dei dati personali) in ordine ai temi della "circolazione" delle informazioni riferite ai clienti in ambito
bancario e della "tracciabilità" delle operazioni bancarie effettuate dai dipendenti di istituti di credito (sia
quelle che comportano movimentazione di denaro, sia quelle di sola consultazione,
c.d. inquiry
).
1.2.
Ambito
soggettivo
di
applicazione.
Il presente provvedimento si applica ai seguenti soggetti ove stabiliti sul territorio nazionale (art. 5 del
Codice): alle banche, incluse quelle facenti parte di gruppi (disciplinati, in generale, dall'art. 2359 c.c. e,
in particolare, dagli artt. 60 e ss. del d.lg. n. 385/1993); alle società, anche diverse dalle banche purché
siano parte di tali gruppi (di seguito anch'esse denominate "banche"), nell'ambito dei trattamenti dalle
stesse effettuati sui dati personali della clientela; a Poste Italiane S.p.A. (relativamente all'attività che gli
operatori postali possono svolgere nell'ambito dei servizi bancari e finanziari ai sensi del d.P.R. 14 marzo
2001, n. 144 -v. Regolamento recante norme sui servizi di bancoposta, adottato in attuazione della delega
contenuta nell'art. 40 della l. 23 dicembre 1998, n. 448; v. anche Istruzioni di Vigilanza per le banche –
Circ. Banca d'Italia n. 229 del 21 aprile 1999 - 10° Aggiornamento del 9 aprile 2004).
Il presente provvedimento si riferisce ai trattamenti effettuati dai soggetti sopra indicati mediante i propri
dipendenti.
Restano salve le norme del Codice in materia di trasferimento dei dati all'estero da parte dei titolari del
trattamento. In relazione a tale aspetto l'Autorità si riserva, qualora se ne dovesse ravvisare la necessità, di
intervenire con un successivo provvedimento.
Il presente provvedimento, inoltre, non riguarda le modalità con le quali i clienti accedono on line ai
servizi bancari (c.d. home banking).
1.3.
Attività
svolta.
Nel redigere il provvedimento si è tenuto conto delle istanze (segnalazioni, reclami e richieste di pareri)
pervenute nel tempo in materia; degli accertamenti ispettivi effettuati, negli anni 2008, 2009 e 2010,
presso le maggiori banche e/o gruppi bancari nazionali nonché presso Poste Italiane S.p.A.; degli specifici
provvedimenti collegiali adottati dal Garante all'esito di alcuni di tali accertamenti; delle risultanze di
un'ulteriore attività di indagine e rilevazione, svolta con la collaborazione dell'Associazione Bancaria
Italiana (di seguito, ABI) e ultimata nel mese di ottobre 2010.
Con istanze rivolte all'Autorità, numerosi interessati hanno dichiarato di essere venuti a conoscenza che
dati personali a loro riferiti (in specie, informazioni bancarie), conservati nei data base di alcune banche
con le quali avevano instaurato rapporti contrattuali, erano stati oggetto di indebito accesso,
verosimilmente da parte di alcuni dipendenti, i quali, successivamente, li avrebbero comunicati a terzi che
li avrebbero utilizzati per scopi personali e, segnatamente, in vista di una loro produzione in giudizio (di
norma, in separazioni giudiziali e procedure esecutive, in particolare, in pignoramenti presso terzi).
Considerata la rilevanza del tema, l'Autorità ha disposto accertamenti ispettivi presso alcuni istituti
bancari volti a verificare, anzitutto, se effettivamente vi fossero stati accessi da parte di dipendenti alle
informazioni bancarie dei clienti e i presupposti degli stessi.
All'esito dell'attività ispettiva svolta, sono emersi non solo elementi che hanno consentito di definire
alcune segnalazioni con singole decisioni del Garante (
Provv.ti
28 maggio 2009, doc.
web
n.
18
giugno 2009, doc.
web
n.
23 luglio 2009, doc.
web
n.
18 marzo 2010, doc.
web
n.
, ma anche profili problematici di carattere generale.
Inoltre, in ragione dell'accertata diversità di soluzioni organizzative adottate dalle banche e dell'elevato
numero di soggetti coinvolti nell'indagine intrapresa, l'Autorità ha ritenuto necessario coinvolgere l'ABI
in nuovi approfondimenti volti a chiarire ulteriormente le problematiche in esame.
Tali approfondimenti si sono concretizzati nella predisposizione, da parte dell'Autorità, di un questionario
tipo, teso a rilevare le scelte organizzative effettuate dalle singole banche in relazione ai profili in
questione, cui ha fatto riscontro un successivo documento elaborato dall'ABI in forma aggregata e