Con il provv. 202 del 26 maggio 2022 l’Autorità Garante per la protezione dei dati personali ha irrogato una sanzione per centomila euro nei confronti di un istituto di credito in seguito ad un reclamo riguardante la comunicazione dei dati personali di una correntista a terzi non autorizzati, soffermandosi sulla valutazione dell’efficacia delle istruzioni fornite al personale che ha accesso ai dati e svolge operazioni sugli stessi.
I fatti oggetto del procedimento riguardano l’invio di una copia di movimentazione del conto corrente al genitore dell’interessata, dovuta all’erronea convinzione da parte dell’operatore che lo stesso continuasse ad averne facoltà nonostante la maggiore età della figlia nonché la conoscenza personale dello stesso in quanto appartenente al personale in quiescenza dell’istituto bancario. La contestazione mossa dal Garante ha riguardato di conseguenza la violazione del principio di liceità in quanto la comunicazione è avvenuta in assenza di alcuna valida base giuridica, nonché del principio di integrità e riservatezza per aver reso accessibili i dati ad un soggetto non autorizzato.
Il mancato rispetto della procedura di controllo della validità dell’autorizzazione da parte del dipendente, consistito nel non aver svolto “una puntuale verifica dell’attualità di tale facoltà” di accesso, non ha consentito di valutare positivamente come argomento a difesa la buona fede in quanto può rilevare “come causa di esclusione della responsabilità, solo quando esso risulti inevitabile”. Inoltre, dal momento che un’analoga violazione di accesso non autorizzato da parte del personale si era già verificata ed era stata oggetto di un precedente provvedimento, il Garante ha ulteriormente rilevato che l’aver richiamato “le attività formative genericamente erogate” (ovverosia il piano di formazione interno in materia di protezione dei dati personali rivolto ai propri collaboratori) non può essere valutato come un comportamento in conformità al principio di accountability dal momento che non è stata comprovata l’adozione o l’avvio di “un’adeguata riflessione riguardo alle istruzioni fornite al personale in ordine alle richieste di accesso ai dati bancari”.
Elemento di particolare rilievo che emerge dal provvedimento è una “necessità di un supplemento di attenzione, da parte del titolare del trattamento, rispetto al corretto assolvimento delle istruzioni da parte delle persone autorizzate al trattamento dei dati”. Nel caso specifico, in ragione del contesto storico e delle precedenti violazioni, dovendo prestare particolare attenzione alle richieste di accesso ai dati provenienti da personale in servizio o che aveva prestato servizio presso l’istituto bancario. Guardando più in generale, nel dover prevedere una verifica di efficacia tanto delle istruzioni fornite (art. 29 GDPR) quanto delle politiche di attribuzione delle responsabilità, di sensibilizzazione e di formazione del personale (art. 39.1 lett. b) GDPR).
