Gazzetta n. 185 del 8 agosto 2013 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 18 luglio 2013 Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite ai clienti all'interno dei gruppi bancari e "tracciabilita'" delle operazioni bancarie; proroga del termine per completare l'attuazione delle misure originariamente prescritte. (Provvedimento n. 357). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice") e, in particolare, l'art. 154, comma 1, lett. c) e h); Visto il provvedimento n. 192 adottato dal Garante in data 12 maggio 2011, recante "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie" (pubblicato sulla Gazzetta Ufficiale n. 127 del 3 giugno 2011 e sul sito www.garanteprivacy.it, doc. web n. 1813953; di seguito, provvedimento n. 192/2011); Viste le richieste di chiarimento formulate dall'Associazione bancaria italiana (di seguito, ABI) in ordine ad alcuni aspetti regolati dal suddetto provvedimento; Viste le note dell'11 dicembre 2012 e 29 aprile 2013, con le quali ABI ha chiesto a questa Autorita' un differimento del termine per l'implementazione delle misure prescritte con il provvedimento n. 192/2011; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Antonello Soro; Premesso Con il provvedimento n. 192/2011, l'Autorita', nel prescrivere ai titolari del trattamento di adottare misure necessarie per tracciare le operazioni bancarie effettuate dagli "incaricati del trattamento" sui dati bancari dei clienti (anche occasionali), ha rimesso agli stessi "titolari" la discrezionalita' nell'individuare le soluzioni organizzative piu' idonee per la relativa implementazione. Ciononostante, essendo stati sollevati dagli operatori di settore, attraverso ABI, dei dubbi interpretativi riguardo ad alcuni aspetti regolati dal suddetto provvedimento, questa Autorita' intende rendere alcuni chiarimenti al riguardo. 1.1. Ambito oggettivo di applicazione del provvedimento. Come noto, il tracciamento riguarda le operazioni bancarie sia di tipo dispositivo, sia di semplice visualizzazione effettuate utilizzando informazioni concernenti la situazione economica e patrimoniale del cliente. Quindi, nell'ambito di applicazione del provvedimento, rientrano, in primo luogo, le operazioni di trattamento connesse allo svolgimento dell'attivita' bancaria in senso stretto, e cioe' "la raccolta di risparmio tra il pubblico e l'esercizio del credito" (art. 10, comma 1 del d.lg. 385/1993 - Testo Unico Bancario). Per quanto concerne, poi, le attivita' genericamente indicate dall'art. 10, comma 3 del T.U.B. - che consente alle banche di svolgere anche "ogni altra attivita' finanziaria" -, possono sorgere incertezze riguardo a quali operazioni siano effettivamente riconducibili a detta attivita', non solo in ragione dell'ampiezza di tale definizione, ma anche del continuo sviluppo del mondo bancario che, attualmente, sia per scelta imprenditoriale, sia per le nuove richieste provenienti dalla clientela, offre nuove tipologie di servizi e di prodotti. In proposito, va rilevato che per "altre" attivita' finanziarie debbono intendersi essenzialmente le "attivita' ammesse al mutuo riconoscimento" (e cioe' quelle che possono essere svolte dalle banche comunitarie in tutti gli Stati membri dell'Unione europea sulla base dell'autorizzazione dell'Autorita' di vigilanza del Paese d'origine), indicate all'art. 1, comma 2, lett. f) del TUB (con cui e' stata data attuazione alla direttiva comunitaria 89/646/CEE del Consiglio del 15 dicembre 1989), a cui le Istruzioni di vigilanza della Banca d'Italia fanno riferimento ai fini dell'individuazione della "attivita' finanziaria". Quindi si deve ritenere che siano soggette all'applicazione del provvedimento n. 192/2011 anche le operazioni di trattamento connesse allo svolgimento di detta attivita'. Tuttavia, poiche' nell'ambito dell'elenco delle attivita' indicate dal citato art. 1, comma 2, lett. f) del TUB rientrano anche attivita' che esulano dalla logica di applicazione del provvedimento n. 192/2011 (ad es. locazione di cassette di sicurezza, servizi di informazione commerciale, ecc.), spetta ai titolari del trattamento effettuare un'ulteriore valutazione per riservare il tracciamento a quelle sole operazioni che effettivamente comportino l'accesso dei loro incaricati ad informazioni riferibili alla situazione economica e patrimoniale dei singoli clienti. Inoltre, con piu' specifico riferimento al concetto di "dato bancario", utili indicazioni possono essere rinvenute in alcune pronunce adottate dal Garante (v. tra gli altri, la deliberazione 25 ottobre 2007 "Linee guida in materia di trattamento dei dati personali della clientela in ambito bancario", doc. web n. 1457247; provv. 17 luglio 2008 in tema di "accesso ai dati personali del de cuius", doc. web n. 1541439), ove sono indicati come "dati bancari", tra gli altri, quelli contenuti negli estratti conto, quelli afferenti alle movimentazioni bancarie, le informazioni relative alle operazioni attive e passive effettuate sul conto corrente del cliente, nonche' le operazioni richieste dal cliente nell'ambito di prestazioni ed attivita' connesse ai rapporti contrattuali. 