GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - DELIBERAZIONE 12 maggio 2011 | Geometra.info

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – DELIBERAZIONE 12 maggio 2011

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - DELIBERAZIONE 12 maggio 2011 - Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie. (11A07238) - (GU n. 127 del 3-6-2011 )

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERAZIONE 12 maggio 2011

Prescrizioni in materia di circolazione delle informazioni in ambito
bancario e di tracciamento delle operazioni bancarie. (11A07238)

IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
dott. Daniele De Paoli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali);
Esaminate le istanze (segnalazioni, reclami e quesiti) pervenute in
tema di trattamento di dati personali della clientela effettuato
dalle banche in ordine ai temi della «circolazione» delle
informazioni riferite ai clienti all’interno dei gruppi bancari e
della «tracciabilita’» delle operazioni bancarie effettuate da
incaricati del trattamento di tali dati (comprese quelle che non
comportano movimentazione di denaro – c.d. inquiry);
Visti i provvedimenti gia’ adottati in tale ambito dall’Autorita’;
Ritenuto di dover definire, in tale contesto, un quadro unitario di
misure necessarie e opportune in grado di fornire ulteriori
orientamenti utili per gli operatori del settore e i clienti,
individuando, a tal fine, i comportamenti piu’ appropriati da
adottare;
Ritenuto che tali misure debbano essere oggetto di prescrizioni
rese dal Garante ai sensi dell’art. 154, comma 1, lettera c) del
Codice;
Viste le osservazioni formulate dal segretario generale ai sensi
dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;

Premesso:

1. Profili generali.
1.1. Scopo del provvedimento.
Il presente provvedimento mira a fornire prescrizioni in relazione
al trattamento di dati personali della clientela effettuato dai
soggetti definiti al punto 1.2. al fine di garantire il rispetto dei
principi in materia di protezione dei dai personali ai sensi del
decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali) in ordine ai temi della «circolazione»
delle informazioni riferite ai clienti in ambito bancario e della
«tracciabilita’» delle operazioni bancarie effettuate dai dipendenti
di istituti di credito (sia quelle che comportano movimentazione di
denaro, sia quelle di sola consultazione, c.d. inquiry).
1.2. Ambito soggettivo di applicazione.
Il presente provvedimento si applica ai seguenti soggetti ove
stabiliti sul territorio nazionale (art. 5 del Codice): alle banche,
incluse quelle facenti parte di gruppi (disciplinati, in generale,
dall’art. 2359 del codice civile e, in particolare, dagli articoli 60
e seguenti del decreto legislativo n. 385/1993); alle societa’, anche
diverse dalle banche purche’ siano parte di tali gruppi (di seguito
anch’esse denominate «banche»), nell’ambito dei trattamenti dalle
stesse effettuati sui dati personali della clientela; a «Poste
Italiane S.p.a.» (relativamente all’attivita’ che gli operatori
postali possono svolgere nell’ambito dei servizi bancari e finanziari
ai sensi del decreto del presidente della Repubblica 14 marzo 2001,
n. 144 – vedi regolamento recante norme sui servizi di Bancoposta,
adottato in attuazione della delega contenuta nell’art. 40 della
legge 23 dicembre 1998, n. 448; vedi anche Istruzioni di vigilanza
per le banche – circolare Banca d’Italia n. 229 del 21 aprile 1999 –
10° Aggiornamento del 9 aprile 2004).
Il presente provvedimento si riferisce ai trattamenti effettuati
dai soggetti sopra indicati mediante i propri dipendenti.
Restano salve le norme del Codice in materia di trasferimento dei
dati all’estero da parte dei titolari del trattamento. In relazione a
tale aspetto l’Autorita’ si riserva, qualora se ne dovesse ravvisare
la necessita’, di intervenire con un successivo provvedimento.
Il presente provvedimento, inoltre, non riguarda le modalita’ con
le quali i clienti accedono on line ai servizi bancari (c.d. home
banking).
