Provvedimento del Garante per la protezione dei dati personali del 8 marzo 2007.
Graante Privacy: accesso ai dati della Centrale rischi.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Visto il reclamo presentato da Gianpaolo Grespan nei confronti di Banca di Roma S.p.a. relativamente ad accessi abusivi da parte di incaricati della banca alla Centrale dei rischi della Banca d'Italia ed al sistema centralizzato di rilevazione dei rischi di importo contenuto gestito da SIA S.p.a.;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
PREMESSO
1. Con nota pervenuta il 3 aprile 2006, Gianpaolo Grespan ha rappresentato che, pur non essendo più cliente dal 2001, presso la Banca di Roma sarebbero stati effettuati vari accessi abusivi (sette), nel 2004 e nel 2005, al Servizio di prima informazione reso disponibile presso la Centrale dei rischi della Banca d'Italia e al sistema centralizzato di rilevazione dei rischi di importo contenuto gestito da SIA S.p.a., al fine di verificare dati personali che lo riguardano anche unitamente al proprio coniuge.
Dalla documentazione prodotta emerge che non hanno avuto idoneo e tempestivo riscontro talune istanze (del 7 novembre 2005 e del 10 gennaio 2006) proposte ai sensi dell'art. 7 del Codice, volte a conoscere l'identità delle persone che (anche in qualità di responsabili o di incaricati) avrebbero avuto accesso alle predette informazioni.
In una nota di risposta del 22 dicembre 2005 la banca ha così affermato: le «richieste di prima informazione sono state inoltrate alla […] Centrale rischi con la motivazione «richiesta di fido» al fine di istruire una richiesta di affidamento pervenuta al nostro dipendente»; nella medesima nota, la banca ha poi dichiarato all'interessato quanto segue: «trattandosi di attività svolta da nostri dipendenti che hanno operato nella qualità di incaricati, la sua istanza di conoscere le relative generalità risulta ultronea rispetto a quanto previsto dal sopra citato art. 7 del decreto legislativo n. 196/2003». In una successiva nota del 27 febbraio 2006, la banca non ha infine effettuato alcun riferimento ai contestati accessi informatici.
2. A seguito della richiesta di informazioni inoltrata da questa Autorità il 22 novembre 2006, la banca, diversamente da quanto dichiarato all'interessato, ha rappresentato al Garante che, in seguito alla cessazione nel 2001 dei rapporti contrattuali, essa stessa non ha intrattenuto ulteriori rapporti con il medesimo interessato, «né ha avviato l'istruttoria di nuovi affidamenti». La banca ha inoltre asserito che, «a seguito degli ulteriori approfondimenti effettuati, è emerso che gli accessi sono stati indebitamente disposti, per finalità di natura personale, da un dipendente di questa banca, signor Barcarolo Carlo, dirigente con il ruolo di account manager private, e materialmente eseguiti da collaboratori esecutivi non consapevoli dell'illiceità della richiesta». Nei confronti di tale dirigente, cognato del Grespan, la banca avrebbe indirizzato solo una formale lettera di biasimo, mentre a seguito di tale episodio, la medesima banca ritiene di aver già posto in essere le (non meglio precisate) «iniziative volte a ridurre al minimo il rischio del ripetersi di eventi quali quello oggetto della segnalazione».
3. Alla luce di quanto sopra evidenziato, presso la banca è stato effettuato un trattamento illecito ai sensi dell'art. 11, lett. a) e b) del Codice, conseguente ad accessi indebiti ai menzionati sistemi informativi, non giustificati da legittime esigenze (relative, in particolare, a richieste di credito). Ciò, per effetto del comportamento illecito di uno o più dipendenti del cui operato la banca risponde (artt. 4, comma 1, lett. f), 15 e 28-30 del Codice).
Le operazioni sono state effettuate in violazione della disciplina di settore che regola l'accesso ai menzionati sistemi informativi, in particolare di quella riguardante il servizio centralizzato dei rischi gestito dalla Banca d'Italia, la quale «fornisce agli intermediari partecipanti un'informativa utile […] per la valutazione del merito di credito della clientela e, in generale, per l'analisi e la gestione del rischio di credito» (cfr. Banca d'Italia, Centrale dei rischi, Istruzioni per gli intermediari creditizi, circ. n. 139, 11 febbraio 1991, 9° Agg. del 22 giugno 2004, p. I.3). Nel caso di specie, i ripetuti accessi sono stati infatti compiuti, come ammesso solo da ultimo dalla banca, al di fuori dei casi previsti e realizzando una grave violazione dei diritti dell'interessato, perseguendo indebitamente finalità private di un terzo in contrasto con gli obblighi correlati all'utilizzazione dei due sistemi informativi.
3.1. Deve altresì riscontrarsi un'ulteriore, grave violazione della disciplina di protezione dei dati ascrivibile alla banca, riguardo al non veritiero riscontro fornito all'interessato a seguito dell'esercizio dei diritti di accesso di cui all'art. 7 del Codice avvenuto in due occasioni.
Da un lato, la banca ha inizialmente dichiarato che le finalità del trattamento erano state quelle della consultazione dei sistemi informativi nell'ambito di un'istruttoria relativa a richieste di affidamento, la cui esistenza è stata, invece, negata successivamente dalla stessa banca nella comunicazione inviata all'Autorità.
Il riscontro fornito alla richiesta dell'interessato volta a conoscere i soggetti che sarebbero venuti a conoscenza di informazioni tratte dai predetti sistemi informativi, non risponde, altresì ai requisiti prescritti dal Codice, avendo l'interessato il diritto (art. 7, comma 2, lett. e)) di ottenere un'indicazione esaustiva dei soggetti che possono venire a conoscenza dei dati personali anche in qualità di responsabili o incaricati.
La banca ha contravvenuto non solo alla puntuale previsione contenuta nell'art. 7 del Codice, ma, più in generale, all'obbligo di correttezza (rilevante anche ai sensi dell'art. 11, comma 1, lett. a), del Codice), non essendo stato, altresì, consentito all'interessato di conoscere tempestivamente e agevolmente notizie veritiere sul trattamento di dati personali che lo riguardano (art. 10, comma 1, lett. a), del Codice).
3.2. Presso la banca, l'illecito trattamento è stato effettuato in più occasioni all'insaputa dell'interessato, violando anche il suo diritto ad essere preventivamente informato di ogni trattamento di dati che possa riguardarlo (artt. 13 e 161 del Codice).
Per la violazione di tale obbligo di preventiva informativa l'Autorità provvederà con separato provvedimento.
Va disposta la trasmissione di copia degli atti e del presente provvedimento all'autorità giudiziaria per la valutazione di profili di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.
La sequenza dei fatti documentata in atti, nonché delle diverse versioni fornite all'interessato, evidenzia che, malgrado le ordinarie misure di sicurezza attestate in atti dalla banca, non risulta in essere un idoneo meccanismo tale da consentire controlli più tempestivi ed efficaci sull'effettiva correlazione tra l'accesso ai predetti sistemi informativi e una documentata pratica di riferimento che giustifichi, in conformità alle norme, l'accesso stesso. Ne deriva la necessità di prescrivere a Banca di Roma S.p.a. di adottare la misura necessaria di cui al seguente dispositivo, entro il 30 maggio 2007.
TUTTO CIÒ PREMESSO, IL GARANTE
dichiara illecito il trattamento di dati personali effettuato presso la Banca di Roma S.p.a. tramite alcuni accessi indebiti alle centrali rischi della Banca d'Italia e al sistema centralizzato di rilevazione dei rischi di importo contenuto gestito da SIA S.p.a. e prescrive, ai sensi dell'art. 154, comma 1, lett. c), del Codice, a Banca di Roma S.p.a. di adottare le necessarie misure di sicurezza idonee a contenere maggiormente il rischio di accesso non autorizzato o di trattamento non consentito o non conforme alle relative finalità ai sensi dell'art. 31 del Codice, e in particolare di adottare misure idonee a consentire controlli più tempestivi ed efficaci sull'effettiva correlazione tra l'accesso ai predetti sistemi informativi e una documentata pratica di riferimento che giustifichi, in conformità alle norme, l'accesso stesso. Anche ai sensi dell'art. 157 del Codice, l'adozione delle predette misure dovrà essere adeguatamente documentata a questa Autorità, entro e non oltre il 10 giugno 2007;
prescrive, altresì, a Banca di Roma S.p.a., ai sensi del medesimo art. 154, comma 1, lett. c), del Codice, di adottare tutte le misure necessarie al fine di assicurare che alle istanze ritualmente proposte ai sensi dell'art. 7 del Codice sia fornito un riscontro veritiero, idoneo e tempestivo (punto 3.2);
dispone la trasmissione degli atti e di copia del presente provvedimento all'autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.
Roma, 8 marzo 2007
IL PRESIDENTE, Pizzetti
IL RELATORE, Paissan
IL SEGRETARIO GENERALE, Buttarelli