1.2. Ambito soggettivo di applicazione del provvedimento. Il provvedimento trova applicazione nei confronti delle banche, incluse quelle facenti parte di gruppi, e delle societa' che appartengono agli stessi gruppi, anche se diverse dalle banche, qualora i relativi "incaricati", per il tipo di attivita' loro richiesta, accedano ad informazioni in grado di rivelare lo stato patrimoniale e contabile del cliente. Pertanto, si chiarisce che laddove nel provvedimento n. 192/2011 viene utilizzato il termine "dipendenti", lo stesso dev'essere interpretato alla stregua di "incaricati del trattamento" (art. 4, comma 1, lett. h) del Codice). Le misure in questione, inoltre, debbono essere osservate pure dalle societa' che operano in outsourcing - anche quando non appartengono al gruppo bancario - allorche' l'attivita' esternalizzata sia connessa all'esecuzione di rapporti contrattuali (intercorrenti tra banca e cliente) e richieda l'utilizzo di funzioni applicative a supporto dell'operativita' bancaria. In questa ottica, invece, debbono ritenersi esclusi dall'ambito di applicazione del provvedimento i soggetti che, come le c.d. banche depositarie, hanno il compito di custodire gli strumenti finanziari e le disponibilita' liquide di un fondo comune di investimento (societa' di gestione del risparmio-SGR): in tal caso, infatti, e' la stessa SGR ad essere cliente della banca depositaria, la quale, non effettuando un trattamento dei dati bancari del singolo cliente, non ha la possibilita' di conoscere lo stato economico e patrimoniale del medesimo. Analogamente, non sono soggette a tracciamento le attivita' effettuate dalle societa' di assicurazione - ancorche' facenti parte del gruppo bancario - purche' le operazioni di trattamento poste in essere dai relativi incaricati non comportino l'accesso ai dati bancari dei clienti. 2. Rapporti tra il provvedimento n. 192/2011 e il provvedimento sugli "amministratori di sistema". In riferimento al rapporto intercorrente tra il provvedimento n. 192/2011 e quello relativo a "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", adottato dal Garante in data 27 novembre 2008, si chiarisce che quest'ultimo non ha introdotto obblighi di tracciamento delle operazioni compiute da coloro che rivestono tale funzione, essendosi limitato a prescrivere la tenuta dei log di accesso ai sistemi (ovvero i log del sistema di autenticazione informatica) garantendo requisiti di integrita' e conservazione, lasciati - al di la' di indicazioni minime - alla valutazione dei singoli titolari. Pertanto, non e' obiettivo del provvedimento n. 192/2011, rivolto alle banche, realizzare forme di controllo piu' dettagliato sull'operato degli amministratori di sistema nel settore bancario, in quanto gli obblighi di tracciamento devono essere riferiti ai soli addetti a funzioni applicative dei sistemi informativi. 3. Accesso massivo ai dati della clientela. In caso di accesso massivo ai dati della clientela, si chiarisce che il trattamento deve riguardare i dati relativi all'incaricato che ha effettuato la query, la data, l'ora e il dettaglio della relativa richiesta; inoltre, dal dettaglio di quest'ultima deve risultare possibile verificare se la posizione di un cliente sia stata oggetto di attenzione nell'ambito di una query che abbia prodotto risultati riferibili a piu' soggetti o a piu' rapporti. 4. Richiesta di proroga. Il provvedimento n. 192/2011, anche in adesione alle richieste avanzate dagli operatori di settore, ha fissato per l'adeguamento alle misure prescritte il termine di 30 mesi dalla data di pubblicazione dello stesso sulla Gazzetta Ufficiale, avvenuta il 3 giugno 2011 (G.U. n. 127 del 3 giugno 2011). Successivamente, con note dell'11 dicembre 2012 e 29 aprile 2013, ABI ha chiesto a questa Autorita' di "valutare l'opportunita' di prorogare il termine per l'adeguamento alle misure "necessarie" dettate dal provvedimento, fissandolo al 3 dicembre 2014". A sostegno di tale richiesta, e' stato rappresentato che l'attuazione di tali misure si sarebbe rivelata piu' complessa del previsto, anche in ragione delle incertezze interpretative che avrebbero impedito di pervenire ad una "corretta e sostenibile implementazione" del provvedimento n. 192/2011. Al riguardo, nel prendere atto delle riferite circostanze e, segnatamente, delle rappresentate, obiettive difficolta' degli operatori ad ultimare l'implementazione delle complesse misure imposte, si ritiene di poter accogliere la richiesta di proroga avanzata da ABI, differendo al 3 giugno 2014 il termine precedentemente fissato al 3 dicembre 2013. L'entita' di tale differimento, del resto, non pregiudica il raggiungimento in tempi brevi della piena tutela dei diritti degli interessati e, al contempo, la realizzazione del livello di sicurezza delle informazioni bancarie che l'implementazione del sistema e' volta a garantire. Cio' premesso, IL GARANTE - ai sensi dell'art. 154, comma 1, lett. h) del Codice, stabilisce che nell'implementazione delle misure indicate nel provvedimento del 12 maggio 2011, i titolari del trattamento tengano conto delle indicazioni fornite con il presente provvedimento (punti 1.1; 1.2; 2; 3); - ai sensi dell'art. 154, comma 1, lett. c) del Codice, a parziale modifica del provvedimento n. 192/2011, dispone di prorogare al 3 giugno 2014 il termine precedentemente fissato per completare l'attuazione delle prescrizioni indicate al punto 1. del provvedimento stesso (punto 4). Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 18 luglio 2013 Il Presidente e relatore: Soro Il segretario generale: Busia