell'operazione.
La moglie del reclamante, dunque, avrebbe acquisito o comunque ricevuto da qualcuno quel documento, ma anche il dipendente della banca avrebbe effettuato un trattamento illecito (artt. 4, comma 1, lett. h), 30, 167 e 169 del Codice). La banca, peraltro, non avrebbe assicurato che fosse data attuazione all'obbligo d'identificare la clientela nel compimento delle varie operazioni bancarie, come invece è prescritto al 2.2 delle Linee guida, dovendo i file di log comunque tracciare, almeno le seguenti informazioni: 1) codice identificativo del dipendente incaricato accede al sistema; 2) data e ora; 3) codice della postazione di lavoro utilizzata dal dipendente; 4) codice del cliente interessato dall'operazione di accesso ai dati bancari da parte dell'incaricato; 5) tipologia di rapporto contrattuale che lega il cliente alla banca e a cui si riferisce l'operazione effettuata (ad es. il numero del c./c., del fido/mutuo, del deposito titoli, etc.). Conseguentemente, il Garante ha dichiarato illecito il trattamento dei dati personali del reclamante effettuato dalla banca per mezzo del suo dipendente quanto all'avvenuta consegna a terzo non autorizzato (il coniuge non legittimato) dei dati personali bancari del titolare del conto. E ciò fatti salvi sia gli eventuali profili penali della fattispecie, sia l'obbligazione di risarcire i danni anche morali patiti, ai sensi dell'art. 15 del T.U. privacy.
* * *
Comunicazione a terzi di dati bancari - 10 novembre 2016 [doc. web n° 5852392]
Registro dei provvedimenti n° 463 del 10.11.2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 ("Codice in materia di protezione dei dati personali", di seguito "Codice");
VISTO il reclamo presentato ai sensi dell'art. 142 e ss. del Codice da XY, rappresentato e difeso dall'avv. E.C., nei confronti di Unicredit S.p.A. in ordine a una comunicazione a terzi di dati bancari relativi all'interessato, successivamente utilizzati nell'ambito di un procedimento di separazione;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
PREMESSO
1. Il reclamo.
1.1. Con il reclamo pervenuto il 3 marzo 2016 il sig. XY, rappresentato e difeso dall'avv. E.C., intestatario di un rapporto di conto corrente e di deposito titoli presso Unicredit S.p.A. (filiale di Ponte Arche – Comano Terme) ha lamentato l'illecita comunicazione di dati personali che lo riguardano ad un soggetto terzo non autorizzato.
In particolare il reclamante ha rappresentato che in data 2 luglio 2015, alle ore 11.00 circa, mentre lo stesso si trovava al lavoro a diversi chilometri di distanza dalla citata agenzia bancaria, un dipendente della stessa avrebbe indebitamente comunicato alla moglie informazioni attinenti al suo rapporto di conto corrente mediante la consegna di una lista di movimenti relativi al mese di giugno 2015 (c.d. estratto conto).
Secondo quanto sostenuto dal reclamante, il coniuge, a distanza di pochi giorni, gli avrebbe notificato un ricorso per separazione giudiziale presso il Tribunale di Trento, formulando richieste economiche per il mantenimento dei figli rapportate alla capacità patrimoniale, quale attestata dall'estratto conto in questione.
Il reclamante, nel precisare che la moglie non ha mai avuto, "nemmeno in passato", alcuna delega ad operare sul proprio conto, ha evidenziato come l'avvenuta comunicazione alla stessa di informazioni relative alla sua situazione patrimoniale, compromettendo pesantemente le sue possibilità difensive nel corso del giudizio di separazione, lo ha visto costretto a transigere la causa a condizioni economiche più onerose da quelle inizialmente auspicate.
Il Sig. XY ha altresì dichiarato che nella mattinata del 2 luglio 2015, alle ore 11.14 (data e ora in cui risulta essere stato effettuata la stampa dell'estratto conto oggetto del presente reclamo), era impegnato sul luogo di lavoro, alle dipendenze della società V. S.p.A. presso la quale esercita l'attività di geometra.
Ritenendo che il comportamento posto in essere da Unicredit S.p.A. sia palesemente in contrasto con i princìpi in materia di protezione dei dati personali, soprattutto sotto il profilo della liceità e della correttezza nel trattamento dei dati, il reclamante si è rivolto a questa Autorità ai sensi dell'art. 142 del Codice chiedendo che sia accertata l'illiceità della condotta dell'istituto di credito in questione, sostanziatasi, a suo dire, in un'indebita comunicazione a terzi dei suoi dati personali.