1.3. Attivita’ svolta.
Nel redigere il provvedimento si e’ tenuto conto delle istanze
(segnalazioni, reclami e richieste di pareri) pervenute nel tempo in
materia; degli accertamenti ispettivi effettuati, negli anni 2008,
2009 e 2010, presso le maggiori banche e/o gruppi bancari nazionali
nonche’ presso «Poste Italiane S.p.a.»; degli specifici provvedimenti
collegiali adottati dal Garante all’esito di alcuni di tali
accertamenti; delle risultanze di un’ulteriore attivita’ di indagine
e rilevazione, svolta con la collaborazione dell’Associazione
bancaria italiana (di seguito, ABI) e ultimata nel mese di ottobre
2010.
Con istanze rivolte all’Autorita’, numerosi interessati hanno
dichiarato di essere venuti a conoscenza che dati personali a loro
riferiti (in specie, informazioni bancarie), conservati nei data base
di alcune banche con le quali avevano instaurato rapporti
contrattuali, erano stati oggetto di indebito accesso, verosimilmente
da parte di alcuni dipendenti, i quali, successivamente, li avrebbero
comunicati a terzi che li avrebbero utilizzati per scopi personali e,
segnatamente, in vista di una loro produzione in giudizio (di norma,
in separazioni giudiziali e procedure esecutive, in particolare, in
pignoramenti presso terzi).
Considerata la rilevanza del tema, l’Autorita’ ha disposto
accertamenti ispettivi presso alcuni istituti bancari volti a
verificare, anzitutto, se effettivamente vi fossero stati accessi da
parte di dipendenti alle informazioni bancarie dei clienti e i
presupposti degli stessi.
All’esito dell’attivita’ ispettiva svolta, sono emersi non solo
elementi che hanno consentito di definire alcune segnalazioni con
singole decisioni del Garante (provvedimenti 28 maggio 2009, doc. web
n. 1624734; 18 giugno 2009, doc. web n. 1635720; 23 luglio 2009, doc.
web n. 1640294; 18 marzo 2010, doc. web n. 1715015), ma anche profili
problematici di carattere generale.
Inoltre, in ragione dell’accertata diversita’ di soluzioni
organizzative adottate dalle banche e dell’elevato numero di soggetti
coinvolti nell’indagine intrapresa, l’Autorita’ ha ritenuto
necessario coinvolgere l’ABI in nuovi approfondimenti volti a
chiarire ulteriormente le problematiche in esame.
Tali approfondimenti si sono concretizzati nella predisposizione,
da parte dell’Autorita’, di un questionario tipo, teso a rilevare le
scelte organizzative effettuate dalle singole banche in relazione ai
profili in questione, cui ha fatto riscontro un successivo documento
elaborato dall’ABI in forma aggregata e anonima, da cui risulta che
alla rilevazione hanno partecipato «340 tra banche e gruppi bancari,
che fanno complessivamente riferimento a 441 banche operanti sul
territorio italiano».
2. La circolazione delle informazioni tra le banche appartenenti al
gruppo.
2.1. Aspetti organizzativi emersi a seguito dell’attivita’
istruttoria condotta.
La circolazione delle informazioni riferite alla clientela
nell’ambito di un gruppo bancario puo’ avvenire a diversi livelli
astrattamente riconducibili a tre distinte tipologie:
1) la comunicazione di dati personali tra banche appartenenti al
medesimo gruppo;
2) la circolazione di tali dati tra agenzie o filiali della
stessa banca;
3) la circolazione di dati nell’ambito di una stessa agenzia o
filiale.
Nella prima tipologia, relativa alla circolazione di dati personali
della clientela tra banche appartenenti ad uno stesso gruppo,
l’attivita’ ispettiva svolta ha consentito di accertare che presso le
singole realta’ bancarie sono state effettuate scelte diversificate.
In proposito sono state rilevate due fattispecie di seguito
riportate:
in un caso, tra le agenzie di diverse banche appartenenti al
gruppo era prevista una circolarita’ limitata alle sole operazioni di
versamento e prelevamento, senza avere mai la possibilita’ di
conoscere il saldo contabile o la lista movimenti del conto acceso
presso altro istituto del gruppo;
in un altro caso, e’ emerso un regime di piena circolarita’ delle
informazioni all’interno del gruppo bancario: la posizione del
cliente e i suoi dati bancari erano accessibili dagli operatori di
sportello, designati incaricati del trattamento, in ragione delle
funzioni svolte e dei profili di autorizzazione ad esse correlati,
senza limitazioni.
Anche nella seconda tipologia, relativa alla circolazione delle
informazioni tra agenzie o filiali della medesima banca, l’attivita’
ispettiva ha fatto emergere notevoli differenze:
in un caso, i dati dei clienti di una determinata agenzia sono
risultati integralmente visibili per gli incaricati della stessa
agenzia in possesso di adeguati profili di autorizzazione, i quali
potevano non solo operare sui conti accesi presso la medesima, ma
anche venire a conoscenza dell’esistenza di altri rapporti con lo
stesso cliente presso altre agenzie della stessa banca, senza pero’
poterne visualizzare l’effettiva consistenza patrimoniale.
Nell’ambito delle agenzie appartenenti alla stessa banca, gli
incaricati abilitati potevano effettuare, su richiesta di clienti
titolari di rapporti incardinati presso altra agenzia, talune
operazioni bancarie (versamento, prelievo, bonifico, operazioni su
titoli, ecc.) con possibilita’ di ottenere il saldo o la lista dei
movimenti solo dopo la corretta effettuazione di una operazione di
natura dispositiva;
in un altro caso, gli incaricati non potevano effettuare
operazioni di sportello, ad eccezione dei versamenti in contanti, in
filiali diverse da quella presso la quale era gestito il conto
corrente di uno specifico interessato. In tale ipotesi, la banca non
operava in regime di circolarita’, tranne che per le operazioni di
visualizzazione dei dati bancari, che tutti gli addetti presso una
specifica filiale potevano compiere in relazione ai dati bancari
anche di clienti di altre filiali;
in un ultimo caso, infine, si prevedeva che i dipendenti operanti
all’interno di una filiale potessero accedere ai dati in esame
limitatamente ai rapporti accesi presso la filiale medesima.
Nella terza tipologia, e’ stato rilevato che, generalmente,
all’interno di una agenzia o filiale di una medesima banca la
circolazione dei dati dei clienti avviene solo tra incaricati del
trattamento in possesso di specifici profili di autenticazione e
autorizzazione.
2.2. Profili di protezione dei dati personali.
Le risultanze istruttorie hanno evidenziato che le banche agiscono
quali autonomi titolari del trattamento.
Da cio’ consegue che il flusso di dati personali riferiti ai
clienti nell’ambito di gruppi si configura come comunicazione a
terzi.
Nell’informativa resa alla clientela, pertanto, ai sensi dell’art.
13 del Codice, ogni banca, titolare del trattamento deve indicare che
i dati personali della clientela possono essere oggetto di
comunicazione ad altri titolari del trattamento nell’ambito del
medesimo gruppo bancario.
In relazione al profilo del consenso, si rileva che la
comunicazione di dati, in tale ambito, e’ possibile solo ove sia
stato acquisito il consenso informato dell’interessato (art. 23 del
Codice) o si sia in presenza di uno dei presupposti di esonero del
consenso previsti dall’art. 24 del Codice.
Al contrario, il flusso di dati tra diverse agenzie o filiali di
una stessa banca costituisce circolazione di informazioni all’interno
di un unico titolare del trattamento e, non configurando
un’operazione di comunicazione di dati a terzi, non richiede il
consenso degli interessati.
L’informativa, tuttavia, potra’ contenere anche l’indicazione che i
dati della clientela potranno circolare tra le agenzie o filiali di
ciascuna banca.
3. La circolazione delle informazioni tra le banche del gruppo e i
soggetti che gestiscono i sistemi informativi contenenti dati bancari
della clientela.
3.1. Aspetti organizzativi emersi a seguito dell’attivita’
istruttoria condotta.
Sotto il profilo organizzativo, all’esito dell’attivita’ ispettiva
e’ emerso che i sistemi informativi contenenti i dati relativi alla
clientela delle banche, mediante i quali vengono registrati gli
accessi dei dipendenti a tali dati, sono gestiti da societa’ (interne
o esterne alla compagine di gruppo) con le quali ciascuna banca
stipula appositi contratti di servizio. In proposito, l’ABI ha
individuato due tipologie organizzative:
1) gruppi bancari caratterizzati da una gestione prevalentemente
interna del sistema informativo […] affidata a una societa’ di
servizio appartenente al gruppo bancario, che si configura come
soggetto terzo responsabile o, in alcuni casi, titolare del
trattamento dei dati personali […];
2) gruppi bancari/banche caratterizzati da una gestione
prevalentemente esterna del sistema informativo […] caratterizzati
da un elevato livello di outsourcing, in relazione alla gestione del
sistema informativo. In questo caso, la banca titolare del
trattamento, esternalizzando la gestione dei dati, designa il
soggetto terzo «responsabile del trattamento».
Nell’ambito della prima tipologia organizzativa, l’ABI ha
evidenziato che la c.d. societa’ «strumentale», nella maggior parte
dei casi, assume la veste di titolare autonomo del trattamento dei
dati della clientela; sono anche presenti, tuttavia, casi residuali
di designazione della stessa come responsabile del trattamento.
Nell’ambito di tale tipologia si possono evidenziare due ulteriori
sottocategorie:
a) le realta’ bancarie di grandi dimensioni, ove la gestione dei
sistemi informativi e’ affidata a una societa’ «strumentale» interna
al gruppo che puo’ assumere diverse forme, tra cui quella del
consorzio, e che puo’ avvalersi di soggetti terzi per la gestione di
talune attivita’ soprattutto di carattere infrastrutturale;
b) le realta’ bancarie di medie dimensioni, ove si configurano
sistemi informativi in alcuni casi analoghi a quelli descritti alla
precedente lettera a), in altri casi centralizzati presso la
capogruppo.
Nell’ambito della seconda tipologia organizzativa descritta
dall’ABI, la gestione del sistema informativo mediante il quale
vengono effettuate operazioni di trattamento dei dati personali della
clientela della banca e’ affidata, in prevalenza, a un unico soggetto
terzo (solo in casi limitati sono previsti anche piu’ soggetti, in
genere in numero non superiore a due) che «partecipa alle attivita’
di trattamento e gestione delle informazioni sulla base di una serie
di servizi elencati e concordati nell’ambito di accordi contrattuali,
definiti in funzione delle specifiche esigenze della singola banca».
3.2. Profili di protezione dei dati personali.
Le differenti soluzioni adottate dalle banche e dai gruppi bancari,
in coerenza con le proprie specifiche caratteristiche, anche
dimensionali e operative, rendono opportuno formulare alcune
prescrizioni in merito alle modalita’ attraverso le quali ciascuna
banca o gruppo bancario puo’ garantire la trasmissione alla societa’
che gestisce i sistemi informativi dei dati personali relativi ai
clienti. Alla luce dell’esame complessivo delle risultanze
istruttorie, si deve ritenere che la qualificazione delle societa’
che gestiscono i sistemi informativi (di seguito denominati
semplicemente «outsourcer») quali autonomi «titolari del trattamento»
(con tutte le conseguenze che cio’ comporta anche in termini di
eventuale responsabilita’ civile nei confronti degli interessati)
spesso puo’ risultare non conforme alle previsioni del Codice (e,
segnatamente, agli articoli 4, comma 1, lettere f) e g), 28 e 29).
Infatti, benche’ l’esternalizzazione dei sistemi informativi
costituisca una libera scelta organizzativa di esclusiva pertinenza
delle banche, affinche’ i connessi trattamenti di dati personali dei
clienti risultino conformi alla disciplina sulla protezione dei dati
personali, e’ indispensabile che ciascuna banca valuti attentamente
se le societa’ di gestione di detti sistemi (a prescindere dal fatto
che si tratti di soggetti interni o esterni alla compagine di gruppo
o alla singola banca), alla luce delle specifiche attivita’ che sono
chiamate a svolgere in base ai contratti di servizio, possano essere
effettivamente considerate quali autonomi titolari o non vadano
invece designate quali «responsabili» del trattamento ai sensi
dell’art. 29 del Codice (in questo senso vedi anche il parere del
Gruppo art. 29 sulla protezione dei dati, n. 1/2010 -WP 169, del 16
febbraio 2010).
Infatti, la posizione di «titolare» del trattamento, pur
astrattamente riconoscibile anche in capo all’outsourcer, risulta,
tuttavia, ascrivibile solo alla banca nei casi in cui la stessa abbia
il potere di:
1) assumere decisioni relative alle finalita’ del trattamento;
2) impartire istruzioni e direttive vincolanti nei confronti
delle societa’ di gestione dei sistemi informativi, sostanzialmente
corrispondenti alle istruzioni che il titolare del trattamento deve
impartire al responsabile;
3) svolgere funzioni di controllo rispetto all’operato delle
medesime e degli incaricati delle stesse.
Alla luce di tali considerazioni, quando il trattamento di dati
personali dei clienti da parte dell’outsourcer e’ svolto restando
riservati alle banche i, sopra indicati, riconosciuti dal Codice solo
al titolare (articoli 4, comma 1, lettera f) e 28) e dunque, in
concreto, detti poteri, non risultino effettivamente posti in capo
all’outsourcer, le banche devono essere considerate gli unici
titolari del trattamento, con conseguente necessita’ di designare le
societa’ operanti in outsourcing quali responsabili (articoli 4,
comma 1, lettera g) e 29, commi 4 e 5 del Codice).
4. Il «tracciamento» delle operazioni di accesso ai dati e gli
strumenti di audit.
4.1. Aspetti organizzativi emersi a seguito dell’attivita’
istruttoria.
In relazione al profilo degli accessi informatici da parte dei
dipendenti delle banche ai dati relativi alla clientela e al
correlato tracciamento delle operazioni poste in essere dagli stessi,
si ritiene di dover formulare alcune prescrizioni.
Le diverse soluzioni adottate da ciascuna banca o gruppo bancario,
oggetto di accertamento in loco in ordine alle caratteristiche
tecnologiche dei sistemi informativi con cui vengono tracciate le
operazioni bancarie (sia dispositive, sia di semplice inquiry), sono
espressione della discrezionalita’ riconosciuta a ciascuna banca o
gruppo bancario nel dare attuazione a quanto previsto nelle
«Disposizioni di vigilanza per le banche in materia di conformita’
alle norme (compliance)», adottate dalla Banca d’Italia il 10 luglio
2007. In linea con gli orientamenti emersi in sede internazionale, le
istruzioni di vigilanza definiscono ruolo e responsabilita’ degli
organi di vertice delle banche e prevedono la costituzione della
funzione di compliance, quale elemento integrante del sistema dei
controlli interni. Tale funzione, istituita per la prima volta
proprio con le citate disposizioni, e’ preposta al presidio e alla
gestione del rischio di incorrere in sanzioni amministrative, perdite
finanziarie rilevanti o danni di reputazione in conseguenza di
violazioni di norme imperative o di autoregolamentazione (rischio di
compliance). Le disposizioni stabiliscono i principali compiti e i
requisiti qualitativi minimi della funzione di compliance, le
attribuzioni del suo responsabile, le interrelazioni con le altre
funzioni aziendali (in particolare con la funzione di controllo
interno, c.d. internal auditing).
Tale funzione, preposta al controllo interno nelle banche, e’
disciplinata dalla legge e da un quadro di norme regolamentari
emanate dalla Banca d’Italia mediante apposite istruzioni, in
particolare, le istruzioni di vigilanza in materia di «Organizzazione
e controlli interni». Queste ultime richiedono alle banche di dotarsi
di sistemi di monitoraggio dei rischi aziendali e di verifica
dell’affidabilita’ e della sicurezza, anche dei sistemi informativi,
istituendo indicatori di anomalie (c.d. alert) per orientare
successivi interventi di audit.
In assenza di disposizioni normative recanti obblighi in materia di
tracciabilita’ delle operazioni bancarie con riguardo sia all’an sia
al quantum della conservazione dei file di log, si rileva che,
nell’ambito della discrezionalita’ riconosciuta alle banche
nell’organizzare la funzione di compliance, tutte le banche
sottoposte ad attivita’ ispettiva hanno ritenuto di implementare
sistemi di controllo delle operazioni dispositive con finalita’ di
tutela del patrimonio dei clienti e dell’attivita’ bancaria, ma solo
alcune di esse sono risultate in possesso di sistemi di tracciamento
riguardanti anche operazioni di semplice consultazione (inquiry) dei
conti correnti o di altri rapporti contrattuali riferiti ai clienti.
Anche in quest’ultimo caso, a causa di tempi di conservazione dei
file di log troppo ristretti, tuttavia non e’ stato sempre possibile
risalire ai dettagli di un’operazione di accesso ai dati posta in
essere da un incaricato.
Al riguardo, nel prendere atto dell’assenza di disposizioni
normative in tale ambito, si ritiene opportuno prescrivere alcune
misure in ordine a:
«tracciamento» degli accessi ai dati bancari dei clienti;
tempi di conservazione dei relativi file di log;
implementazione di alert volti a rilevare intrusioni o accessi
anomali ai dati bancari, tali da configurare eventuali trattamenti
illeciti.
4.2. Il «tracciamento» degli accessi ai sistemi e i tempi di
conservazione dei relativi file di log.
4.2.1. Tracciamento delle operazioni.
Al fine di assicurare il controllo delle attivita’ svolte sui dati
dei clienti e dei potenziali clienti da ciascun incaricato del
trattamento (quali che siano la sua qualifica, le sue competenze e
gli ambiti di operativita’ e le finalita’ del trattamento che e’
tenuto a svolgere) devono essere adottate idonee soluzioni
informatiche. Oltre alle misure minime di sicurezza, gia’ prescritte
dall’art. 34 del Codice nel caso di trattamento di dati personali
effettuato con strumenti elettronici (con particolare riguardo alla
necessita’ di «protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti […]» di cui alla lettera e) del
citato art. 34), e’ necessario implementare misure idonee (art. 31
del Codice) che permettano un efficace e dettagliato controllo anche
in ordine ai trattamenti condotti sui singoli elementi di
informazione presenti nei diversi database utilizzati.
Tali soluzioni comprendono la registrazione dettagliata, in un
apposito log, delle informazioni riferite alle operazioni bancarie
effettuate sui dati bancari, quando consistono o derivano dall’uso
interattivo dei sistemi operato dagli incaricati, sempre che non si
tratti di consultazioni di dati in forma aggregata non riconducibili
al singolo cliente.
In particolare, i file di log devono tracciare per ogni operazione
di accesso ai dati bancari effettuata da un incaricato, almeno le
seguenti informazioni:
il codice identificativo del soggetto incaricato che ha posto in
essere l’operazione di accesso;
la data e l’ora di esecuzione;
il codice della postazione di lavoro utilizzata;
il codice del cliente interessato dall’operazione di accesso ai
dati bancari da parte dell’incaricato;
la tipologia di rapporto contrattuale del cliente a cui si
riferisce l’operazione effettuata (es. numero del conto corrente,
fido/mutuo, deposito titoli).
Le misure di cui al presente paragrafo sono adottate nel rispetto
della vigente disciplina in materia di controllo a distanza dei
lavoratori (art. 4, l. 20 maggio 1970, n. 300), tenendo altresi’
conto dei principi affermati dal Garante in tema di informativa agli
interessati nelle linee guida sull’utilizzo della posta elettronica e
di internet (provvedimento 1° marzo 2007, doc. web n. 1387522).
4.2.2. Conservazione dei log di tracciamento delle operazioni.
Il periodo di conservazione dei file di log che tracciano gli
accessi varia in base alla tipologia di log memorizzato; inoltre,
fatta eccezione per quelli che tracciano gli accessi degli
amministratori di sistema (per i quali e’ previsto un periodo minimo
di conservazione di sei mesi; vedi punto 4.5 del provvedimento 27
novembre 2008, doc. web n. 1577499), per gli altri log non sono
normativamente prescritti tempi di conservazione. Anche le risultanze
istruttorie hanno confermato che i log sono conservati per un periodo
variabile (in tal senso e’ anche la documentazione prodotta dall’ABI,
che rileva come i log di accesso ai sistemi informativi siano
conservati mediamente per 12 mesi, mentre i log file delle
transazioni bancarie sono conservati per un periodo non inferiore a
10 anni).
Tuttavia, alla luce dell’esperienza maturata in sede ispettiva, si
ritiene congruo stabilire che i log di tracciamento delle operazioni
di inquiry siano conservati per un periodo non inferiore a 24 mesi
dalla data di registrazione dell’operazione. Cio’ in quanto un
periodo di tempo inferiore non consentirebbe agli interessati di
venire a conoscenza dell’avvenuto accesso ai propri dati personali e
delle motivazioni che lo hanno determinato.
4.3.L’implementazione di alert volti a rilevare intrusioni o
accessi anomali e abusivi ai sistemi informativi.
4.3.1. Implementazione di alert.
Deve essere prefigurata da parte delle banche l’attivazione di
specifici alert che individuino comportamenti anomali o a rischio
relativi alle operazioni di inquiry eseguite dagli incaricati del
trattamento.
Anche a tal fine, negli strumenti di business intelligence
utilizzati dalle banche per monitorare gli accessi alle banche dati
contenenti dati bancari devono confluire i log relativi a tutti gli
applicativi utilizzati per gli accessi da parte degli incaricati del
trattamento.
4.3.2. Audit interno di controllo – Rapporti periodici.
La gestione dei dati bancari deve essere oggetto, con cadenza
almeno annuale, di un’attivita’ di controllo interno da parte dei
titolari del trattamento, in modo che sia verificata costantemente la
rispondenza alle misure organizzative, tecniche e di sicurezza
riguardanti i trattamenti dei dati personali previste dalle norme
vigenti.
L’attivita’ di controllo deve essere demandata a un’unita’
organizzativa o, comunque, a personale diverso rispetto a quello cui
e’ affidato il trattamento dei dati bancari dei clienti.
I controlli devono comprendere anche verifiche a posteriori, a
campione, o a seguito di allarme derivante da sistemi di alerting e
di anomaly detection, sulla legittimita’ e liceita’ degli accessi ai
dati effettuati dagli incaricati, sull’integrita’ dei dati e delle
procedure informatiche adoperate per il loro trattamento. Sono
svolte, altresi’, verifiche periodiche sulla corretta conservazione
dei file di log per il periodo previsto al punto 4.2.2.
L’attivita’ di controllo deve essere adeguatamente documentata in
modo tale che sia sempre possibile risalire ai sistemi verificati,
alle operazioni tecniche su di essi effettuate, alle risultanze delle
analisi condotte sugli accessi e alle eventuali criticita’
riscontrate.
L’esito dell’attivita’ di controllo deve essere:
comunicato alle persone e agli organi legittimati ad adottare
decisioni e a esprimere, a vari livelli in base al proprio
ordinamento interno, la volonta’ della banca;
richiamato nell’ambito del documento programmatico sulla
sicurezza nel quale devono essere indicati gli interventi
eventualmente necessari per adeguare le misure di sicurezza;
messo a disposizione del Garante, in caso di specifica richiesta.
5. Informazioni in caso di accessi non autorizzati.
5.1. Informazioni all’interessato.
Le banche comunicano senza ritardo all’interessato le operazioni di
trattamento illecito effettuate, sui dati personali allo stesso
riferiti, dagli incaricati. Tale tempestiva informazione, infatti, in
termini generali, puo’ consentire all’interessato l’adozione di
appropriate misure e, ove possibile, una minimizzazione dei rischi
connessi alla violazione della disciplina di protezione dei dati
personali.
Tale comunicazione costituisce misura opportuna ai sensi dell’art.
154, comma 1, lettera c) del Codice.
5.2. Comunicazioni al Garante.
Le banche comunicano tempestivamente al Garante, fornendo gli
opportuni dettagli, i casi in cui risultino accertate violazioni,
accidentali o illecite, nella protezione dei dati personali, purche’
di particolare rilevanza per la qualita’ o la quantita’ di dati
coinvolti e/o il numero di clienti interessati, dalle quali derivino
la distruzione, la perdita, la modifica, la rivelazione non
autorizzata dei dati della clientela.
Tale comunicazione costituisce misura opportuna ai sensi dell’art.
154, comma 1, lettera c) del Codice.

Tutto cio’ premesso, il Garante

ai sensi dell’art. 154, comma 1, lettera c) del Codice, prescrive le
misure di seguito indicate alle banche, incluse quelle facenti parte
di gruppi; alle societa’ diverse dalle banche, purche’ siano parte di
tali gruppi; a «Poste Italiane S.p.a.» nell’esercizio dell’attivita’
di cui al punto 1.2. del presente provvedimento:
1) misure necessarie:
a) designazione dell’outsourcer quale responsabile del
trattamento (punto 3.2): quando il trattamento di dati personali dei
clienti da parte di outsourcer e’ svolto restando riservati alle
banche i poteri riconosciuti dal Codice solo al titolare (articoli 4,
comma 1, lettera f) e 28), e dunque, in concreto, detti poteri, non
risultino posti effettivamente in capo all’outsourcer, le stesse
banche, quali unici titolari del trattamento, devono designare le
societa’ operanti in outsourcing responsabili ai sensi degli articoli
4, comma 1, lettera g) e 29, commi 4 e 5 del Codice;
b) tracciamento delle operazioni (punto 4.2.1): devono essere
adottate idonee soluzioni informatiche per il controllo dei
trattamenti condotti sui singoli elementi di informazione presenti
sui diversi database. Tali soluzioni comprendono la registrazione
dettagliata, in un apposito log, delle informazioni riferite alle
operazioni bancarie effettuate sui dati bancari, quando consistono o
derivano dall’uso interattivo dei sistemi operato dagli incaricati,
sempre che non si tratti di consultazioni di dati in forma aggregata
non riconducibili al singolo cliente.
In particolare, i file di log devono tracciare per ogni operazione
di accesso ai dati bancari effettuata da un incaricato, almeno le
seguenti informazioni:
il codice identificativo del soggetto incaricato che ha posto in
essere l’operazione di accesso;
la data e l’ora di esecuzione;
il codice della postazione di lavoro utilizzata;
il codice del cliente interessato dall’operazione di accesso ai
dati bancari da parte dell’incaricato;
la tipologia di rapporto contrattuale del cliente a cui si
riferisce l’operazione effettuata (es.: numero del conto corrente,
fido/mutuo, deposito titoli);
c) conservazione dei log di tracciamento delle operazioni
(punto 4.2.2): il periodo di conservazione dei file di log delle
operazioni di inquiry non deve essere inferiore a 24 mesi dalla data
di registrazione dell’operazione;
d) implementazione di alert (punto 4.3.1):
i. deve essere prefigurata da parte delle banche
l’attivazione di specifici alert che individuino comportamenti
anomali o a rischio relativi alle operazioni di inquiry;
ii. negli strumenti di business intelligence devono confluire
i log relativi a tutti gli applicativi utilizzati per gli accessi;
e) audit interno di controllo – rapporti periodici (punto
4.3.2):
i. la gestione dei dati bancari deve essere oggetto, con
cadenza almeno annuale, di un’attivita’ di controllo interno da parte
dei titolari del trattamento;
ii. l’attivita’ di controllo deve essere demandata a
un’unita’ organizzativa o, comunque, a personale diverso rispetto a
quello cui e’ affidato il trattamento dei dati bancari dei clienti;
iii. i controlli devono comprendere anche verifiche a
posteriori, a campione o su eventuale allarme derivante da sistemi di
alerting e di anomaly detection, sulla legittimita’ e liceita’ degli
accessi ai dati effettuati dagli incaricati, sull’integrita’ dei dati
e delle procedure informatiche adoperate per il loro trattamento.
Sono svolte, altresi’, verifiche periodiche sulla corretta
conservazione dei file di log per il periodo previsto al punto 4.2.2;
iv. l’attivita’ di controllo deve essere adeguatamente
documentata e il relativo esito deve essere comunicato ai soggetti
indicati al punto 4.3.2;
2) misure opportune:
f) informativa all’interessato (punto 2.2).
L’informativa resa all’interessato ai sensi dell’art. 13 del
Codice, potra’ contenere anche l’indicazione che i dati della
clientela potranno circolare tra le agenzie o filiali di ciascuna
banca;
g) informazioni all’interessato (punto 5.1).
Le banche comunicano, senza ritardo, all’interessato le operazioni
di trattamento illecito effettuate, sui dati personali allo stesso
riferiti, dagli incaricati;
h) comunicazioni al Garante (punto 5.2).
Le banche comunicano tempestivamente al Garante i casi in cui
risulti accertata una violazione, accidentale o illecita, nella
protezione dei dati personali, di particolare rilevanza;
3) dispone, che le misure di cui al punto 1) del presente
dispositivo, siano adottate entro 30 mesi dalla pubblicazione del
presente provvedimento sulla Gazzetta Ufficiale;
4) dispone, ai sensi dell’art. 143, comma 2, del Codice, di
trasmettere al Ministero della giustizia – Ufficio pubblicazione
leggi e decreti copia del presente provvedimento, per la relativa
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 maggio 2011

Il presidente relatore: Pizzetti

Il segretario generale: De Paoli

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – DELIBERAZIONE 12 maggio 2011

Geometra.info