Privacy: "Prescrizioni in materia di circolazione e tracciamento delle informazioni in ambito bancario"

Il Garante per la protezione dei dati personali ha emanato in data 12 maggio 2011 un "provvedimento generale" (doc. web n. 1813953), pubblicato sulla Gazzetta Ufficiale n. 127 del 3 giugno 2011, dal titolo "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie". Con tale provvedimento il Garante prescrive alle banche (ed alle società facenti parte di un gruppo bancario) e per alcuni aspetti a Poste Italiane una serie di misure volte a garantire la riservatezza e sicurezza dei "dati bancari".
Il Garante dispone inoltre che le misure definite come "necessarie" (vedi elenco di seguito riportato) siano adottate entro 30 mesi dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale.

Le misure prescritte dal Garante

(Nota del redattore: i punti indicati tra parentesi si riferiscono al testo del provvedimento)

1) Misure necessarie

a) Designazione dell'outsourcer quale responsabile del trattamento (punto 3.2).
Quando il trattamento di dati personali dei clienti da parte di outsourcer è svolto restando riservati alle banche i poteri riconosciuti dal Codice solo al titolare (artt. 4, comma 1, lett. f) e 28), e dunque, in concreto, detti poteri, non risultino posti effettivamente in capo all'outsourcer, le stesse banche, quali unici titolari del trattamento, devono designare le società operanti in outsourcing responsabili ai sensi degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice.
b) Tracciamento delle operazioni (punto 4.2.1).
Devono essere adottate idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database. Tali soluzioni comprendono la registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall'uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente.

In particolare, i file di log devono tracciare per ogni operazione di accesso ai dati bancari effettuata da un incaricato, almeno le seguenti informazioni:

  • il codice identificativo del soggetto incaricato che ha posto in essere l'operazione di accesso;
  • la data e l'ora di esecuzione;
  • il codice della postazione di lavoro utilizzata;
  • il codice del cliente interessato dall'operazione di accesso ai dati bancari da parte dell'incaricato;
  • la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli).

c) Conservazione dei log di tracciamento delle operazioni (punto 4.2.2).
Il periodo di conservazione dei file di log delle operazioni di inquiry non deve essere inferiore a 24 mesi dalla data di registrazione dell'operazione.
d) Implementazione di alert (punto 4.3.1).
i. Deve essere prefigurata da parte delle banche l'attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry.
ii. Negli strumenti di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi.
e) Audit interno di controllo–Rapporti periodici (punto 4.3.2).
i. La gestione dei dati bancari deve essere oggetto, con cadenza almeno annuale, di un'attività di controllo interno da parte dei titolari del trattamento.
ii. L'attività di controllo deve essere demandata a un'unità organizzativa o, comunque, a personale diverso rispetto a quello cui è affidato il trattamento dei dati bancari dei clienti.
iii. I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di alerting e di anomaly detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull'integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. Sono svolte, altresì, verifiche periodiche sulla corretta conservazione dei file di log per il periodo previsto al punto 4.2.2.
iv. L'attività di controllo deve essere adeguatamente documentata e il relativo esito deve essere comunicato ai soggetti indicati al punto 4.3.2.

2) Misure opportune

f) Informativa all'interessato (punto 2.2).
L'informativa resa all'interessato ai sensi dell'art. 13 del Codice, potrà contenere anche l'indicazione che i dati della clientela potranno circolare tra le agenzie o filiali di ciascuna banca.
g) Informazioni all'interessato (punto 5.1).
Le banche comunicano, senza ritardo, all'interessato le operazioni di trattamento illecito effettuate -sui dati personali allo stesso riferiti- dagli incaricati.
h) Comunicazioni al Garante (punto 5.2).
Le banche comunicano tempestivamente al Garante i casi in cui risulti accertata una violazione, accidentale o illecita, nella protezione dei dati personali, di particolare rilevanza.

Link utili

Articoli collegati su www.compliancent.it

Chi è Alain De Cristofaris?

Alain De Cristofaris

Alain De Cristofaris è Managing Director & Partner presso una primaria azienda di consulenza in ambito Security & Compliance.
Precedentemente è stato Risk Manager presso Banca Network Investimenti
S.p.A. e Security & Compliance Manager presso Oasi Spa (gruppo
bancario ICBPI).
È consigliere di  ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria

Contatti

    ComplianceNet: