Articoli

TEST GDPR per settore bancario e finanziario: tutti bocciati

Avv. Vincenzo Colarocco

ImmuniWeb ha condotto una ricerca lo scorso 10 luglio sulla sicurezza dei dati gestiti dalle nostre banche. I risultati? Per nulla rassicuranti: il 97% delle più grandi banche sono a rischio di furto di dati online, e il 20% delle app di mobile banking contiene almeno una vulnerabilità di sicurezza ad alto rischio. In particolare tra le app esaminate, 85 non hanno superato il test di conformità al GDPR, 25 non sono protette da firewall, e 7 contengono vulnerabilità note e sfruttabili dagli hacker.

La situazione non migliora guardando al settore del Fintech. Immuniweb ha rivelato i dati in un nuovo report emesso il 20 agosto mettendo in evidenza che il 100% delle aziende ha problemi di sicurezza, privacy e conformità relativi ad applicazioni web, API e sotto-domini abbandonati o dimenticati. In questo ambito sono stati rilevati 8 siti web principali e 64 sotto-domini con almeno una vulnerabilità di sicurezza divulgata pubblicamente e sfruttabile a medio o alto rischio. Anche con il mobile i dati sono sconcertanti: il 100% delle applicazioni mobili contiene almeno una vulnerabilità di sicurezza a rischio medio, il 97% presenta almeno due vulnerabilità a rischio medio o alto. Il 56% dei back-end di app mobili presenta gravi configurazioni errate o problemi di privacy relativi alla insufficiente protezione della sicurezza del server web.

Come far crescere la fiducia di investitori e risparmiatori se il livello di allerta e di pericolo raggiunge i massimi livelli, non solo per i dati personali? È chiaro, infatti, che hackerare l’home banking permetterebbe a terzi sconosciuti di compiere operazioni con i soldi degli investitori attraverso la gestione del conto bancario e di altri servizi finanziari.

Diritto d’accesso dei lavoratori e riservatezza aziendale: quali Limiti?

Avv. Vincenzo Colarocco

Con l’ordinanza n. 32533 del 14 dicembre 2018, la Suprema Corte di Cassazione, rigettando il ricorso promosso da una banca avverso una sentenza del Tribunale di Roma (confermativa di un precedente provvedimento reso dal Garante per la protezione dei dati personali), ha ribadito la sussistenza del diritto di accesso in favore del dipendente rispetto alla documentazione inerente ad un procedimento disciplinare cui il medesimo era stato sottoposto. In particolare, il dipendente in questione proponeva ricorso dinanzi al Garante Privacy ribadendo la richiesta (già formulata all’istituto di credito datore di lavoro) di ottenere due documenti elaborati dalla banca che, inevitabilmente, riportavano alcuni suoi dati personali. L’istante sosteneva che l’accesso a tali dati avrebbe trovato giustificazione nell’esigenza di esercitare il proprio diritto di difesa e di impugnazione avverso la sanzione irrogatagli. La Banca replicava di aver fornito al ricorrente tutte le informazioni necessarie, essendo le stesse riportate all’interno della lettera di contestazione trasmessagli, in più assumeva che i documenti oggetto di richiesta, oltre a contenere dati della società di uso strettamente interno (in quanto espressione del diritto, costituzionalmente garantito, di organizzare e gestire la propria attività), risultavano atti “endoprocedimentali” e, pertanto, attinenti solo al momento formativo della volontà datoriale, pertanto irrilevanti ai fini di esercizio dell’asserito diritto di difesa. Il Garante rilevava come a mente della versione del D. Lgs n. 196/2003 (“Codice Privacy”) ratione temporis applicabile, l’art. 8, comma 4 (ora abrogato dal D. Lgs. 101/2018), riconoscesse espressamente il carattere di dato personale dei c.d. “dati valutativi” (quelle informazioni personali che non hanno carattere oggettivo essendo relative a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo) e che, anche rispetto a questi ultimi, fosse possibile esercitare i diritti di cui all’art. 7 (anch’esso successivamente abrogato dal D. Lgs. 101/2018), compreso il diritto di accesso. L’Autorità precisava inoltre che il summenzionato diritto fosse esercitabile senza dover motivare la richiesta o dimostrare di dover acquisire i dati per difendere un diritto in giudizio. Dinanzi alle doglianze espresse dalla banca, gli Ermellini, rigettando il ricorso, precisano che il diritto di accesso non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dello stesso soggetto interessato, atteso che scopo della norma suddetta è garantire  la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati; tale diritto, pertanto, andrebbe garantito in ogni momento del rapporto lavorativo, dal momento che “la documentazione relativa alle vicende del rapporto di lavoro, imposta dalla legge (come per i libri paga e matricola), o prevista dall’organizzazione aziendale (tramite circolari interne), dà luogo alla formazione di documenti che formano oggetto di diritto di accesso”. Inoltre, dalla lettura del disposto normativo in tema di diritto di accesso non si evince alcuna specifica limitazione in ordine alle concrete finalità per le quali il diritto di accesso possa essere esercitato. Il diritto di accesso, quindi, ben può essere utilizzato dal dipendente per proprie finalità difensive.

Banche di credito cooperativo

Con il decreto legge 14 febbraio 2016 n. 18 sono state introdotte misure urgenti per la riforma delle banche di credito cooperativo. Il provvedimento prevede l’obbligo per le suddette banche di aderire ad un gruppo bancario cooperativo che abbia come capogruppo una societa per azioni con un patrimonio non inferiore ad 1 miliardo di euro.

Le banche di credito cooperativo che non intendano aderire ad un gruppo bancario potranno farlo a condizione che abbiano riserve pari ad almeno 200 milioni di Euro e che versino un’imposta straordinaria del 20% sulle riserve stesse. In tali ipotesi, tuttavia, le banche di credito cooperativo saranno tenute a deliberare entro 18 mesi la propria trasformazione in s.p.a.