Skip to main content

IL BEL 'PAESONE' COSTRINGE IL GARANTE A METTERE DEI PALETTI ALL'ATTIVITA' DI INQUIRY SELVAGGIO IN AMBITO BANCARIO

Scorrendo il provvedimento del 12 maggio (prescrizioni in materia di circolazione delle informazioni in ambito bancario) e le motivazioni che hanno spinto l’Ufficio del Garante ad adottare un simile provvedimento, sembra di ritornare improvvisamente alla prima metà del secolo.
Precisamente, sembra di ritornare a quando le rivelazioni degli adolescenti nel segreto del confessionale venivano riferite ai genitori affinchè adottassero le opportune “contromisure” educative.
In una delle occasioni oggetto di reclamo al Garante, un cittadino (provvedimento del 28 maggio 2009) ha lamentato l'illecita comunicazione al proprio padre, di informazioni bancarie a sé riferite da parte della filiale di Intesa SanPaolo. Tale comunicazione sarebbe avvenuta a seguito della convocazione del padre dell’interessato presso l'istituto bancario – per il tramite della polizia municipale del comune di residenza –, il quale, "messo a conoscenza di una grave situazione debitoria in capo al figlio, con tanto di indicazioni di cifre di scoperto e del dettaglio di tutti i movimenti del CC in oggetto", provvedeva a pagare i titoli in scadenza.
Per non parlare dell’uso (se vogliamo ancora più grave) che in alcuni casi è stato fatto delle informazioni assunte con indebito accesso e poi utilizzate per scopi personali.
Sul punto, il Garante, nel provvedimento, relaziona che: “Con istanze rivolte all'Autorità, numerosi interessati hanno dichiarato di essere venuti a conoscenza che dati personali a loro riferiti (in specie, informazioni bancarie), conservati nei data base di alcune banche con le quali avevano instaurato rapporti contrattuali, erano stati oggetto di indebito accesso, verosimilmente da parte di alcuni dipendenti, i quali, successivamente, li avrebbero comunicati a terzi che li avrebbero utilizzati per scopi personali e, segnatamente, in vista di una loro produzione in giudizio (di norma, in separazioni giudiziali e procedure esecutive, in particolare, in pignoramenti presso terzi)”.
Questo quadro ha indotto il Garante a procedere con un approfondimento, consistente nell’allestimento di un questionario e nella sua sottoposizione a soggetti appartenenti all’ambito bancario (alla rilevazione hanno aderito 340 banche). Dall’esito dell’approfondimento è emerso che l’atteggiamento delle banche in merito alla circolazione delle informazioni non è omogeneo.
Nel provvedimento, il Garante ha indicato una serie di misure riportate, sinteticamente, nella tabella che segue.


Tra le misure di maggior interesse si collocano le due forme di “comunicazione” dell’avvenuta violazione: per la precisione “informazioni all’interessato” e la “comunicazione al Garante”.
In particolare, scopo primario dell’informativa all’interessato è quello di evitare l’amplificazione delle conseguenze derivanti dall’avvenuta violazione.
E’ sempre crescente la diffusione di situazioni in cui una tempestiva comunicazione può risultare particolarmente efficace, anche in ambiti diversi da quello bancario. Si pensi ai danni potenzialmente perpetrati ai consumatori per via del ritardo con cui nel settore entertainment, Sony ha comunicato l’avvenuta violazione del Playstation Network.
Sempre nell’ambito del punto 5 del provvedimento, non è felice la scelta di utilizzare da un lato la locuzione “senza ritardo” e dall’altro l’avverbio “tempestivamente” suscitando dubbi sul perché sia stata adottata questa diversa formulazione.
Tuttavia i due istituti hanno ruoli e scopi differenti, e diversa è la soglia stessa di attivazione della misura:
• una va adottata innanzi a qualsiasi trattamento illecito noto alla banca,
• l’altra difronte ad accertate violazioni “di particolare rilevanza per la qualità o la quantità di dati coinvolti e/o il numero di clienti interessati, dalle quali derivino la distruzione, la perdita, la modifica, la rivelazione non autorizzata dei dati della clientela”.
Infine, è bene evidenziare come il provvedimento, pronunciato ex art. 154, comma 1, lett. c), distingua tra misure necessarie e misure opportune. Ed è proprio in questa parte del provvedimento che l’estensore riduce la portata delle misure relative ad “informazioni all’interessato” e “comunicazione al Garante”, sottolineandone il carattere dell’opportunità.
Per concludere, malgrado quanto sostenuto nel corso di questa breve nota al provvedimento, è giusto evidenziare come esso metta a nudo le debolezze e il malcostume di un sistema che, nell’immaginario collettivo, veniva ritenuto santuario della riservatezza. Inoltre vengono, opportunamente, tracciate alcune misure finalizzate a ridurre l’eterogeneità nell’approccio alle problematiche in oggetto e viene favorito un incremento del livello di controllo rispetto ad interrogazioni del sistema informativo che, fino ad oggi, passavano inosservate agli strumenti di monitoraggio, in uso in ambito bancario.
Enhanced by Zemanta

