Privacy e Compliance in banca: le prescrizioni del Garante sui dati bancari

Come già evidenziato nel predente articolo "Prescrizioni in materia di circolazione e tracciamento delle informazioni in ambito bancario"  il Garante per la protezione dei dati personali ha emanato il 12 maggio 2011 un "provvedimento generale", con il quale prescrive alle banche (ed alle società facenti parte di un gruppo bancario) e per alcuni aspetti a Poste Italiane, una serie di misure volte a garantire la riservatezza e sicurezza dei "dati bancari".
Uno degli aspetti di novità del "provvedimento" è l'esplicito riferimento alla funzione di Compliance così come istituita in banca dalle "Disposizioni di vigilanza per le banche in materia di conformità alle norme (compliance)" di Banca d'Italia del 10 luglio 2007.

La funzione di Compliance

Tale funzione di compliance, recita il Garante, "preposta al controllo interno nelle banche, è disciplinata dalla legge e da un quadro di norme regolamentari emanate dalla Banca d'Italia mediante apposite istruzioni, in particolare, le Istruzioni di vigilanza in materia di Organizzazione e controlli interni. Queste ultime richiedono alle banche di dotarsi di sistemi di monitoraggio dei rischi aziendali e di verifica dell'affidabilità e della sicurezza, anche dei sistemi informativi, istituendo indicatori di anomalie (c.d. alert) per orientare successivi interventi di audit".
Proprio a tale funzione sembra rivolgersi il Garante quando prescrive alla banche di adottare nuove misure volte a garantire la riservatezza e la sicurezza dei "dati bancari: come è noto alcune di queste misure sono state definite dal garante come "necessarie" e vanno adottate al massimo entro 30 mesi dal 3 giugno 2011, indicativamente quindi entro le feste natalizie del 2013; altre misure, definite come opportune, sembrerebbero di immediata adozione.

Le misure

Tra le misure opportune assume particolare rilevanza, soprattutto dal punto di vista organizzativo, l'obbligo di informazione all'interessato (cioè al cliente) "senza ritardo" delle operazioni di trattamento illecito effettuate sui suoi dati personali e la successiva comunicazione al Garante da parte dei destinatari di tale provvedimento, dei casi in cui risulti accertata una violazione, accidentale o illecita, nella protezione dei dati personali.
Siamo di fronte all'introduzione, nell'ordinamento italiano, di una sorta di data breach notification (o security breach notification) già adottata in altre nazioni come negli Stati Uniti in primis, ma anche Germania, Spagna, Inghilterra e Irlanda, tanto da indurre l'Unione Europea ha proporre che tale obbligo sia introdotto nella ePrivacy Directive, 2002/58/EC.

Di seguito, per gli amanti delle tabelle, uno specchietto riepilogativo dei principali adempimenti contenuti nel provvedimento, con una valutazione qualitativa di massima dell'impatto organizzativo, che l'implementazione dei singoli presidi richiesti potrebbero avere in azienda. 

MISURE PREVISTE

Dettaglio

Impatto

SCADENZA

1) Misure necessarie

a) Designazione dell'outsourcer quale responsabile del trattamento (punto 3.2)

 

Da adottate entro il mese di dicembre 2013

b) Tracciamento delle operazioni (punto 4.2.1)

 

c) Conservazione dei log di tracciamento delle operazioni (punto 4.2.2)

 

d) Implementazione di alert (punto 4.3.1)

 

e) Audit interno di controllo – Rapporti periodici (punto 4.3.2)

 

 

 

 

 

2) Misure opportune

f) Informativa all'interessato (punto 2.2)

 

Immediata*

g) Informazioni all'interessato (punto 5.1)

 

h) Comunicazioni al Garante (punto 5.2)

 

* Si attendono ulteriori chiarimenti in merito da parte dell’autorità Garante

Legenda impatto

  • verde: impatto basso
  • arancio: impatto medio
  • rosso: impatto alto

Conclusioni

Il presente provvedimento è una chiara indicazione della necessaria/opportuna predisposizione, da parte dei destinatari, di una vera e propria procedura di "incident handling" di sicurezza / data privacy, procedura prevista dai più comuni framework e standard internazionali di security governance come il Cobit (Rif. Cobit 4.1 - DS5.6 Security Incident Definition) e la ISO27001 (Rif. A13 - Information Security Incident Management). Ma questa vuole essere solo una provocazione.

Proprio in tale ottica ho il piacere di annunciare che ANSSAIF, l'Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria, del cui Consiglio Direttivo faccio parte, sta organizzando un incontro proprio sul tema in oggetto.
L'evento, che si terrà a Roma nelle prossime settimane, avrà la forma di un "happy hour": ci incontreremo in un ambiente informale per scambiarci opinioni e suggerimenti su quanto già fatto o da fare in relazione al provvedimento. 

Link utili

Altri articoli di Alain De Cristofaris

Chi è Alain De Cristofaris?

Alain De Cristofaris

Alain De Cristofaris è Managing Director & Partner presso una primaria azienda di consulenza in ambito Security & Compliance.
Precedentemente è stato Risk Manager presso Banca Network Investimenti S.p.A. e Security & Compliance Manager presso Oasi Spa (gruppo bancario ICBPI).
È consigliere di  ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria

Contatti

ComplianceNet: