ABI, Compliance in Banks 2011, resoconto sessione plenaria III - Come cambia il perimetro della Compliance

Testo rilasciato con licenza Creative Commons Attribuzione - Non commerciale 2.5 Italia.
I contenuti delle presentazioni e relazioni commentate nel testo sono di proprietà dei rispettivi relatori e/o società di appartenenza.

Nota: Tutte le presentazioni del Convegno sono disponibili nella Compliance Community di ABI, dove è possibile commentarli e confrontarsi sui temi trattati.

Elenco completo dei resoconti del convegno:

Il convegno "Compliance in Banks 2011" organizzato dall'Associazione Bancaria Italiana (ABI), ABIFormazione e ABIEventi dal titolo "Stato dell'arte e prospettive di evoluzione" ha avuto luogo il 10 e 11 novembre 2011 a Roma presso il palazzo Altieri, piazza del Gesù 49.
I lavori sono stati organizzata in più sessioni consecutive.

Sessione plenaria III - Come cambia il perimetro della Compliance. Le modifiche del quadro normativo

Chairman: Laura Zaccaria, Responsabile Direzione Norme e Tributi, ABI
Interventi:

  • "Il perimetro della Funzione Compliance: criteri di definizione e il coinvolgimento in materie non relative alla clientela", Crescenzo Limongelli, Area Compliance e Customer Care, Banca Monte dei Paschi di Siena
  • "I servizi di investimento: linee guida per la Funzione di Compliance", Paola Sassi, vicepresidente AICOM – Associazione Italiana Compliance, Responsabile Compliance, BNL BC e gruppo BNL
  • "La gestione del rischio di compliance alle norme antiriciclaggio: cosa cambia con la nuova Funzione Antiriciclaggio. Il caso delle BCC", Pierluigi Pluviano, Director, Nexen Business Consultants, Nicolò Nociforo, Responsabile Consulenza Normativa e Compliance, Federazione Toscana delle BCC
  • "La gestione delle norme Consob sulle parti correlate e delle nuove disposizioni Banca d'Italia sui soggetti collegati: il tema del controllo continuativo", Fabio Civale, Studio Legale Zitiello & Associati
  • "La gestione degli adempimenti in materia di privacy: sistemi di controllo e ruolo della Compliance alla luce delle ultime novità normative", Giovanni Guerra, Avvocato, Studio Legale Guerra

"Il perimetro della Funzione Compliance: criteri di definizione e il coinvolgimento in materie non relative alla clientela", Crescenzo Limongelli, Area Compliance e Customer Care, Banca Monte dei Paschi di Siena

(qui le slide dell'intervento in pdf dal sito www.compliance-community.it di ABI - solo per gli associati)

I temi affrontati da Limongelli sono stati:

  • Quadro normativo di riferimento
  • Funzione Compliance - Modello BMPS
  • Riflessi sul modello BMPS in relazione agli interventi della Vigilanza e all'esperienza maturata.

Per quanto riguarda un modello di Compliance efficace ed efficiente Limongelli ha ricordato che la Funzione di Compliance (FC), lungi dall'essere soltanto un centro di costo, deve essere considerata come produttiva di valore per l'azienda, posto che il rispetto delle norme e degli obblighi di informativa e trasparenza aumentano il "buon nome" della banca presso la clientela e, dunque, per tale via, la sua redditività.
Per quanto riguarda il perimetro normativo della Compliance, il Gruppo Montepaschi considera ad impatto rilevante le seguenti materie:

  • Trasparenza nei confronti dei clienti
  • Gestione dei conflitti di interesse
  • Disciplina a tutela dei consumatori
  • Servizi di Investimento
  • Antiriciclaggio.

Per le materie al di fuori del perimetro di riferimento, definite ad impatto ordinario, la responsabilità di presidio è assegnata in maniera diretta e univoca alle funzioni aziendali competenti sulla base della regolamentazione interna e delle specifiche direttive.
La mission della Funzione Compliance è individuare, mitigare e monitorare il compliance risk, inteso come rischio di non conformità a leggi, regolamenti, codici di autodisciplina, tutelando, altresì, la reputazione della Banca e la qualità dei servizi erogati alla clientela e assolvendo ai compiti attribuiti alla funzione antiriciclaggio.
Le principali responsabilità della Funzione sono:

  1. Compliance
  2. Customer Care
  3. Antiriciclaggio.

L'attuale modello prevede la seguente attribuzione di responsabilità in tema di conformità alla normativa:

  • Funzione Compliance cui sono assegnati compiti di governo del processo di compliance, anche mediante il coordinamento e l'indirizzo delle omologhe funzioni istituite presso le società controllate e la rete estera, di presidio sul perimetro normativo puntualmente identificato (le materie ad impatto rilevante), di valutazione dello stato di conformità e di consulenza e assistenza alle Organi di vertice.
  • Funzioni specialistiche che, nell'ambito della materie ordinarie, presidiano tematiche caratterizzate da particolare valenza specialistica in termini di complessità ed articolazione dei processi e da competenze tecnico-professionali specifiche.

"I servizi di investimento: linee guida per la Funzione di Compliance", Paola Sassi, vicepresidente AICOM – Associazione Italiana Compliance, Responsabile Compliance, BNL BC e gruppo BNL

(qui le slide dell'intervento in pdf dal sito www.compliance-community.it di ABI - solo per gli associati)

Paola Sassi ha strutturato il suo intervento in due parti:

  1. Obiettivi e struttura del documento
  2. Utilizzo delle "Linee Guida": un possibile approccio.

Per quanto riguarda l'obiettivo ed l'approccio progettuale, Sassi ha riepilogato le "finalità operative" delle linee guida:

  • formalizzare un quadro di riferimento per l'implementazione di un corretto processo di controllo di secondo livello in materia di servizi e di attività di investimento
  • consolidare le attuali prassi operative per la valutazione dei rischi di non conformità e le verifiche della funzione compliance
  • fornire un framework metodologico a supporto della predisposizione di strumenti e flussi informativi per l'attività di controllo della funzione compliance.

Per quanto riguarda invece le linee guida Sassi ha sottolineato che:

  • si tratta di un gruppo di lavoro associativo le cui posizioni sono frutto delle esperienze dei singoli partecipanti e non espressione dei singoli intermediari rappresentati
  • è una definizione di uno schema logico di sintesi e in grado di essere declinato sulla base delle peculiarità di business e dimensionali dei singoli intermediari secondo il principio di "proporzionalità"
  • nasce anche dal confronto ed allineamento con ASSIREVI per condivisione dell' impostazione e dei contenuti
  • ha ottenuto anche un confronto con Consob per una corretta definizione dei contenuti e per un'adeguata impostazione metodologica ed operativa.

Le linee guida si articolano in tre sezioni:

  1. Premessa - Descrizione della struttura del documento, degli ambiti di riferimento, della metodologia adottata richiamando una possibile applicazione pratica delle linee guida
  2. Diagnostici dei rischi di non conformità - Definizione del processo di compliance risk assessment in relazione alle singole aree tematiche riconducibili ai servizi ed attività di investimento con individuazione di requisiti normativi e presidi organizzativi target a supporto della valutazione del rischio di non conformità del processo adottato dall'intermediario
  3. Schede di controllo - Individuazione, per area tematica e singolo requisito normativo, di singole schede di dettaglio contenenti la descrizione delle verifiche in capo alla Funzione di Conformità.

La scheda di controllo rappresenta lo strumento per mezzo del quale si esplica l'attività di presidio sui servizi di investimento con riferimento a ciascun area tematica indicata nel diagnostico
Sassi è poi passata a un possibile approccio di utilizzo delle "Linee Guida".

Valutazione del rischio di non conformità per ciascun requisito normativo/presidio organizzativo target:

  • rischio inerente: valutazione impatto potenziale della mancata conformità sulla base del livello di copertura dei presidi organizzativi e procedurali esistenti
  • rischio residuo: valutazione tenuto conto dell'esistenza e dell'efficacia dei controlli di primo livello e/o altri fattori di mitigazione

Monitoraggio

  • Svolgimento nel continuo dei singoli controlli di conformità previsti dalle schede dedicate al fine di integrare le valutazioni risultanti dalla fase di risk assessment
  • I controlli svolti sono rappresentati da "monitoraggi a distanza" o da "verifiche in loco"
  • Per l'espletamento delle verifiche in loco (presso strutture di rete o anche su singoli processi di direzione centrale) la Compliance può avvalersi, sulla base di specifici accordi di servizio, di risorse e funzionalità dell'Internal Audit

Valutazione di sintesi e Action Plan

  • Assegnazione di un giudizio finale al livello di rischio di non conformità che integra la valutazione del rischio residuo in base agli esiti dei controlli di conformità
  • Definizione e programmazione degli interventi correttivi necessari alla riduzione dell'esposizione al rischio di non conformità
  • Predisposizione del reporting periodico (Compliance Report) dove sono riepilogati gli esiti del complessivo processo di compliance.

"La gestione del rischio di compliance alle norme antiriciclaggio: cosa cambia con la nuova Funzione Antiriciclaggio. Il caso delle BCC", Pierluigi Pluviano, Director, Nexen Business Consultants, Nicolò Nociforo, Responsabile Consulenza Normativa e Compliance, Federazione Toscana delle BCC

(qui le slide dell'intervento di Pluviano in pdf e qui le slide dell'intervento di Nociforo in pdf dal sito www.compliance-community.it di ABI - solo per gli associati)

Nella prima parte di quest'intervento ha parlato Pierluigi Pluviano, Director, Nexen Business Consultants, facendo una dotta sintesi dei temi rilevanti della Compliance.
Uno dei temi di maggiore dibattito in questi anni è stato quello del Perimetro della funzione. Il dibattito tuttavia ha osservato Pluviano non sembra averci portato molto lontano …
Conformità o conformismo? Si è poi chiesto Pluviamo. Il dubbio sorge osservando quanto si cerchi di avere indicazioni dai Regulator, si analizzino le parole dei Provvedimenti e si guardi all'esterno dell'intermediario, rispetto a un'attenta analisi dei propri rischi, delle relative priorità e della sensibilità dei Vertici aziendali.
Il percorso storico, ricorda Pluviano, parte dalla conformità (1500) e arriva alla Funzione (2007) e non viceversa.
La Funzione di conformità è uno degli strumenti attraverso i quali l'intermediario persegue la conformità.
Passando al tema del rapporto tra funzione Antiriciclaggio e funzione Compliance Pluviano osserva che il provvedimento in materia di Antiriciclaggio ha avuto un merito fondamentale: quello di chiarire che il percorso non è univocamente definito in termini di "progressivo presidio di tutte le norme", ma che i presidi possono essere diversi e devono esserlo quando il tema ha particolare
rilevanza per lo/gli intermediario/i.
Nelle sue conclusioni Pluviamo ha osservato che:

  • La disciplina antiriciclaggio dovrebbe uscire dal perimetro della funzione di Conformità.
  • La funzione Antiriciclaggio deve essere organizzata in modo simmetrico a quella Compliance, avendo di fatto responsabilità e compiti del tutto analoghi.
  • Dovrebbe essere garantita omogeneità nella definizione dei rischi e nell'impostazione e realizzazione dei Risk Assessment, nonché nel reporting al Vertice aziendale.
  • La costituzione di una unità indipendente appare una soluzione riservata a intermediari di grande dimensioni o una delle possibili soluzioni all'interno delle complesse articolazioni previste all'interno dei Gruppi, tra Capogruppo e Controllate.
  • L'incardinamento della funzione nell'ambito della Compliance favorisce omogeneità di indirizzo, coerenza metodologica (ad esempio nella definizione dei Compliance Test), nonché una più agevole predisposizione degli Accordi di servizio con la funzione di Internal Auditing.
  • Risulta nei fatti la soluzione "di continuità" che garantisce efficienza e flessibilità delle risorse dedicate alla conformità, soprattutto nelle realtà di piccole dimensioni, dove si pone eventualmente la questione dell'esternalizzazione.

Nella seconda parte dell’intervento è stata la volta di Nicolò Nociforo, Responsabile Consulenza Normativa e Compliance, Federazione Toscana delle BCC che ha illustrato i modelli organizzativi standard della Funzione di compliance della Federazione Toscana Bcc:
La Federazione offre un servizio di consulenza che comporta l’assistenza, anche  operativa, nel disegno del modello organizzativo e dei processi, funzionale alle specificità delle singole Banche.
Il servizio si estrinseca sia in interventi sulle singole Associate, sia nel rilascio di modelli standard, adattabili ai disegni organizzativi delle Banche.
Tale modello organizzativo accentrato, possibile grazie ad un sistema informativo unico, consente un impiego limitato di risorse, dedicate all’analisi organizzativa, presso le BCC.
In quest’ottica, la Federazione, in modalità di co-outsourcing , offre alle proprie Associate:

  • una modellazione della normativa interna, basata su best practice;
  • un supporto metodologico al disegno della struttura aziendale;
  • metodologie di disegno dei processi.

Nel 2008 il progetto di Federcasse aveva individuato tre scenari:
1.Funzione esternalizzata
• totale
• parziale
2.Funzione interna decentrata
3.Funzione interna accentrata

La scelta dell’esternalizzazione presente sia punti di forza sia punti d’attenzione

Punti di forza

  • Significative economie di scopo e di scala 
  • Possibilità di beneficiare di sinergie e competenze specialistiche multi-disciplinari nonché di standard metodologici basati sulle best practice
  • Soluzione già sperimentata nel Credito Cooperativo (vedi Internal Auditing)

Punti d’attenzione

  • Mantenimento della responsabilità in capo agli organi amministrativi della banca 
  • Necessità di porre in essere un adeguato ruolo di coordinamento interno alla banca.

    "La gestione delle norme Consob sulle parti correlate e delle nuove disposizioni Banca d'Italia sui soggetti collegati: il tema del controllo continuativo", Fabio Civale, Studio Legale Zitiello & Associati

    (qui le slide dell'intervento in pdf dal sito www.compliance-community.it di ABI - solo per gli associati)

    L'avvocato Civale ha articolato il suo intervento in tre parti:

    1. le procedure ed i controlli in materia di operazioni con parti correlate: i compiti della compliance
    2. il ruolo della compliance e le verifiche "nel continuo" in materia di attività di rischio e conflitti di interesse nei confronti dei soggetti collegati
    3. l'esigenza ed i limiti di un approccio unitario alle due discipline emanate da Consob e Banca d'Italia.

    Nella prima parte dell'intervento Civale ha analizzato e commentato il "Regolamento Consob n. 17221 del 12 marzo 2010".
    Tale regolamento, successivamente modificato in data 23 giugno 2010, ha quale ambito di applicazione le società italiane con azioni quotate nei mercati regolamentati italiani o di altri paesi comunitario e con azioni diffuse tra il pubblico in maniera rilevante.
    Il Regolamento Consob n. 17221 mira ad assicurare la trasparenza e la correttezza sostanziale e procedurale delle operazioni con parti correlate.
    Tra gli aspetti di maggiore rilevanza ai fini della verifica della corretta "gestione" delle operazioni con parti correlate, occorre considerare:

    • l'individuazione ed il monitoraggio continuo del perimetro delle "parti correlate" e delle "operazioni con parti correlate";
    • l'individuazione delle "operazioni di maggiore rilevanza";
    • l'accertamento, tempo per tempo, delle "operazioni ordinarie" e delle "condizioni equivalenti a quelle di mercato o standard";
    • l'individuazione dei casi di esclusione e di esenzione ai quale la società intende fare ricorso;
    • la verifica dei requisiti degli "amministratori indipendenti";
    • la verifica delle procedure istruttorie, deliberative e di controllo in materia di operazioni con parti correlate;
    • la verifica dei flussi informativi nei confronti degli amministratori indipendenti che esprimono pareri sulle operazioni con parti correlate, degli Organi di Amministrazione e Controllo prima della delibera e dopo l'esecuzione della stessa;
    • la verifica della corretta informazione al pubblico sulle operazioni con parti correlate di maggiore rilevanza.

    Nella seconda parte del suo intervento, Civale ha affrontato il tema delle attività di rischio e i conflitti di interesse nelle banche. Su questo tema occorre tener conto di due documenti di consultazione da parte di Banca d'Italia nel maggio 2010 e nel giugno 2011.
    Tale disciplina si applica a tutte le banche e mira a presidiare il rischio che "la vicinanza di taluni soggetti ai centri decisionali della banca possa compromettere l'oggettività e l'imparzialità delle decisioni relative alla concessione di finanziamenti" esponendo quindi la stessa banca a rischi non adeguatamente misurati e presidiati.

    In quest'ambito la funzione di conformità verifica l'esistenza e affidabilità, nel continuo, di procedure e sistemi idonei ad assicurare il rispetto di tutti gli obblighi normativi e di quelli stabiliti dalla regolamentazione interna.
    La banca o, nel caso di un gruppo bancario, la capogruppo è tenuta ad approvare e rivedere periodicamente almeno con cadenza triennale (nella prima bozza di consultazione era prevista una periodicità annuale) le politiche interne in materia di controlli sulle attività di rischio e conflitti di interesse nei confronti di soggetti collegati.

    Nella terza parte del suo intervento Civale ha posto l'esigenza e limiti di un approccio unitario per le banche soggette sia alla disciplina Consob (in materia di parti correlate) sia alla disciplina Banca d'Italia (in materia di soggetti collegati) al fine di attenuare - seppur con alcuni vincoli - gli oneri applicativi.
    Entrambe le discipline adottate da Consob e Banca d'Italia:

    • fanno affidamento sul ruolo degli amministratori indipendenti ai fini dell'elaborazione e approvazione delle operazioni;
    • graduano le procedure in funzione della rilevanza delle operazioni;
    • riconoscono spazi di autonomia alle società e prevedono meccanismi di flessibilità.

    Le banche quotate o con azioni diffuse possono individuare un'unica procedura valida per le operazioni (in particolare quelle di maggiore rilevanza) che ricadono nell'ambito di applicazione di entrambe le normative.
    Tra le due discipline sono state tuttavia confermate alcune differenze per quanto concerne:

    • perimetro dei soggetti collegati;
    • presidi alternativi agli amministratori indipendenti;
    • definizione di operazione "ordinaria";
    • definizione delle operazioni di importo esiguo;
    • effetti del parere negativo degli amministratori indipendenti per le operazioni di maggiore rilevanza (ruolo dell'assemblea e dell'organo di controllo);
    • procedure nel modello dualistico;
    • operazioni intra-gruppo;
    • limiti di spesa per i servizi resi dagli esperti indipendenti.

    "La gestione degli adempimenti in materia di privacy: sistemi di controllo e ruolo della Compliance alla luce delle ultime novità normative", Giovanni Guerra, Avvocato, Studio Legale Guerra

    (qui le slide dell'intervento in pdf dal sito www.compliance-community.it di ABI - solo per gli associati)

    L'avvocato Guerra ha svolto una analisi dei rischi legali in tema di privacy e ha esordito ricordando le ultime novità normative per la banche:

    • D.L. 13 maggio 2011, n. 70 – c.d. "Decreto sviluppo" , convertito in legge, con modificazioni, dalla l. 106/11
    • Garante – Provv. generale – 12 maggio 2011 "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie" Gazzetta Ufficiale n. 127 del 3 giugno 2011
    • L. 148/2011 di conversione del D.L. 13 agosto 2011, n. 138, c.d. "Manovra bis"

    In primo luogo, ha osservato Guerra, il "decreto sviluppo" ha apportato delle modifiche al Codice Privacy (d.lgs.196/2003) con l'art 6, comma 2, lett. a) che ha modificato gli articoli:

    • 5 – "Oggetto ed ambito di applicazione"
    • 13 -"Informativa"
    • 24 -"Casi nei quali può essere effettuato il trattamento senza consenso"
    • 26 -"Garanzie per i dati sensibili"
    • 34 -"Trattamenti con strumenti elettronici"
    • 130 -"Comunicazioni indesiderate".

    Inoltre il trattamento dei dati delle imprese esce dall'ambito di applicazione del Codice; infatti all'art.5 è stato aggiunto il seguente comma: "3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione del presente codice".
    Viene infine escluso il consenso per le comunicazioni infragruppo.

    I principali effetti sugli adempimenti privacy sono secondo Guerra:

    • Esclusione dell'applicabilità del Codice in relazione ai rapporti intercorrenti con imprese per i dati che le riguardano (no informativa, consenso, ecc).
    • Esclusione del consenso per la trasmissione di dati personali (non sensibili) tra società collegate o con rapporti di controllo (genericamente comunicazioni infragruppo) per finalità amministrativo contabili
    • Ulteriori cambiamenti in relazione all'informativa da rendere ed ai consensi da acquisire in materia di MKTG
    • Esclusione informativa preventiva per curricula del consenso per il trattamento dei dati ivi contenuti (ove necessario) , anche con riferimento ai dati sensibili.

    Inoltre rilevanti sono le semplificazioni delle misure di sicurezza: infatti all'articolo 34, il comma 1-bis è sostituito dai seguenti:  

    • "1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento … , di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice dal disciplinare tecnico contenuto nell'allegato B).

    Infine Guerra ha dibattuto il recente Provvedimento del Garante del 12 maggio 2011 contenente le "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie".
    Il problema che ha voluto risolvere il Garante nasce dalle proteste di numerosi interessati che hanno dichiarato di essere venuti a conoscenza che dati personali a loro riferiti (in specie, informazioni bancarie), conservati nei database di alcune banche con le quali avevano instaurato rapporti contrattuali, erano stati oggetto di indebito accesso, verosimilmente da parte di alcuni dipendenti, i quali, successivamente, li avrebbero comunicati a terzi che li avrebbero utilizzati per scopi personali e, segnatamente, in vista di una loro produzione in giudizio (di norma, in separazioni giudiziali e procedure esecutive, in particolare, in pignoramenti presso terzi).

    Già oggi nonostante l'assenza di disposizioni normative recanti obblighi in materia di tracciabilità delle operazioni bancarie con riguardo sia all'an sia al quantum della conservazione dei file di log tutte le banche hanno ritenuto di implementare sistemi di controllo delle operazioni dispositive con finalità di tutela del patrimonio dei clienti e dell'attività bancaria ma solo alcune di esse sono risultate in possesso di sistemi di tracciamento riguardanti anche operazioni di semplice consultazione (inquiry) dei conti correnti di altri rapporti contrattuali riferiti ai clienti (ma con tempi di conservazione troppo ristretti).
    Al fine di rendere il trattamento dei dati della clientela conforme alle disposizioni del Codice Privacy l'autorità è intervenuta disponendo misure:

    • Necessarie (prescrizioni)
    • Opportune.

    Tra le prescrizioni:

    • designazione dell'outsourcer quale responsabile del trattamento
    • adozione di idonee soluzioni informatiche per il  controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database. Registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall'uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente.

    Il Garante prescrive che il periodo di conservazione dei file di log delle operazioni di inquiry non debba essere inferiore a 24 mesi dalla data di registrazione dell'operazione  Deve essere prefigurata da parte delle banche l'attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry. Negli strumenti di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi.
    Infine la gestione dei dati bancari deve essere oggetto, con cadenza almeno annuale, di un'attività di controllo interno da parte dei titolari del trattamento.
    L'attività di controllo deve essere demandata a un'unità organizzativa o, comunque,a personale diverso rispetto a quello cui è affidato il trattamento dei dati bancari dei clienti.

    Tra le misure opportune:

    • Informazioni all'interessato: le banche comunicano, senza ritardo, all'interessato le operazioni di trattamento illecito effettuate - sui dati personali allo stesso riferiti - dagli incaricati (accesso indebito etc.). Tale tempestiva informazione può consentire all'interessato l'adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali.
    • Comunicazioni al Garante: le banche comunicano tempestivamente al Garante, fornendo gli opportuni dettagli, i casi in cui risulti accertata una violazione, accidentale o illecita, nella protezione dei dati personali, di particolare rilevanza dalle quali derivino la distruzione, la perdita, la modifica, la rivelazione non autorizzata dei dati della clientela.  Particolare rilevanza dipendente dalla qualità dalla quantità di dati coinvolti e/ o dal numero di clienti interessati.

    Commentando il provvedimento del Garante l'avvocato Guerra ha osservato che una attività di Compliance, finalizzata alla verifica dell'esistenza di idonee procedure di attuazione, documentazione e controllo degli adempimenti richiesti, non è sufficiente nell'ottica della protezione dei dati personali (soprattutto in ambito bancario).
    Infatti le verifiche, per essere efficaci, devono essere effettuate da funzioni diverse rispetto a quelle che si occupano dei trattamenti in esame e, specialmente per quanto riguarda le verifiche informatiche, rendendosi necessarie specifiche valutazioni a livello tecnico, da funzioni dotate delle necessarie conoscenze e competenze.

    Link utili

    Articoli collegati su ComplianceNet

    ComplianceNet: