L’accesso a un numero rilevante di conti correnti dei clienti di una banca è un argomento di stretta attualità. Quando è lecito e quando viola la privacy? Regole e misure di controllo per prevenire gli accessi indebiti
Il settore bancario è fortemente regolamentato, ed esistono norme che disciplinano diversi aspetti. Prendiamo in esame l’accesso ai dati dei clienti dell’intera banca. Per quale motivo un dipendente di una filiale dovrebbe avere accesso ai dati di tutti i clienti della banca? Tale accesso è necessario per rispettare alcune normative. Tuttavia, questo tipo di accesso si limita ai dati anagrafici del cliente e non si estende ad altre informazioni, quali potrebbero essere quelle contenute in un rapporto di conto corrente. Quindi, è legittimo e necessario che un dipendente possa accedere all’elenco completo dei clienti della banca, ma è ben diverso il caso in cui lo stesso dipendente possa accedere ai conti correnti di tutti i clienti.
In questo contesto, entra in gioco un requisito specifico previsto dal GDPR: l’articolo 25.2 stabilisce infatti il principio di minimizzazione, secondo cui l’accesso ai dati deve essere limitato al minimo necessario. Ciò significa che l’accesso ai dati estesi dei clienti deve essere ristretto, per esempio, ai soli clienti della filiale in cui opera il dipendente.
Passiamo ora all’aspetto del controllo dell’attività svolta dai dipendenti della banca. Già nel 2011, l’Autorità Garante italiana aveva emanato un provvedimento denominato Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie, che regolamentava l’accesso ai dati bancari. Prima di addentrarci nei contenuti del provvedimento, è importante comprendere due concetti fondamentali: l’accesso legittimo e l’accesso lecito ai dati personali.
Un accesso è legittimo quando chi vi accede ha le autorizzazioni tecniche o organizzative necessarie per farlo. Un accesso è lecito quando, oltre a essere legittimo, è giustificato da un’effettiva necessità. Consideriamo un esempio concreto: se un dipendente di una banca ha la possibilità tecnica di accedere ai dati dei conti correnti di tutti i clienti, questo legittima il suo accesso. Se il dipendente vi accede per ragioni legate allo svolgimento del proprio lavoro, l’accesso è anche lecito. Se invece accede a questi dati per curiosità personale, l’accesso è legittimo ma non lecito. Un accesso illecito configura una violazione di dati personali, un cosiddetto data breach, come previsto dalla definizione contenuta nell’articolo 4 del GDPR.
Per verificare che i dipendenti autorizzati rispettino le normative nell’accesso ai dati bancari, alle banche è richiesto di implementare misure tecniche e organizzative, tra cui la registrazione di tutte le operazioni sui dati. Queste registrazioni includono informazioni come data, ora, soggetto che ha effettuato l’operazione, dati a cui ha avuto accesso. La registrazione riguarda sia le operazioni dispositive che le semplici consultazioni.
Tuttavia, la registrazione dei log non è sufficiente. La banca deve predisporre meccanismi di allerta per individuare situazioni anomale quali per esempio: accessi fuori orario, accessi a un numero rilevante di dati, accessi a dati di clienti di altre filiali. Dal punto di vista normativo, quindi, la materia è ampiamente regolamentata. Cosa succede se queste normative sono violate?
Esistono due tipologie di conseguenze, una è di natura sanzionatoria, l’altra di natura risarcitoria. Per quanto attiene l’aspetto sanzionatorio questo è di competenza dell’Autorità Garante, mentre per quanto riguarda l’aspetto risarcitorio il GDPR prevede, all’articolo 82, che chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Giancarlo Butti Comitato Scientifico CLUSIT
