Versione HTML di base
comunitaria 89/646/CEE del Consiglio del 15 dicembre 1989), a cui le Istruzioni di vigilanza della Banca d'Italia fanno riferimento ai fini
dell'individuazione della "attività finanziaria". Quindi si deve ritenere che siano soggette all'applicazione del provvedimento n. 192/2011
anche le operazioni di trattamento connesse allo svolgimento di detta attività.
Tuttavia, poiché nell'ambito dell'elenco delle attività indicate dal citato art. 1, comma 2, lett. f) del TUB rientrano anche attività che esulano
dalla logica di applicazione del provvedimento n. 192/2011 (ad es. locazione di cassette di sicurezza, servizi di informazione commerciale,
ecc.), spetta ai titolari del trattamento effettuare un'ulteriore valutazione per riservare il tracciamento a quelle sole operazioni che
effettivamente comportino l'accesso dei loro incaricati ad informazioni riferibili alla situazione economica e patrimoniale dei singoli clienti.
Inoltre, con più specifico riferimento al concetto di "dato bancario", utili indicazioni possono essere rinvenute in alcune pronunce adottate dal
Garante (v. tra gli altri, la deliberazione 25 ottobre 2007 "Linee guida in materia di trattamento dei dati personali della clientela in ambito
bancario", doc. web n.
provv. 17 luglio 2008 in tema di "accesso ai dati personali del de cuius", doc. web n.
), ove sono
indicati come "dati bancari", tra gli altri, quelli contenuti negli estratti conto, quelli afferenti alle movimentazioni bancarie, le informazioni
relative alle operazioni attive e passive effettuate sul conto corrente del cliente, nonché le operazioni richieste dal cliente nell'ambito di
prestazioni ed attività connesse ai rapporti contrattuali.
1.2. Ambito soggettivo di applicazione del provvedimento.
Il provvedimento trova applicazione nei confronti delle banche, incluse quelle facenti parte di gruppi, e delle società che appartengono agli
stessi gruppi, anche se diverse dalle banche, qualora i relativi "incaricati", per il tipo di attività loro richiesta, accedano ad informazioni in
grado di rivelare lo stato patrimoniale e contabile del cliente. Pertanto, si chiarisce che laddove nel provvedimento n. 192/2011 viene
utilizzato il termine "dipendenti", lo stesso dev'essere interpretato alla stregua di "incaricati del trattamento" (art. 4, comma 1, lett. h) del
Codice).
Le misure in questione, inoltre, debbono essere osservate pure dalle società che operano in outsourcing –anche quando non appartengono al
gruppo bancario- allorché l'attività esternalizzata sia connessa all'esecuzione di rapporti contrattuali (intercorrenti tra banca e cliente) e
richieda l'utilizzo di funzioni applicative a supporto dell'operatività bancaria.
In questa ottica, invece, debbono ritenersi esclusi dall'ambito di applicazione del provvedimento i soggetti che, come le c.d. banche
depositarie, hanno il compito di custodire gli strumenti finanziari e le disponibilità liquide di un fondo comune di investimento (società di
gestione del risparmio-SGR): in tal caso, infatti, è la stessa SGR ad essere cliente della banca depositaria, la quale, non effettuando un
trattamento dei dati bancari del singolo cliente, non ha la possibilità di conoscere lo stato economico e patrimoniale del medesimo.
Analogamente, non sono soggette a tracciamento le attività effettuate dalle società di assicurazione -ancorché facenti parte del gruppo
bancario- purché le operazioni di trattamento poste in essere dai relativi incaricati non comportino l'accesso ai dati bancari dei clienti.
2. Rapporti tra il provvedimento n. 192/2011 e il provvedimento sugli "amministratori di sistema".
In riferimento al rapporto intercorrente tra il provvedimento n. 192/2011 e quello relativo a "Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", adottato dal
Garante in data 27 novembre 2008, si chiarisce che quest'ultimo non ha introdotto obblighi di tracciamento delle operazioni compiute da
coloro che rivestono tale funzione, essendosi limitato a prescrivere la tenuta dei log di accesso ai sistemi (ovvero i log del sistema di
autenticazione informatica) garantendo requisiti di integrità e conservazione, lasciati -al di là di indicazioni minime- alla valutazione dei
singoli titolari. Pertanto, non è obiettivo del provvedimento n. 192/2011, rivolto alle banche, realizzare forme di controllo più dettagliato
sull'operato degli amministratori di sistema nel settore bancario, in quanto gli obblighi di tracciamento devono essere riferiti ai soli addetti a
funzioni applicative dei sistemi informativi.
3. Accesso massivo ai dati della clientela.
In caso di accesso massivo ai dati della clientela, si chiarisce che il trattamento deve riguardare i dati relativi all'incaricato che ha effettuato la
query, la data, l'ora e il dettaglio della relativa richiesta; inoltre, dal dettaglio di quest'ultima deve risultare possibile verificare se la posizione
di un cliente sia stata oggetto di attenzione nell'ambito di una query che abbia prodotto risultati riferibili a più soggetti o a più rapporti.
4. Richiesta di proroga.
Il provvedimento n. 192/2011, anche in adesione alle richieste avanzate dagli operatori di settore, ha fissato per l'adeguamento alle misure
prescritte il termine di 30 mesi dalla data di pubblicazione dello stesso sulla Gazzetta Ufficiale, avvenuta il 3 giugno 2011 (G.U. n. 127 del 3
giugno 2011).
Successivamente, con note dell'11 dicembre 2012 e 29 aprile 2013, ABI ha chiesto a questa Autorità di "valutare l'opportunità di prorogare il
termine per l'adeguamento alle misure "necessarie" dettate dal provvedimento, fissandolo al 3 dicembre 2014".
A sostegno di tale richiesta, è stato rappresentato che l'attuazione di tali misure si sarebbe rivelata più complessa del previsto, anche in
ragione delle incertezze interpretative che avrebbero impedito di pervenire ad una "corretta e sostenibile implementazione" del
provvedimento n. 192/2011.
Al riguardo, nel prendere atto delle riferite circostanze e, segnatamente, delle rappresentate, obiettive difficoltà degli operatori ad ultimare
l'implementazione delle complesse misure imposte, si ritiene di poter accogliere la richiesta di proroga avanzata da ABI, differendo al 3
giugno 2014 il termine precedentemente fissato al 3 dicembre 2013. L'entità di tale differimento, del resto, non pregiudica il raggiungimento