Garante per la protezione
    dei dati personali


(provvedimento correlato)

Istituti di credito - Sanzione amministrativa per mancata adozione delle misure minime di sicurezza, comunicazione del provvedimento all'Autoritł giudiziaria

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Stefano Rodotł, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTI il provvedimento dell'11 novembre 2002 relativo ad un ricorso presentato nei confronti della Banca Generali S.p.A. e la deliberazione n. 3 del 9 gennaio 2003 per l'esecuzione di accertamenti ispettivi nei confronti della stessa banca;

VISTO il provvedimento adottato in data odierna dal Garante ai sensi dell'art. 31, comma 1, lett. c), della legge n. 675/1996, nei confronti di Banca Generali S.p.A.;

VISTA la documentazione in atti;

VISTE le vigenti disposizioni in materia di misure minime di sicurezza riferite ai trattamenti di dati personali effettuati con elaboratori accessibili in una rete di telecomunicazioni disponibile al pubblico (art. 3, comma 1, lett. b), del d.P.R. n. 318/1999);

CONSIDERATO che, in relazione a tali trattamenti di dati, per garantire un livello di sicurezza minimo, la banca era tenuta a pena anche di responsabilitł penale a prevedere l'utilizzo di una o piŁ parole chiave per l'accesso ai dati, da fornire agli incaricati del trattamento, e ad attribuire a ciascun incaricato o cliente abilitato al sistema di Internet banking il codice identificativo personale per utilizzare l'elaboratore o gli elaboratori accessibili in rete impiegati per effettuare i trattamenti dei dati personali (secondo le prescrizioni di cui agli artt. 2, comma 1, lett. a), e 4, comma 1, lett. a), del citato d.P.R. n. 318/1999);

RILEVATO che il trattamento di alcuni dati personali riferiti ad innumerevoli correntisti on-line (generati su loro richiesta come specifica funzione per la migliore visualizzazione dei loro estratti conto trimestrali e memorizzati in un'unica cartella intermedia del sistema informativo), Ć stato effettuato e reso possibile dalla banca, nei termini indicati dal menzionato provvedimento in data odierna, senza la necessaria previsione di una o piŁ parole chiave per accedere a tali dati (da fornire agli incaricati del trattamento) e senza attribuire codici identificativi personali ai soli utenti od incaricati che avrebbero potuto utilizzare l'elaboratore accessibile in rete in relazione al suddetto trattamento di dati;

RILEVATO che tale omissione ha pertanto configurato nello specifico caso esaminato una violazione penale dell'obbligo di assicurare il livello minimo di sicurezza prescritto dalla legge (artt. 15, comma 2, e 36, comma 1, della legge n. 675/1996; artt. 2, 3 e 4, del d.P.R. n. 318/1999);

CONSIDERATE la particolaritł e la complessitł del caso, nonchÄ le dichiarazioni rilasciate dalla banca circa le misure adottate a seguito della richiesta dell'interessato (v. l'art. 37-bis della legge n. 675/1996);

VISTO l'art. 36 della legge n. 675/1996, come sostituito dall'art. 14, comma 1, del d.lg. 28 dicembre 2001, n. 467;

VISTI gli artt. 21, 22, 23 e 24 del d.lg. n. 758/1994;

RELATORE il prof. Stefano Rodotł;

PRESCRIVE:

che, ai sensi e per gli effetti di cui all'art. 36, comma 2, della legge n. 675/1996, Banca Generali S.p.A., entro quindici giorni dalla data di comunicazione del presente atto confermi la definitiva disattivazione della funzione da cui Ć scaturita la menzionata cartella intermedia riportante i dati dei vari correntisti on-line, con la conseguente eliminazione di tali dati, e l'adozione, in caso di ripristino di funzioni o modalitł analoghe di trattamento e consultazione dei dati nell'ambito dei servizi di e-banking, delle seguenti misure minime di sicurezza:

1) la previsione di una o piŁ parole chiave per l'accesso on-line ai dati personali relativi ai rapporti bancari riferiti ai clienti, da fornire agli incaricati del loro trattamento;

2) l'attribuzione ai medesimi incaricati e agli utenti del sistema di Internet banking di codici identificativi personali per l'utilizzazione degli elaboratori accessibili in rete in relazione al trattamento dei dati di propria pertinenza.

Qualora allo scadere del termine sopra indicato Banca Generali S.p.A. adempia in modo idoneo a tali prescrizioni, la stessa sarł ammessa dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento ed il pagamento estingueranno il reato.

Si dispone inoltre che l'Ufficio del Garante provveda a comunicare alla Procura della Repubblica territorialmente competente copia del presente provvedimento.

Roma, 19 novembre 2003

Il presidente
Rodotà

Il relatore
Rodotà

Il segretario generale
Buttarelli