| Garante per la protezione dei dati personali Chiarimenti in ordine alla delibera n.192/2011 in tema di circolazione delle informazioni riferite a clientiall'interno dei gruppi bancari e 'tracciabilità' delle operazioni bancarie;proroga del termine per completare l'attuazione delle misure originariamenteprescritte PROVVEDIMENTO DEL 18 LUGLIO 2013 (Pubblicato sulla Gazzetta Ufficiale n. 185 dell'8agosto 2013) Registro dei provvedimenti n. 357 del 18 luglio 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale; VISTOil d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali, di seguito "Codice") e, in particolare, l'art. 154, comma1, lett. c) e h); VISTOil provvedimento n. 192 adottato dal Garante in data VISTEle richieste di chiarimento formulate dall'Associazione bancaria italiana (diseguito, ABI) in ordine ad alcuni aspetti regolati dal suddetto provvedimento; VISTEle note dell'11 dicembre 2012 e 29 aprile 2013, con le quali ABI ha chiesto aquesta Autorità un differimento del termine per l'implementazione delle misureprescritte con il provvedimento n. 192/2011; VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000; RELATOREil dott. Antonello Soro; PREMESSO Conil provvedimento n. 192/2011, l'Autorità, nel prescrivere ai titolari deltrattamento di adottare misure necessarie per tracciare le operazioni bancarieeffettuate dagli "incaricati del trattamento" sui dati bancari deiclienti (anche occasionali), ha rimesso agli stessi "titolari" ladiscrezionalità nell'individuare le soluzioni organizzative più idonee per larelativa implementazione. Ciononostante,essendo stati sollevati dagli operatori di settore, attraverso ABI, dei dubbiinterpretativi riguardo ad alcuni aspetti regolati dal suddetto provvedimento,questa Autorità intende rendere alcuni chiarimenti al riguardo. Comenoto, il tracciamento riguarda le operazioni bancarie −sia di tipodispositivo, sia di semplice visualizzazione− effettuate utilizzandoinformazioni concernenti la situazione economica e patrimoniale del cliente. Quindi,nell'ambito di applicazione del provvedimento, rientrano, in primo luogo, leoperazioni di trattamento connesse allo svolgimento dell'attività bancaria insenso stretto, e cioè "la raccolta di risparmio tra il pubblico el'esercizio del credito" (art. 10, comma 1 del d.lg. 385/1993- Testo UnicoBancario). Perquanto concerne, poi, le attività genericamente indicate dall'art. 10, comma 3del T.U.B. –che consente alle banche di svolgere anche "ogni altraattività finanziaria"-, possono sorgere incertezze riguardo a qualioperazioni siano effettivamente riconducibili a detta attività, non solo inragione dell'ampiezza di tale definizione, ma anche del continuo sviluppo delmondo bancario che, attualmente, sia per scelta imprenditoriale, sia per lenuove richieste provenienti dalla clientela, offre nuove tipologie di servizi edi prodotti. Inproposito, va rilevato che per "altre" attività finanziarie debbonointendersi essenzialmente le "attività ammesse al mutuoriconoscimento" (e cioè quelle che possono essere svolte dalle banche comunitariein tutti gli Stati membri dell'Unione europea sulla base dell'autorizzazionedell'Autorità di vigilanza del Paese d'origine), indicate all'art. 1, comma 2,lett. f) del TUB (con cui è stata data attuazione alla direttiva comunitaria89/646/CEE del Consiglio del 15 dicembre 1989), a cui le Istruzioni divigilanza della Banca d'Italia fanno riferimento ai fini dell'individuazionedella "attività finanziaria". Quindi si deve ritenere che sianosoggette all'applicazione del provvedimento n. 192/2011 anche le operazioni ditrattamento connesse allo svolgimento di detta attività. Tuttavia,poiché nell'ambito dell'elenco delle attività indicate dal citato art. 1, comma2, lett. f) del TUB rientrano anche attività che esulano dalla logica diapplicazione del provvedimento n. 192/2011 (ad es. locazione di cassette disicurezza, servizi di informazione commerciale, ecc.), spetta ai titolari deltrattamento effettuare un'ulteriore valutazione per riservare il tracciamento aquelle sole operazioni che effettivamente comportino l'accesso dei loroincaricati ad informazioni riferibili alla situazione economica e patrimonialedei singoli clienti. Inoltre,con più specifico riferimento al concetto di "dato bancario", utiliindicazioni possono essere rinvenute in alcune pronunce adottate dal Garante(v. tra gli altri, la deliberazione Ilprovvedimento trova applicazione nei confronti delle banche, incluse quellefacenti parte di gruppi, e delle società che appartengono agli stessi gruppi,anche se diverse dalle banche, qualora i relativi "incaricati", peril tipo di attività loro richiesta, accedano ad informazioni in grado dirivelare lo stato patrimoniale e contabile del cliente. Pertanto, si chiarisceche laddove nel provvedimento n. 192/2011 viene utilizzato il termine"dipendenti", lo stesso dev'essere interpretato alla stregua di"incaricati del trattamento" (art. 4, comma 1, lett. h) del Codice). Lemisure in questione, inoltre, debbono essere osservate pure dalle società cheoperano in outsourcing –anche quando non appartengono al gruppo bancario-allorché l'attività esternalizzata sia connessa all'esecuzione di rapporticontrattuali (intercorrenti tra banca e cliente) e richieda l'utilizzo difunzioni applicative a supporto dell'operatività bancaria. Inquesta ottica, invece, debbono ritenersi esclusi dall'ambito di applicazionedel provvedimento i soggetti che, come le c.d. banche depositarie, hanno ilcompito di custodire gli strumenti finanziari e le disponibilità liquide di unfondo comune di investimento (società di gestione del risparmio-SGR): in talcaso, infatti, è la stessa SGR ad essere cliente della banca depositaria, laquale, non effettuando un trattamento dei dati bancari del singolo cliente, nonha la possibilità di conoscere lo stato economico e patrimoniale del medesimo. Analogamente,non sono soggette a tracciamento le attività effettuate dalle società diassicurazione -ancorché facenti parte del gruppo bancario- purché le operazionidi trattamento poste in essere dai relativi incaricati non comportino l'accessoai dati bancari dei clienti. Inriferimento al rapporto intercorrente tra il provvedimento n. 192/2011 e quellorelativo a "Misure e accorgimenti prescritti ai titolari dei trattamentieffettuati con strumenti elettronici relativamente alle attribuzioni dellefunzioni di amministratore di sistema", adottato dal Garante in data 27novembre 2008, si chiarisce che quest'ultimo non ha introdotto obblighi ditracciamento delle operazioni compiute da coloro che rivestono tale funzione,essendosi limitato a prescrivere la tenuta dei log di accesso ai sistemi(ovvero i log del sistema di autenticazione informatica) garantendo requisitidi integrità e conservazione, lasciati -al di là di indicazioni minime- allavalutazione dei singoli titolari. Pertanto, non è obiettivo del provvedimenton. 192/2011, rivolto alle banche, realizzare forme di controllo più dettagliatosull'operato degli amministratori di sistema nel settore bancario, in quantogli obblighi di tracciamento devono essere riferiti ai soli addetti a funzioniapplicative dei sistemi informativi. Incaso di accesso massivo ai dati della clientela, si chiarisce che iltrattamento deve riguardare i dati relativi all'incaricato che ha effettuato laquery, la data, l'ora e il dettaglio della relativa richiesta; inoltre, daldettaglio di quest'ultima deve risultare possibile verificare se la posizionedi un cliente sia stata oggetto di attenzione nell'ambito di una query cheabbia prodotto risultati riferibili a più soggetti o a più rapporti. Ilprovvedimento n. 192/2011, anche in adesione alle richieste avanzate daglioperatori di settore, ha fissato per l'adeguamento alle misure prescritte iltermine di 30 mesi dalla data di pubblicazione dello stesso sulla GazzettaUfficiale, avvenuta il 3 giugno 2011 (G.U. n. 127 del 3 giugno 2011). Successivamente,con note dell'11 dicembre 2012 e 29 aprile 2013, ABI ha chiesto a questaAutorità di "valutare l'opportunità di prorogare il termine perl'adeguamento alle misure "necessarie" dettate dal provvedimento,fissandolo al 3 dicembre 2014". Asostegno di tale richiesta, è stato rappresentato che l'attuazione di talimisure si sarebbe rivelata più complessa del previsto, anche in ragione delleincertezze interpretative che avrebbero impedito di pervenire ad una"corretta e sostenibile implementazione" del provvedimento n. 192/2011. Alriguardo, nel prendere atto delle riferite circostanze e, segnatamente, dellerappresentate, obiettive difficoltà degli operatori ad ultimarel'implementazione delle complesse misure imposte, si ritiene di poteraccogliere la richiesta di proroga avanzata da ABI, differendo al 3 giugno 2014il termine precedentemente fissato al 3 dicembre 2013. L'entità di taledifferimento, del resto, non pregiudica il raggiungimento in tempi brevi dellapiena tutela dei diritti degli interessati e, al contempo, la realizzazione dellivello di sicurezza delle informazioni bancarie che l'implementazione delsistema è volta a garantire. CIO' PREMESSO, IL GARANTE −ai sensi dell'art. 154, comma 1, lett. h) del Codice, stabilisce chenell'implementazione delle misure indicate nel provvedimento del 12 maggio2011, i titolari del trattamento tengano conto delle indicazioni fornite con ilpresente provvedimento (punti 1.1; 1.2; 2; 3); −ai sensi dell'art. 154, comma 1, lett. c) del Codice, a parziale modifica delprovvedimento n. 192/2011, dispone di prorogare al 3 giugno 2014 il termineprecedentemente fissato per completare l'attuazione delle prescrizioni indicateal punto 1. del provvedimento stesso (punto 4). Sidispone la trasmissione di copia del presente provvedimento al Ministero dellagiustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nellaGazzetta Ufficiale della Repubblica italiana. Roma, 18 luglio 2013
|