|
IL GARANTE PER LA PROTEZIONE
DEI DATI
PERSONALI
Nella riunione odierna, in
presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe
Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott.
Giuseppe Fortunato, componenti, e del
dott. Daniele De Paoli, segretario
generale;
Visto il decreto legislativo 30
giugno 2003, n. 196 (Codice in
materia di protezione dei dati
personali);
Esaminate le istanze
(segnalazioni, reclami e quesiti) pervenute in
tema di trattamento di dati
personali della clientela effettuato
dalle banche in ordine ai
temi della «circolazione» delle
informazioni riferite ai clienti
all'interno dei gruppi bancari e
della «tracciabilita'» delle
operazioni bancarie effettuate da
incaricati del trattamento di tali
dati (comprese quelle che non
comportano movimentazione di denaro
- c.d. inquiry);
Visti i provvedimenti gia'
adottati in tale ambito dall'Autorita';
Ritenuto di dover definire, in
tale contesto, un quadro unitario di
misure necessarie e opportune
in grado di fornire ulteriori
orientamenti utili per gli
operatori del settore e i clienti,
individuando, a tal fine, i
comportamenti piu' appropriati da
adottare;
Ritenuto che tali misure debbano
essere oggetto di prescrizioni
rese dal Garante ai sensi dell'art.
154, comma 1, lettera c) del
Codice;
Viste le osservazioni formulate
dal segretario generale ai sensi
dell'art. 15 del regolamento del
Garante n. 1/2000;
Relatore il prof. Francesco
Pizzetti;
Premesso:
1. Profili generali.
1.1. Scopo del provvedimento.
Il presente provvedimento mira a
fornire prescrizioni in relazione
al trattamento di dati personali
della clientela effettuato dai
soggetti definiti al punto 1.2. al
fine di garantire il rispetto dei
principi in materia di protezione
dei dai personali ai sensi del
decreto legislativo 30 giugno 2003,
n. 196 (Codice in materia di
protezione dei dati personali) in
ordine ai temi della «circolazione»
delle informazioni riferite ai
clienti in ambito bancario e della
«tracciabilita'» delle operazioni
bancarie effettuate dai dipendenti
di istituti di credito (sia quelle
che comportano movimentazione di
denaro, sia quelle di sola
consultazione, c.d. inquiry).
1.2. Ambito soggettivo di
applicazione.
Il presente provvedimento si
applica ai seguenti soggetti ove
stabiliti sul territorio nazionale
(art. 5 del Codice): alle banche,
incluse quelle facenti parte di
gruppi (disciplinati, in generale,
dall'art. 2359 del codice civile e,
in particolare, dagli articoli 60
e seguenti del decreto legislativo
n. 385/1993); alle societa', anche
diverse dalle banche purche' siano
parte di tali gruppi (di seguito
anch'esse denominate «banche»),
nell'ambito dei trattamenti dalle
stesse effettuati sui dati
personali della clientela; a «Poste
Italiane S.p.a.» (relativamente
all'attivita' che gli operatori
postali possono svolgere
nell'ambito dei servizi bancari e finanziari
ai sensi del decreto del presidente
della Repubblica 14 marzo 2001,
n. 144 - vedi regolamento recante
norme sui servizi di Bancoposta,
adottato in attuazione della
delega contenuta nell'art. 40 della
legge 23 dicembre 1998, n. 448;
vedi anche Istruzioni di vigilanza
per le banche - circolare Banca
d'Italia n. 229 del 21 aprile 1999 -
10° Aggiornamento del 9 aprile
2004).
Il presente provvedimento si
riferisce ai trattamenti effettuati
dai soggetti sopra indicati
mediante i propri dipendenti.
Restano salve le norme del Codice
in materia di trasferimento dei
dati all'estero da parte dei
titolari del trattamento. In relazione a
tale aspetto l'Autorita' si
riserva, qualora se ne dovesse ravvisare
la necessita', di intervenire con
un successivo provvedimento.
Il presente provvedimento,
inoltre, non riguarda le modalita' con
le quali i clienti accedono on line
ai servizi bancari (c.d. home
banking).
1.3. Attivita' svolta.
Nel redigere il provvedimento si
e' tenuto conto delle istanze
(segnalazioni, reclami e richieste
di pareri) pervenute nel tempo in
materia; degli accertamenti
ispettivi effettuati, negli anni 2008,
2009 e 2010, presso le maggiori
banche e/o gruppi bancari nazionali
nonche' presso «Poste Italiane
S.p.a.»; degli specifici provvedimenti
collegiali adottati dal Garante
all'esito di alcuni di tali
accertamenti; delle risultanze di
un'ulteriore attivita' di indagine
e rilevazione, svolta con la
collaborazione dell'Associazione
bancaria italiana (di seguito, ABI)
e ultimata nel mese di ottobre
2010.
Con istanze rivolte
all'Autorita', numerosi interessati hanno
dichiarato di essere venuti a
conoscenza che dati personali a loro
riferiti (in specie, informazioni
bancarie), conservati nei data base
di alcune banche con le
quali avevano instaurato rapporti
contrattuali, erano stati oggetto
di indebito accesso, verosimilmente
da parte di alcuni dipendenti, i
quali, successivamente, li avrebbero
comunicati a terzi che li avrebbero
utilizzati per scopi personali e,
segnatamente, in vista di una loro
produzione in giudizio (di norma,
in separazioni giudiziali e
procedure esecutive, in particolare, in
pignoramenti presso terzi).
Considerata la rilevanza del
tema, l'Autorita' ha disposto
accertamenti ispettivi presso
alcuni istituti bancari volti a
verificare, anzitutto, se
effettivamente vi fossero stati accessi da
parte di dipendenti alle
informazioni bancarie dei clienti e i
presupposti degli stessi.
All'esito dell'attivita'
ispettiva svolta, sono emersi non solo
elementi che hanno consentito di
definire alcune segnalazioni con
singole decisioni del Garante
(provvedimenti 28 maggio 2009, doc. web
n. 1624734; 18 giugno 2009, doc.
web n. 1635720; 23 luglio 2009, doc.
web n. 1640294; 18 marzo 2010, doc.
web n. 1715015), ma anche profili
problematici di carattere generale.
Inoltre, in ragione
dell'accertata diversita' di soluzioni
organizzative adottate dalle banche
e dell'elevato numero di soggetti
coinvolti nell'indagine
intrapresa, l'Autorita' ha ritenuto
necessario coinvolgere l'ABI in
nuovi approfondimenti volti a
chiarire ulteriormente le
problematiche in esame.
Tali approfondimenti si sono
concretizzati nella predisposizione,
da parte dell'Autorita', di un
questionario tipo, teso a rilevare le
scelte organizzative effettuate
dalle singole banche in relazione ai
profili in questione, cui ha fatto
riscontro un successivo documento
elaborato dall'ABI in forma
aggregata e anonima, da cui risulta che
alla rilevazione hanno partecipato
«340 tra banche e gruppi bancari,
che fanno complessivamente
riferimento a 441 banche operanti sul
territorio italiano».
2. La circolazione delle
informazioni tra le banche appartenenti al
gruppo.
2.1. Aspetti organizzativi
emersi a seguito dell'attivita'
istruttoria condotta.
La circolazione delle
informazioni riferite alla clientela
nell'ambito di un gruppo bancario
puo' avvenire a diversi livelli
astrattamente riconducibili a tre
distinte tipologie:
1) la comunicazione di dati
personali tra banche appartenenti al
medesimo gruppo;
2) la circolazione di tali
dati tra agenzie o filiali della
stessa banca;
3) la circolazione di dati
nell'ambito di una stessa agenzia o
filiale.
Nella prima tipologia, relativa
alla circolazione di dati personali
della clientela tra banche
appartenenti ad uno stesso gruppo,
l'attivita' ispettiva svolta ha
consentito di accertare che presso le
singole realta' bancarie sono state
effettuate scelte diversificate.
In proposito sono state
rilevate due fattispecie di seguito
riportate:
in un caso, tra le agenzie di
diverse banche appartenenti al
gruppo era prevista una
circolarita' limitata alle sole operazioni di
versamento e prelevamento,
senza avere mai la possibilita' di
conoscere il saldo contabile o la
lista movimenti del conto acceso
presso altro istituto del gruppo;
in un altro caso, e' emerso un
regime di piena circolarita' delle
informazioni all'interno del
gruppo bancario: la posizione del
cliente e i suoi dati bancari erano
accessibili dagli operatori di
sportello, designati incaricati
del trattamento, in ragione delle
funzioni svolte e dei profili di
autorizzazione ad esse correlati,
senza limitazioni.
Anche nella seconda tipologia,
relativa alla circolazione delle
informazioni tra agenzie o filiali
della medesima banca, l'attivita'
ispettiva ha fatto emergere
notevoli differenze:
in un caso, i dati dei clienti
di una determinata agenzia sono
risultati integralmente visibili
per gli incaricati della stessa
agenzia in possesso di adeguati
profili di autorizzazione, i quali
potevano non solo operare sui conti
accesi presso la medesima, ma
anche venire a conoscenza
dell'esistenza di altri rapporti con lo
stesso cliente presso altre agenzie
della stessa banca, senza pero'
poterne visualizzare
l'effettiva consistenza patrimoniale.
Nell'ambito delle agenzie
appartenenti alla stessa banca, gli
incaricati abilitati potevano
effettuare, su richiesta di clienti
titolari di rapporti
incardinati presso altra agenzia, talune
operazioni bancarie (versamento,
prelievo, bonifico, operazioni su
titoli, ecc.) con possibilita' di
ottenere il saldo o la lista dei
movimenti solo dopo la corretta
effettuazione di una operazione di
natura dispositiva;
in un altro caso, gli
incaricati non potevano effettuare
operazioni di sportello, ad
eccezione dei versamenti in contanti, in
filiali diverse da quella presso
la quale era gestito il conto
corrente di uno specifico
interessato. In tale ipotesi, la banca non
operava in regime di circolarita',
tranne che per le operazioni di
visualizzazione dei dati bancari,
che tutti gli addetti presso una
specifica filiale potevano
compiere in relazione ai dati bancari
anche di clienti di altre filiali;
in un ultimo caso, infine, si
prevedeva che i dipendenti operanti
all'interno di una filiale
potessero accedere ai dati in esame
limitatamente ai rapporti accesi
presso la filiale medesima.
Nella terza tipologia, e'
stato rilevato che, generalmente,
all'interno di una agenzia o
filiale di una medesima banca la
circolazione dei dati dei clienti
avviene solo tra incaricati del
trattamento in possesso di
specifici profili di autenticazione e
autorizzazione.
2.2. Profili di protezione dei
dati personali.
Le risultanze istruttorie hanno
evidenziato che le banche agiscono
quali autonomi titolari del
trattamento.
Da cio' consegue che il flusso
di dati personali riferiti ai
clienti nell'ambito di gruppi si
configura come comunicazione a
terzi.
Nell'informativa resa alla
clientela, pertanto, ai sensi dell'art.
13 del Codice, ogni banca, titolare
del trattamento deve indicare che
i dati personali della
clientela possono essere oggetto di
comunicazione ad altri titolari
del trattamento nell'ambito del
medesimo gruppo bancario.
In relazione al profilo del
consenso, si rileva che la
comunicazione di dati, in tale
ambito, e' possibile solo ove sia
stato acquisito il consenso
informato dell'interessato (art. 23 del
Codice) o si sia in presenza di uno
dei presupposti di esonero del
consenso previsti dall'art. 24 del
Codice.
