Approfittiamo della comunicazione aziendale odierna (qui il bollettino di Compliance sulle operazioni personali) per ricordare ai Colleghi la necessità di porre molta attenzione rispetto alle regole che governano l’operato dei Dipendenti del Gruppo.
In particolare, oltre a quelle relative alle operazioni personali richiamate nel bollettino e quelle realtive all’operatività professionale descritte nelle varie policy e manuali opeativi, è molto importantde non sottovalutare le questioni relative alla Privacy dei Clienti. Purtroppo una delle conseguenze della progessiva distorsione culturale che ci spinge sempre di più a considerarci come una sorta di lavoratori semi-autonomi responsabili in prima persona dei budget e non – come invece è – della corretta esecuzione delle propie mansioni, comporta anche gravi rischi disciplinari.
Una delle distorsioni più frequenti è quella di considerare i Clienti come se fossero “propri”, per il semplice fatto che hanno il conto presso la filiale in cui operiamo, oppure perché sono assegnati al nostro portafoglio. In realtà i Clienti sono e restano Clienti della Banca in quanto tale, e le autorizzazioni alla gestione dei loro dati è fornita (quando lo è) alla Banca e non direttamente al singolo Collega. Questo significa concretamente che i Colleghi NON sono autorizzati a interrogazioni estemporanee sui Conti o sulle Carte, o sui Depositi Aministrati o su qualsiasi altro archivio aziendale che contenga dati dei Clienti. E questo né per consultazioni e verifiche di movimentazione se non espressamente richieste dai titolari dei rapporti o da motivate esigenze di controllo dell’operatività in relazione alla gestione del rischio, né per indagini di marketing “fai da te”, per le quali devono invece essere utilizzati gli strumenti aziendali preposti e per i quali sono appunto state raccolte preventivamente le autorizzazioni alla gestione dei dati.
La frase “Nessun Collega è mai stato sanzionato per non aver raggiunto il budget, molti lo sono stati (e anche pesantemente) per aver violato regole operative o la privacy” non è un frusto slogan sindacale, ma è la fedele rappresentazione della realtà quotidiana, anche perché le norme sulla privacy discendono da leggi e regolamenti esterni sempre più minuziosi e pervasivi, in una correlata e crescente attenzione a questa tematica nel sentire comune della cittadinanza.
Vi raccomandiamo anche la periodica consultazione delle nostre Guide relative ai rischi disciplinari e patrimoniali connessi alla nostra attività professionale:
RESPONSABILITÀ DISCIPLINARE E PATRIMONIALE
.
Nei giorni scorsi è stato sottoscritto il nuovo Accordo Ruoli Professionali per la Filiale Digitale.
A distanza di due mesi dalle ultime notizie sui Lavoratori Misti, non solo l’azienda non dà cenno di voler ripristinare il diritto alla trasformazione per gli assunti a partire da febbraio 2023, ma inventa nuovi modi per complicare ulteriormente la vita a tutti i colleghi con Contratto Misto. Ha infatti deciso di collegare il sistema di incentivazione per la parte autonoma – cosiddetti KPI – a tre nuovi indicatori, tra i quali non passa inosservato quello per cui almeno il 15% dei clienti in portafoglio deve possedere almeno un prodotto in ognuno dei tre ambiti previsti da cross selling: investimento – transazionale – assicurativo.
La nostra esperta Marianna Broczky ha aggiornato la 
La nostra esperta Marianna Broczky ha completamente rivisitato la 
Il nostro esperto Francesco Mesiano ha aggiornato la 
La nostra esperta Maria Adele Mezzanotte ha aggiornato la 
Nei giorni scorsi è stato sottoscritto il nuovo Accordo Evoluzione del Lavoro.
Assegno Unico Figli:
Potremmo sapere esattamente quali sono le interrogazioni che NON dobbiamo utilizzare?
Ovviamente NON esiste un elenco al tempo stesso puntuale ed esaustivo di tutti i comportamenti in violazione della privacy che esistono e quindi non devono essere messi in atto.
Un primo discrimine – del tutto oggettivo – per catalogare i comportamenti è la provenienza della richiesta di un’inquiry: sono lecite tutte le richieste che provengono in modo espresso e certificato dal titolare del rapporto di conto e non sono lecite tutte le richiesta che provengono da chiunque non sia titolare di quel rapporto di conto, indipendentemente da quale sia la relazione o gli interessi in corso. Non possono richiedere informazioni familiari, parenti, amici, creditori, debitori e nessun altro soggetto per qualsiasi motivo.
