Il 22 maggio scorso è stato sottoscritto tra UniCredit e le delegazioni di Gruppo delle scriventi Organizzazioni Sindacali, una intesa che dà attuazione all’Accordo Quadro Nazionale di Settore sul Provvedimento n° 192/2011 del Garante per la protezione dei dati personali, che prescrive alle Banche e a Poste Italiane una serie di misure riguardo la circolazione delle informazioni dei clienti e alla loro tracciabilità.
In sintesi, il Garante ha disposto che tutte le operazioni di accesso ai dati dei clienti, sia per movimentazione che per semplice consultazione, dovranno essere tracciate e che sia sempre identificabile l’operatore che esegue l’accesso.
Tale disposizione poteva comportare, di fatto, la possibilità di un controllo a distanza dei lavoratori e, come tale, richiede un’apposita regolamentazione per tutelare i dipendenti da ogni possibile abuso ai sensi dell’articolo 4 della L. 300/70 – Statuto dei Lavoratori.
Lo sforzo delle Organizzazioni Sindacali, pertanto, è stato quello, nel rispetto della normativa prescritta dal Garante, di evitare qualsivoglia forma di controllo a distanza delle lavoratrici/lavoratori coinvolti.
Quindi l’accordo è stato sottoscritto al solo fine di ottemperare a quanto richiesto dal Provvedimento del Garante in tema di tracciamento delle operazioni bancarie – sia di tipo dispositivo che di semplice visualizzazione – effettuate utilizzando informazioni concernenti la situazione economica e patrimoniale del cliente.
Il Provvedimento entrerà in vigore a partire dal 3 giugno prossimo e riguarda i rapporti relativi alle persone fisiche.
In sintesi è stato stabilito che:
– L’Accordo si applica a tutte le Unità Produttive delle aziende del Gruppo UniCredit del perimetro Italia applicanti il CCNL ABI, soggette alle disposizioni del Provvedimento del Garante;
– I sistemi informativi sono impostati, ai fini della “registrazione dettagliata, in un apposito log delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari” da tutti gli incaricati del trattamento;
– In particolare i file di log tracceranno per ogni operazione di accesso ai dati bancari effettuata da un incaricato le seguenti informazioni: * il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso;
* la data e l’ora di esecuzione;
* il codice della postazione di lavoro utilizzata;
* il codice del cliente interessato dall’operazione di accesso ai dati bancari da parte dell’incaricato;
* la tipologia di rapporto contrattuale del cliente a cui si riferisce l’operazione effettuata;
* ulteriori informazioni utili solo ad identificare l’operazione(che saranno portate a conoscenza delle lavoratrici/lavoratori)
– I log di tracciamento delle operazione di inquiry saranno conservati per un periodo di 24 mesi dalla data di registrazione dell’operazione, fatte salve esigenze di forza maggiore;
– Le specifiche tecniche e organizzative approntate e oggetto dell’accordo sottoscritto sono uniformi per tutte le aziende del Gruppo e saranno oggetto di confronto successivo in caso di significative variazioni;
– Come espressamente richiesto dal Garante, sono attivati “specifici alert” finalizzati ad individuare “comportamenti anomali o a rischio” relativi alle operazione di inquiry eseguite dagli incaricati del trattamento;
– La gestione dei dati bancari è oggetto, con cadenza almeno annuale, di un’attività di controllo interno da parte dei titolari del trattamento, in modo che sia verificata costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
– L’attività di controllo è demandata ad una unità organizzativa o a personale diversi rispetto al trattamento dei dati bancari dei clienti;
– I controlli comprendono anche verifiche a posteriori, a campione o a seguito di allarme derivante da sistemi alerting e di anomaly detection;
– Sono altresì previste verifiche periodiche sulla corretta conservazione dei file di log per il periodo” sopra previsto di 24 mesi;
– I lavoratori tempo per tempo incaricati saranno destinatari di apposita informativa in merito alle procedure adottate ed ai connessi adempimenti ai sensi dell’art. 13 del d.lgs. n. 196 del 30 giugno 2003. Tale informativa viene portata a conoscenza di tutti i lavoratori. Inoltre nell’ambito di quanto contrattualmente previsto, possono svolgersi, ove necessario, specifiche attività formative retribuite. In particolare nella prima fase di attuazione del Provvedimento:
> verrà pubblicata o trasmessa una news con una accurata informativa sul Provvedimento e sugli strumenti utilizzati
> verrà messo a disposizione di tutto il personale il modulo formativo a fruizione obbligatoria retribuita “Privacy e trattamento dei dati” contenente una specifica sezione sulle prescrizioni e sugli adempimenti del Provvedimento del Garante.
E’ stato inoltre previsto che verranno effettuati, d’intesa fra le parti, incontri di verifica a livello di Gruppo, almeno annuali, sull’applicazione di quanto contenuto nell’accordo e che in tali occasioni verranno forniti i dati aggregati a livello di azienda (e per UniCredit Spa a livello di Region) in merito al numero e alla tipologia di controlli. Sulla base di tali dati, analoghi incontri potranno essere effettuati anche nelle singole aziende (e per UniCredit Spa a livello di Region).
Il primo incontro a livello di Gruppo si terrà entro il 15 ottobre prossimo.
Milano – 30 maggio 2014
LE SEGRETERIE DI GRUPPO UNICREDIT
Dircredito Fabi Fiba-Cisl Fisac-Cgil Sinfub Ugl-Credito Uilca