Al contrario, il flusso di dati
tra diverse agenzie o filiali di
una stessa banca costituisce
circolazione di informazioni all'interno
di un unico titolare del
trattamento e, non configurando
un'operazione di comunicazione di
dati a terzi, non richiede il
consenso degli interessati.
L'informativa, tuttavia, potra'
contenere anche l'indicazione che i
dati della clientela potranno
circolare tra le agenzie o filiali di
ciascuna banca.
3. La circolazione delle
informazioni tra le banche del gruppo e i
soggetti che gestiscono i sistemi
informativi contenenti dati bancari
della clientela.
3.1. Aspetti organizzativi
emersi a seguito dell'attivita'
istruttoria condotta.
Sotto il profilo organizzativo,
all'esito dell'attivita' ispettiva
e' emerso che i sistemi informativi
contenenti i dati relativi alla
clientela delle banche, mediante
i quali vengono registrati gli
accessi dei dipendenti a tali dati,
sono gestiti da societa' (interne
o esterne alla compagine di
gruppo) con le quali ciascuna banca
stipula appositi contratti di
servizio. In proposito, l'ABI ha
individuato due tipologie
organizzative:
1) gruppi bancari
caratterizzati da una gestione prevalentemente
interna del sistema informativo
[...] affidata a una societa' di
servizio appartenente al gruppo
bancario, che si configura come
soggetto terzo responsabile o,
in alcuni casi, titolare del
trattamento dei dati personali
[...];
2) gruppi bancari/banche
caratterizzati da una gestione
prevalentemente esterna del sistema
informativo [...] caratterizzati
da un elevato livello di
outsourcing, in relazione alla gestione del
sistema informativo. In questo
caso, la banca titolare del
trattamento, esternalizzando la
gestione dei dati, designa il
soggetto terzo «responsabile del
trattamento».
Nell'ambito della prima
tipologia organizzativa, l'ABI ha
evidenziato che la c.d. societa'
«strumentale», nella maggior parte
dei casi, assume la veste di
titolare autonomo del trattamento dei
dati della clientela; sono anche
presenti, tuttavia, casi residuali
di designazione della stessa
come responsabile del trattamento.
Nell'ambito di tale tipologia si
possono evidenziare due ulteriori
sottocategorie:
a) le realta' bancarie di
grandi dimensioni, ove la gestione dei
sistemi informativi e' affidata a
una societa' «strumentale» interna
al gruppo che puo' assumere
diverse forme, tra cui quella del
consorzio, e che puo' avvalersi di
soggetti terzi per la gestione di
talune attivita' soprattutto di
carattere infrastrutturale;
b) le realta' bancarie di medie
dimensioni, ove si configurano
sistemi informativi in alcuni casi
analoghi a quelli descritti alla
precedente lettera a), in
altri casi centralizzati presso la
capogruppo.
Nell'ambito della seconda
tipologia organizzativa descritta
dall'ABI, la gestione del
sistema informativo mediante il quale
vengono effettuate operazioni di
trattamento dei dati personali della
clientela della banca e' affidata,
in prevalenza, a un unico soggetto
terzo (solo in casi limitati sono
previsti anche piu' soggetti, in
genere in numero non superiore a
due) che «partecipa alle attivita'
di trattamento e gestione delle
informazioni sulla base di una serie
di servizi elencati e concordati
nell'ambito di accordi contrattuali,
definiti in funzione delle
specifiche esigenze della singola banca».
3.2. Profili di protezione dei
dati personali.
Le differenti soluzioni adottate
dalle banche e dai gruppi bancari,
in coerenza con le proprie
specifiche caratteristiche, anche
dimensionali e operative,
rendono opportuno formulare alcune
prescrizioni in merito alle
modalita' attraverso le quali ciascuna
banca o gruppo bancario puo'
garantire la trasmissione alla societa'
che gestisce i sistemi informativi
dei dati personali relativi ai
clienti. Alla luce
dell'esame complessivo delle risultanze
istruttorie, si deve ritenere che
la qualificazione delle societa'
che gestiscono i sistemi
informativi (di seguito denominati
semplicemente «outsourcer») quali
autonomi «titolari del trattamento»
(con tutte le conseguenze che
cio' comporta anche in termini di
eventuale responsabilita' civile
nei confronti degli interessati)
spesso puo' risultare non conforme
alle previsioni del Codice (e,
segnatamente, agli articoli 4,
comma 1, lettere f) e g), 28 e 29).
Infatti, benche'
l'esternalizzazione dei sistemi informativi
costituisca una libera scelta
organizzativa di esclusiva pertinenza
delle banche, affinche' i connessi
trattamenti di dati personali dei
clienti risultino conformi alla
disciplina sulla protezione dei dati
personali, e' indispensabile che
ciascuna banca valuti attentamente
se le societa' di gestione di detti
sistemi (a prescindere dal fatto
che si tratti di soggetti interni o
esterni alla compagine di gruppo
o alla singola banca), alla luce
delle specifiche attivita' che sono
chiamate a svolgere in base ai
contratti di servizio, possano essere
effettivamente considerate quali
autonomi titolari o non vadano
invece designate quali
«responsabili» del trattamento ai sensi
dell'art. 29 del Codice (in questo
senso vedi anche il parere del
Gruppo art. 29 sulla protezione dei
dati, n. 1/2010 -WP 169, del 16
febbraio 2010).
Infatti, la posizione di
«titolare» del trattamento, pur
astrattamente riconoscibile anche
in capo all'outsourcer, risulta,
tuttavia, ascrivibile solo alla
banca nei casi in cui la stessa abbia
il potere di:
1) assumere decisioni relative
alle finalita' del trattamento;
2) impartire istruzioni e
direttive vincolanti nei confronti
delle societa' di gestione dei
sistemi informativi, sostanzialmente
corrispondenti alle istruzioni che
il titolare del trattamento deve
impartire al responsabile;
3) svolgere funzioni di
controllo rispetto all'operato delle
medesime e degli incaricati delle
stesse.
Alla luce di tali considerazioni,
quando il trattamento di dati
personali dei clienti da parte
dell'outsourcer e' svolto restando
riservati alle banche i, sopra
indicati, riconosciuti dal Codice solo
al titolare (articoli 4, comma 1,
lettera f) e 28) e dunque, in
concreto, detti poteri, non
risultino effettivamente posti in capo
all'outsourcer, le banche
devono essere considerate gli unici
titolari del trattamento, con
conseguente necessita' di designare le
societa' operanti in outsourcing
quali responsabili (articoli 4,
comma 1, lettera g) e 29, commi 4 e
5 del Codice).
4. Il «tracciamento» delle
operazioni di accesso ai dati e gli
strumenti di audit.
4.1. Aspetti organizzativi
emersi a seguito dell'attivita'
istruttoria.
In relazione al profilo degli
accessi informatici da parte dei
dipendenti delle banche ai
dati relativi alla clientela e al
correlato tracciamento delle
operazioni poste in essere dagli stessi,
si ritiene di dover formulare
alcune prescrizioni.