2. Le dichiarazioni dell'istituto di credito.
Con nota del 9 marzo 2016, in risposta alla richiesta di informazioni formulata dall'Autorità (cfr. nota del 10 febbraio 2016), Unicredit S.p.A. ha affermato che, come risulta dal report relativo al tracciamento degli accessi ai sistemi informativi della banca (di cui ha fornito copia), la scheda anagrafica del Sig. XY ed il conto corrente allo stesso intestati sono stati effettivamente interrogati, nella giornata del 2 luglio 2015, da un dipendente in servizio presso la filiale di Comano Terme, il quale ha tuttavia dichiarato di non ricordare alcunché circa un eventuale contatto con il soggetto terzo menzionato nel reclamo né in ordine all'asserita consegna di copia dell'estratto conto in questione.
L'istituto di credito ha quindi sostenuto che, tenuto conto che il dipendente che ha effettuato l'accesso è in forza presso l'agenzia di Comano Terme e che lo stesso ha interrogato un rapporto di conto corrente radicato sulla medesima filiale, non sussistono sufficienti elementi che comprovino l'avvenuta consegna ad un soggetto terzo non legittimato di copia della contabile oggetto del presente reclamo.
3. Le ulteriori osservazioni dell'interessato.
Con successiva nota del 3 maggio 2016 il reclamante ha fornito ulteriori elementi a sostegno di quanto dichiarato nell'atto di reclamo. In particolare, nel ribadire che alla data e all'ora in cui l'estratto conto in questione risulta essere stato stampato (nonché consegnato al coniuge che lo ha prodotto nel giudizio di separazione), lo stesso si trovava regolarmente al lavoro, ha allegato alcuni documenti attestanti la sua presenza in servizio in una località a molti chilometri di distanza dalla filiale di Comano Terme; in particolare ha prodotto copia di una dichiarazione del datore di lavoro (V. S.p.a.) del 30 marzo 2016, corredata della busta paga relativa al mese di luglio 2015 dalla quale risulta che al Sig. XY è stata corrisposta una indennità sostitutiva di mensa per l'intero mese, sulla base di una nota spese acquisita e controfirmata dalla società medesima; in quest'ultima risulterebbero chiaramente, in corrispondenza del 2 luglio 2015, spese per consumazioni, ristorante e carburante per un ammontare di euro 48.50 (come documentato dagli scontrini allegati, peraltro emessi da esercizi commerciali ubicati in provincia di Milano in un arco temporale compreso tra le 12.09 e le 21.00).
4. La successiva nota inviata da Unicredit S.p.a.
Nel valutare l'ulteriore documentazione prodotta dal reclamante nel corso del procedimento, l'Autorità, con le note del 16 maggio e del 14 luglio 2016, ha chiesto ad Unicredit S.p.A. di fornire le opportune integrazioni rispetto a quanto già argomentato nella nota del 9 marzo 2016, precisando, in particolare, se in data 2 luglio 2015, in corrispondenza dell'arco temporale individuato nel report concernente le operazioni di accesso ai dati riferiti al conto corrente dell'interessato (ovvero immediatamente prima o immediatamente dopo) risultino essere state effettuate ulteriori operazioni dispositive sul medesimo conto.
Con le note del 9 giugno 2016 e del 1° agosto 2016 Unicredit S.p.A. ha dichiarato che "gli esiti delle attività di controllo interno hanno indubbiamente dimostrato l'interrogazione della scheda anagrafica e del rapporto di conto corrente del Sig. XY da parte di un dipendente, ma gli elementi ricavabili dalle verifiche non consentono di stabilire a chi sia stato consegnato il documento"; l'istituto bancario ha inoltre puntualizzato che, come risulta da un estratto del conto corrente al 30 settembre 2015 - di cui ha allegato copia – "l'unica operazione dispositiva effettuata in data 2 luglio 2015 risulta essere un rimborso di fondi comuni (…) eseguita centralmente (…)".
5. Le valutazioni dell'Autorità.
Dagli accertamenti effettuati dalle strutture della banca preposte ai controlli sul tracciamento degli accessi ai sistemi informativi risulta con evidenza che, in data 2 luglio 2015, alle ore 11.14'.51", un dipendente della banca, identificato tramite un codice dalla stessa, ha avuto accesso alla posizione contabile del reclamante (con contestuale stampa di un estratto conto che è stato poi depositato in un procedimento giudiziario) in un giorno e in un orario in cui il reclamante medesimo, unico soggetto deputato a richiedere e a ricevere tali informazioni, risultava inequivocabilmente in servizio presso la propria sede di lavoro e comunque in località posta in posizione geograficamente incompatibile con la presenza fisica presso la filiale di Comano Terme; il medesimo dipendente, secondo quanto riferito dall'istituto di credito, non è stato in grado di esporre le ragioni che lo hanno indotto a consultare la suddetta posizione né ha ricordo dell'avvenuta consegna del documento contabile alla moglie del reclamante (o ad altro soggetto).