Un altro fondamentale discrimine riguarda le finalità (che ovviamente per essere lecite devono sempre ed esclusivamente riguardare aspetti professionali ed essere svolte nell’interesse del cliente) e gli strumenti messi in campo per acquisire informazioni sulle attività di conto e finanziarie dei clienti
Quello che i colleghi non possono fare sono interrogazioni sulle tipologie di spese delle carte di credito, oppure dei bancomat. O ancora ripetuti monitoraggi dell’andamento del conto. O ricerca di specifiche operazioni senza diretta richiesta del titolare. Insomma qualsiasi attività di monitoraggio diretto tramite inquiry (e quindi non la consultazione degli strumenti su ABC e altri strumenti aziendali dedicati alla consulenza che raccolgono, elaborano e forniscono dati la cui gestione è stata esplicitamente autorizzata dai clienti tramite le liberatorie privacy) che possa collegarsi o a un interesse personale o alle creazione di campagne “fai da te” di collocamento prodotti. Ovviamente l’accesso alla situazione degli investimenti del cliente nel proprio portafoglio è consentito, ma al solo scopo di formulare specifiche e mirate proposte di investimento / disinvestimento, con l’esclusione di qualsiasi altra finalità, compresa la raccolta / conservazione di “dati” da utilizzare in qualsiasi modo al di fuori delle strumentazioni informatiche ufficiali aziendali.
La domanda di Giuseppina offre lo spunto per riflettere sull’impostazione che il legislatore – europeo e nazionale – ha adottato per regolamentare ambiti molto diversi tra loro, ma accomunati da una stessa visione della protezione.
Parlo della protezione dell’ambiente, dei lavoratori e dei dati personali.
L’impostazione adottata dalle normative adottate in un lontano passato era del tipo prescrittivo, dove la norma definiva esattamente l’esatta natura e quantità della misura di protezione, ovvero cosa era necessario fare e come per mettersi in regola.
Un esempio di normativa prescrittiva poteva essere: “il titolare del trattamento deve conservare i dati personali sotto una campana di vetro dello spessore di ter centimetri e alta tre metri”.
Al contrario, l’impostazione adottata attualmente è del tipo prestazionale, dove la normativa definisce la prestazione da raggiungere, lasciando libero il titolare del trattamento di adottare le misure che preferisce in termini di qualità e quantità delle stesse.
Un esempio di normativa prestazionale può essere il seguente: “il titolare del trattamento deve adottare le misure di protezione dei dati adeguate alla natura dei dati trattati, alla finalità e al rischio di danno che essi possono creare ove diffusi senza il consenso dell’interessato”.
Tanto il GDPR, ovvero il Regolamento 2016/679/UE, quanto il suo decreto legislativo di recepimento in Italia, il D.Lgs. 101/2018, che riforma la previgente normativa, il D.Lgs. 196/2003, senza di fatto abrogarlo, ma solo modificandone i contenuti, presuppongono un approccio basato sulla prestazione e non più sulla prescrizione normativa.
Questa affermazione è vera però solo in parte, poiché il corpus normativo è composto, oltre che dalle norme citate, aventi il rango di norma primaria, anche da una serie di provvedimenti del Garante per la Protezione dei Dati Personali – autorità di vigilanza italiana in materia -, i quali regolamenti hanno a tratti ancora una natura prescrittiva.
Per rispondere infine alla domanda di Giuseppina: non esiste una lista di trattamenti preclusi al titolare del trattamento e agli incaricati che agiscono per suo conto.
È necessario poi precisare con chiarezza che la normativa sul trattamento dei dati personali ha come campo di applicazione solo le persone fisiche e non le persone giuridiche. Perciò un cliente persona giuridica non gode della protezione offerta da tale normativa, ma un cliente persona fisica sì.
Fatto questo distinguo, per stabilire la legittimità di un trattamento è sempre necessario individuare la base giuridica del trattamento, ovvero quale sia l’istituto giuridico che consenta il trattamento dei dati da parte del titolare (contratto, consenso, legittimo interesse, etc.) , la finalità del trattamento, la tipologia di dati personali trattati, se il trattamento avvenga su larga scala o meno.
Spesso la base giuridica del trattamento è un legittimo interesse da parte della banca, base giuridica che per alcuni trattamenti e alcune finalità non richiede alcun consenso dell’interessato, ma solo l’aver avuto a suo tempo l’informativa da parte del titolare del trattamento.
Altro dilemma spesso frainteso tra i colleghi è quello di stabilire se per un certo trattamento occorra o meno il consenso reso in forma scritta dall’interessato, oppure se basti avergli dato previamente una corretta informativa, e se anche di quest’attività sia necessario tenere traccia scritta.
L’attuale normativa non prevede che l’informativa sia data in forma scritta e neppure che la raccolta del consenso sia ottenuta in forma scritta, essendo la forma di raccolta dell’una o dell’altra evidenza una scelta libera del titolare del trattamento.
In conclusione, senza dilungarsi sui principi e sui dettagli previsti dall’attuale normativa di copertura dell’ambito “trattamento dei dati personali”, posso consigliare a Giuseppina che è necessario conoscere quali siano le scelte aziendali di strategia organizzativa per gestire la complessità del fenomeno e conformarsi ad essa, ben sapendo quali siano i limiti (ampi) fissati dalla norma e i limiti (più stretti e discrezionali) fissati dall’azienda.
In carenza di indicazioni aziendali, è opportuno che ogni trattamento di dati personali sia svolto solo per una comprovata necessità lavorativa e non per curiosità personale.