Le diverse soluzioni adottate da
ciascuna banca o gruppo bancario,
oggetto di accertamento in loco
in ordine alle caratteristiche
tecnologiche dei sistemi
informativi con cui vengono tracciate le
operazioni bancarie (sia
dispositive, sia di semplice inquiry), sono
espressione della discrezionalita'
riconosciuta a ciascuna banca o
gruppo bancario nel dare
attuazione a quanto previsto nelle
«Disposizioni di vigilanza per le
banche in materia di conformita'
alle norme (compliance)», adottate
dalla Banca d'Italia il 10 luglio
2007. In linea con gli orientamenti
emersi in sede internazionale, le
istruzioni di vigilanza
definiscono ruolo e responsabilita' degli
organi di vertice delle banche e
prevedono la costituzione della
funzione di compliance, quale
elemento integrante del sistema dei
controlli interni. Tale
funzione, istituita per la prima volta
proprio con le citate disposizioni,
e' preposta al presidio e alla
gestione del rischio di incorrere
in sanzioni amministrative, perdite
finanziarie rilevanti o danni
di reputazione in conseguenza di
violazioni di norme imperative o di
autoregolamentazione (rischio di
compliance). Le disposizioni
stabiliscono i principali compiti e i
requisiti qualitativi minimi
della funzione di compliance, le
attribuzioni del suo responsabile,
le interrelazioni con le altre
funzioni aziendali (in
particolare con la funzione di controllo
interno, c.d. internal auditing).
Tale funzione, preposta al
controllo interno nelle banche, e'
disciplinata dalla legge e da
un quadro di norme regolamentari
emanate dalla Banca d'Italia
mediante apposite istruzioni, in
particolare, le istruzioni di
vigilanza in materia di «Organizzazione
e controlli interni». Queste ultime
richiedono alle banche di dotarsi
di sistemi di monitoraggio dei
rischi aziendali e di verifica
dell'affidabilita' e della
sicurezza, anche dei sistemi informativi,
istituendo indicatori di
anomalie (c.d. alert) per orientare
successivi interventi di audit.
In assenza di disposizioni
normative recanti obblighi in materia di
tracciabilita' delle operazioni
bancarie con riguardo sia all'an sia
al quantum della conservazione
dei file di log, si rileva che,
nell'ambito della
discrezionalita' riconosciuta alle banche
nell'organizzare la funzione di
compliance, tutte le banche
sottoposte ad attivita' ispettiva
hanno ritenuto di implementare
sistemi di controllo delle
operazioni dispositive con finalita' di
tutela del patrimonio dei clienti e
dell'attivita' bancaria, ma solo
alcune di esse sono risultate in
possesso di sistemi di tracciamento
riguardanti anche operazioni di
semplice consultazione (inquiry) dei
conti correnti o di altri rapporti
contrattuali riferiti ai clienti.
Anche in quest'ultimo caso, a causa
di tempi di conservazione dei
file di log troppo ristretti,
tuttavia non e' stato sempre possibile
risalire ai dettagli di
un'operazione di accesso ai dati posta in
essere da un incaricato.
Al riguardo, nel prendere
atto dell'assenza di disposizioni
normative in tale ambito, si
ritiene opportuno prescrivere alcune
misure in ordine a:
«tracciamento» degli accessi ai
dati bancari dei clienti;
tempi di conservazione dei
relativi file di log;
implementazione di alert volti
a rilevare intrusioni o accessi
anomali ai dati bancari, tali da
configurare eventuali trattamenti
illeciti.
4.2. Il «tracciamento» degli
accessi ai sistemi e i tempi di
conservazione dei relativi file di
log.
4.2.1. Tracciamento delle
operazioni.
Al fine di assicurare il
controllo delle attivita' svolte sui dati
dei clienti e dei potenziali
clienti da ciascun incaricato del
trattamento (quali che siano la sua
qualifica, le sue competenze e
gli ambiti di operativita' e le
finalita' del trattamento che e'
tenuto a svolgere) devono
essere adottate idonee soluzioni
informatiche. Oltre alle misure
minime di sicurezza, gia' prescritte
dall'art. 34 del Codice nel caso
di trattamento di dati personali
effettuato con strumenti
elettronici (con particolare riguardo alla
necessita' di «protezione degli
strumenti elettronici e dei dati
rispetto a trattamenti illeciti
[...]» di cui alla lettera e) del
citato art. 34), e' necessario
implementare misure idonee (art. 31
del Codice) che permettano un
efficace e dettagliato controllo anche
in ordine ai trattamenti
condotti sui singoli elementi di
informazione presenti nei diversi
database utilizzati.