Alla luce di quanto esposto risulta pertanto sufficientemente dimostrato che presso Unicredit S.p.A. è stato effettuato, in assenza del consenso dell'interessato o di altro legittimo presupposto, un trattamento illecito di dati riferiti al reclamante (artt. 11, lett. a), 23 e 24 del Codice) nelle forme della consultazione e della loro successiva comunicazione a terzi (nel caso di specie, la moglie del reclamante). Ciò, tenendo conto che le allegazioni prodotte dal segnalante e riferite ai rimborsi spese e alla stessa busta paga non appaiono contraffatti né ricostruiti a posteriori (in particolare la busta paga), anche considerando che solo successivamente l'interessato (tramite la lettura di atti giudiziari) ha avuto contezza del contestato accesso ai propri dati bancari. Ciò è verosimilmente avvenuto per effetto del comportamento posto in essere da un dipendente della banca che, in qualità di incaricato del trattamento e discostandosi dalle istruzioni ricevute, ha effettuato un trattamento illecito in quanto in contrasto con i princìpi generali in materia di protezione dei dati (artt. 4, comma 1, lett. h), 30, 167 e 169 del Codice).
Dalle risultanze istruttorie risulta che l'istituto di credito, conformemente a quanto prescritto dall'Autorità con il provvedimento del 12 maggio 2011 "in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie" (doc. web n. 1813953), ha adottato le misure previste al par. 4.2 del provvedimento medesimo provvedendo, nel caso di specie, alla registrazione dettagliata, in un apposito file di log (che è stato prodotto nel corso del procedimento) delle informazioni relative all'operazione di accesso ai dati bancari del reclamante effettuata dall'incaricato del trattamento (codice identificativo dell'incaricato, data e ora di esecuzione dell'operazione, codice della postazione di lavoro utilizzata, codice cliente e tipologia di rapporto contrattuale cui si riferisce l'operazione).
Si segnala tuttavia che i provvedimenti dell'Autorità sopracitati da un lato richiamano espressamente l'obbligo, per gli istituti di credito, di identificare la clientela nell'esecuzione delle diverse operazioni bancarie (v. par. 2.2 delle Linee guida) e dall'altro, prescrivono agli stessi l'effettuazione di attività di controllo interno, con cadenza almeno annuale, sulla legittimità e liceità degli accessi ai dati effettuati dai propri incaricati, prevedendo altresì che l'esito dell'attività di controllo sia messo a disposizione del Garante, in caso di specifica richiesta (v. par. 4.3.2 provv. del 12 maggio 2011).
Ciò al fine di consentire agli istituti di credito, da un lato, di assumere ogni opportuna iniziativa idonea ad evitare, per quanto possibile, incidenti similari a quello occorso nel caso in esame (dei quali possono essere chiamati a rispondere ai sensi dell'art. 15 del Codice) nonché, nella prospettiva ormai prossima dell'entrata in vigore del nuovo Regolamento sulla protezione dei dati, di assicurare il rispetto del principio di "responsabilità del titolare del trattamento" (c.d. accountability) di cui all'art. 24 del Regolamento (UE) 2016/679.
Premesso quanto sopra, restano impregiudicati gli eventuali profili di responsabilità civile (art. 15 del Codice) e le eventuali violazioni penalmente rilevanti in capo all'autore della condotta oggetto del reclamo.
TUTTO CIÒ CONSIDERATO, IL GARANTE
dichiara illecito il trattamento dei dati personali del reclamante effettuato da Unicredit S.p.A. in data 2 luglio 2015 per il tramite del proprio incaricato operante presso l'agenzia di Comano Terme relativamente all'avvenuta consegna a terzo non legittimato dei dati personali bancari relativi al Sig. XY.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 10 novembre 2016
IL PRESIDENTE, Soro
IL RELATORE, Bianchi Clerici
IL SEGRETARIO GENERALE, Busia
Tags: salvatore frattallone, Frattallone & Partners Law Firm, risarcimento danni, Roma, Modena, Padova, penale, privacy, file di log, inquiry, dati personali, bancari, marito, moglie, coniuge, separazione personale, divorzio, comunicazione illecita, consegna a terzo non autorizzato, unicredit s.p.a.