Il Garante per la Privacy ha emanato in data 12 maggio 2011 il Provvedimento n.192 riguardo “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”. L’applicazione di tale provvedimento è stata poi p i ù v o l t e successivamente differita, da ultimo fino al prossimo 30 settembre 2014. Il provvedimento ha il fine di assicurare il controllo delle attività svolte sui dati dei clienti e dei potenziali clienti da parte di ciascun dipendente, prevede inoltre l’adozione di specifiche soluzioni informatiche che consentano di individuare le operazioni effettuate dai dipendenti sui dati dei clienti sia che queste comportino la movimentazione di denaro sia che siano di sola consultazione (inquiry). Sono coinvolti tutti i lavoratori incaricati dall’azienda dei trattamenti dei dati personali dei clienti, quali che siano la qualifica, le competenze, gli ambiti di operatività e le finalità delle registrazioni o consultazioni che sono tenuti a svolgere. Per ogni operazione saranno registrati in un file di log:
- il codice identificativo del dipendente (matricola);
- data e ora di esecuzione;
- codice delle postazione di lavoro utilizzata;
- il codice del cliente interessato dall’operazione di accesso ai dati bancari da parte del dipendente;
- la tipologia del rapporto contrattuale del cliente cui si riferisce l’operazione effettuata.
I dati così raccolti verranno conservati per un periodo di 24 mesi dalla data di registrazione dell’operazione, fatte salve esigenze di forza maggiore. Oltre tale limite la conservazione dei dati è soggetta a specifici vincoli di legge. Inoltre la Banca dovrà dotarsi di particolari programmi informatici atti a svolgere, in maniera automatica, un’attività di analisi degli accessi da parte dei dipendenti ai dati dei clienti, analisi che produrranno “alert” per individuare possibili comportamenti anomali o a rischio in ordine alla liceità degli accessi ai dati effettuati dai dipendenti. La materia è delicata poiché incrocia il diritto individuale alla privacy, in particolare per quanto riguarda le operazioni bancarie, ed il diritto dei lavoratori di non essere sottoposti, anche solo in modo potenziale, a strumenti che consentano il controllo a distanza dell’attività lavorativa. Ragione per cui il Garante della Privacy prevede espressamente che tale attività avvenga in conformità con le previsioni di cui all’articolo 4 della legge 300/70, ( controlli a distanza dei lavoratori ), in applicazione delle quali è stato firmato, nelle aziende del Gruppo Banco Popolare, un apposito verbale di intesa in data 28.5.2014, secondo lo schema tipo già definito a metà aprile fra ABI e Segreterie Nazionali. In ogni modo, dal momento dell’entrata in vigore del provvedimento, tutti gli accessi ai dati personali dei clienti da parte dei dipendenti saranno registrati e, in caso di richiesta da parte dell’autoritàgiudiziariaodel garante,dovrannoessereresidisponibili. E’ importante a questo punto ricordarsi che ognuno risponde personalmente di quanto fatto con la propria matricola, anche se si tratta di semplici consultazioni. Sarà quindi essenziale che tutte le operazioni bancarie, consultazioni di dati, stampe di posizioni del cliente, ecc…, siano sempre ed esclusivamente fatte dal collega o dalla collega direttamente interessati nell’ambito del compito svolto, in tutti gli altri casi in cui non vi è un nesso diretto fra compito svolto e richiesta ricevuta quest’ultima dovrà essere giustificabile e documentabile. Questo perché nell’ambito della tutela per il trattamento dei dati ai sensi della normativa sulla Privacy l’azienda risponde della corretta registrazione, conservazione, possibilità di accesso ed eventuali cancellazione dei dati raccolti: sempre previa sottoscrizione dell’autorizzazione da parte del titolare (cliente). Ogni incaricato al trattamento (dipendente) è personalmente responsabile dell’utilizzo degli stessi qualora questo non avvenisse nel rispetto della normativa vigente. Per rendere il tutto più comprensibile di seguito alcuni esempi di richieste non conformi ai sensi della normativa sopra riportata …
“In caso di coniugi di cui uno solo intestatario del rapporto di conto corrente mentre l’altro non autorizzato ad operare sul conto, quest’ultimo chiede informazioni (movimenti, saldo, ecc).”
“Allo stesso modo non è consentito al dipendente “curiosare” su conti di parenti/conoscenti per i quali non si sia formalmente autorizzati ad operare.”
“Stampa dell’IKGL di un cliente su richiesta di un altro collega in preparazione di una visita esterna a cliente.”
“Richieste di terzi provenienti da dipendenti di altre aziende di credito (ad esempio: benefondi o informazioni commerciali) fatte via telefonica.”
DirCredito, Fabi, Fiba CISL, Fisac CGIL, Sinfub, UGL Credito, UILCA Banco Popolare
2014.06.06 Tracciabilità Operazioni Bancarie