Comments

Popular posts from this blog

China data protection framework evolution

Il 1 giugno 2012 il MIIT (Ministro dell'Industria e dell'Information Technology) ha evidenziato l'adozione di un aggiornamento normativo, attualmente sottoposto a pubblica consultazione (in scadenza il 6 luglio 2012), che attiene la  raccolta e l'alterazione delle informazioni personali degli utenti. In esso  viene dato un giro di vite ad alcuni abusi perpetrati da parte dei produttori di telefonini (o comunque di mobile device) e degli Online Content Providers. Il provvedimento parte dalla constatazione che, accanto alla crescente diffusione di mobile device, è invalsa l'abusiva attività di commercio delle informazioni che riguardano l'utente finale, abbinata alla pre-installazione (già dalla "fabbrica") di "malware designed to siphon the users' mobile phone balance overtime". L'emendamento proibisce ai destinatari (manufacturer e OCP) di pre-installare ovvero fornire altrimenti agli utenti, qualsiasi applicazione che: - c...

Peppermint 2 ... Logistep SA raccoglie, segretamente, gli IP degli user delle reti p2p

Il caso è nato dal fatto che, su incarico di alcune case discografiche (e non solo) Logistep SA ha iniziato ad acquisire, nell'ambito delle reti p2p, gli indirizzi IP degli user coinvolti nell'attività di file sharing . In seguito alla raccolta di queste informazioni venivano avviati procedimenti penali finalizzati alla conoscenza degli estremi identificativi degli user stessi (in virtù del diritto alla consultazione degli atti) e alla conseguente richiesta di risarcimento in ambito civilistico. Conseguendone l'elusione del segreto delle comunicazioni, applicabile senza eccezioni nel diritto privato, e che può essere sciolto soltanto nell'ambito di un procedimento penale. L'IFPDT (l'Autorità per la protezione dei dati nella Confederazione Elvetica) giudicando questa pratica abusiva, in particolare perché l'utente interessato non è a conoscenza del trattamento di dati personali, come invece esige la legge sulla protezione dei dati, chiede in una raccomandazi...

Il Garante si pronuncia su telecomunicazioni e profilazione

Dall’attività ispettiva dell’Autorità sono emerse attività di profilazione prive dei presupposti di legge. Nulla di nuovo sotto il cielo, noi consumatori abbiamo sempre saputo che determinate telefonate, magari accompagnate da improvvise interruzioni della comunicazione nel momento in cui chiedevamo l’origine dei dati trattati dall’operatore, sottendevano che i nostri dati subissero trattamenti – non consentiti – anche molto tempo dopo aver cambiato operatore tlc. In parte noi consumatori dobbiamo assumerci le nostre responsabilità, diciamo la verità è piuttosto raro che un utente eserciti i diritti previsti dall’art. 7, comma 3, lettere b) e c) del codice privacy, ossia: - la richiesta di “cancellazione o trasformazione in forma anonima dei dati trattati in violazione di legge”; - l'attestazione che l’operazione di “cancellazione o trasformazione in forma anonima” sia stata portata a conoscenza, anche per quanto riguarda il contenuto, “di coloro ai quali i dati sono stati comunica...