Con segnalazione inviata al Garante Privacy, un dipendente pubblico ha lamentato che detta società, in occasione dell’espletamento di alcune operazioni di verifica previste dalla normativa in materia di antiriciclaggio, avesse effettuato un indebito accesso ai suoi dati personali.

Il dipendente si era recato presso un ufficio postale per effettuare, per conto di un ente comunale, un versamento poco superiore a 5.000 euro su un conto corrente intestato all’Inps, per procedere all’acquisto di buoni lavoro.

In tale occasione l’operatore di sportello di Poste Italiane s.p.a aveva aperto una procedura informatica volta a verificare ed analizzare ogni rapporto che costui aveva, come persona privata, con Poste Italiane s.p.a.

A detta del segnalante, tali verifiche avevano dato luogo ad una “palese intromissione” nella sua sfera di riservatezza, attesa non solo la loro estraneità rispetto all’operazione richiesta, inerente soltanto al Comune, ma anche in ragione dell’avvenuta documentazione dei poteri rappresentativi conferitigli.

Da ciò la richiesta d’intervento dell’Autorità per “ripristinare la necessaria legalità“.

Poste Italiane s.p.a. ha fatto pervenire le proprie osservazioni sulla vicenda, rappresentando di aver predisposto, per tutte le operazioni di importo superiore a 5.000 euro, un sistema di controllo, non solo dell’effettivo titolare del rapporto, ma anche di colui che intervenga quale “mero esecutore di un’operazione anche occasionale”.

L’ Autorità ha dichiarato l’illiceità del trattamento dei dati personali del segnalante per i seguenti motivi: “la normativa in materia di antiriciclaggio prevede che i soggetti destinatari delle relative disposizioni adottino idonei e appropriati sistemi e procedure, anche per dare corretta attuazione agli obblighi in tema di adeguata verifica della clientela (c.d. customer due diligence); tali misure, in ogni caso, debbono comunque rispettare le garanzie e le prescrizioni stabilite dalla normativa in materia di protezione dei dati personali e debbono anche risultare “proporzionate” al rischio di riciclaggio”.

Pertanto, alla luce del quadro normativo, fermo restando che la corretta identificazione degli utenti – ivi compresi i “semplici” esecutori materiali di operazioni occasionali effettuate per conto terzi- e la verifica della loro identità costituiscono obblighi ineludibili a carico dei soggetti tenuti alla relativa osservanza;“nondimeno, tali obblighi, devono essere concretamente assolti commisurando il relativo adempimento al grado di rischiosità associato al tipo di cliente, all’operazione che si intende effettuare, al rapporto avviato o alla prestazione professionale richiesta”.

L’Autorità ha inoltre prescritto a Poste Italiane s.p.a “di adottare opportune misure formative e tecnico-organizzative idonee a prevenire, nell’ambito dell’espletamento dei doverosi controlli richiesti dalla normativa in materia di antiriciclaggio, operazioni di trattamento dei dati personali dei clienti non conformi al criterio dell’ “approccio basato sul rischio“.

fonte: www.garanteprivacy.it