Tali soluzioni comprendono la
registrazione dettagliata, in un
apposito log, delle informazioni
riferite alle operazioni bancarie
effettuate sui dati bancari, quando
consistono o derivano dall'uso
interattivo dei sistemi operato
dagli incaricati, sempre che non si
tratti di consultazioni di dati in
forma aggregata non riconducibili
al singolo cliente.
In particolare, i file di log
devono tracciare per ogni operazione
di accesso ai dati bancari
effettuata da un incaricato, almeno le
seguenti informazioni:
il codice identificativo del
soggetto incaricato che ha posto in
essere l'operazione di accesso;
la data e l'ora di esecuzione;
il codice della postazione di
lavoro utilizzata;
il codice del cliente
interessato dall'operazione di accesso ai
dati bancari da parte
dell'incaricato;
la tipologia di rapporto
contrattuale del cliente a cui si
riferisce l'operazione effettuata
(es. numero del conto corrente,
fido/mutuo, deposito titoli).
Le misure di cui al presente
paragrafo sono adottate nel rispetto
della vigente disciplina in
materia di controllo a distanza dei
lavoratori (art. 4, l. 20 maggio
1970, n. 300), tenendo altresi'
conto dei principi affermati dal
Garante in tema di informativa agli
interessati nelle linee guida
sull'utilizzo della posta elettronica e
di internet (provvedimento 1° marzo
2007, doc. web n. 1387522).
4.2.2. Conservazione dei log di
tracciamento delle operazioni.
Il periodo di conservazione dei
file di log che tracciano gli
accessi varia in base alla
tipologia di log memorizzato; inoltre,
fatta eccezione per quelli che
tracciano gli accessi degli
amministratori di sistema (per i
quali e' previsto un periodo minimo
di conservazione di sei mesi; vedi
punto 4.5 del provvedimento 27
novembre 2008, doc. web n.
1577499), per gli altri log non sono
normativamente prescritti tempi di
conservazione. Anche le risultanze
istruttorie hanno confermato che i
log sono conservati per un periodo
variabile (in tal senso e' anche la
documentazione prodotta dall'ABI,
che rileva come i log di
accesso ai sistemi informativi siano
conservati mediamente per 12
mesi, mentre i log file delle
transazioni bancarie sono
conservati per un periodo non inferiore a
10 anni).
Tuttavia, alla luce
dell'esperienza maturata in sede ispettiva, si
ritiene congruo stabilire che i log
di tracciamento delle operazioni
di inquiry siano conservati per un
periodo non inferiore a 24 mesi
dalla data di registrazione
dell'operazione. Cio' in quanto un
periodo di tempo inferiore non
consentirebbe agli interessati di
venire a conoscenza dell'avvenuto
accesso ai propri dati personali e
delle motivazioni che lo hanno
determinato.
4.3.L'implementazione di alert
volti a rilevare intrusioni o
accessi anomali e abusivi ai
sistemi informativi.
4.3.1. Implementazione di
alert.
Deve essere prefigurata da
parte delle banche l'attivazione di
specifici alert che individuino
comportamenti anomali o a rischio
relativi alle operazioni di
inquiry eseguite dagli incaricati del
trattamento.
Anche a tal fine, negli
strumenti di business intelligence
utilizzati dalle banche per
monitorare gli accessi alle banche dati
contenenti dati bancari devono
confluire i log relativi a tutti gli
applicativi utilizzati per gli
accessi da parte degli incaricati del
trattamento.
4.3.2. Audit interno di
controllo - Rapporti periodici.
La gestione dei dati bancari
deve essere oggetto, con cadenza
almeno annuale, di un'attivita' di
controllo interno da parte dei
titolari del trattamento, in modo
che sia verificata costantemente la
rispondenza alle misure
organizzative, tecniche e di sicurezza
riguardanti i trattamenti dei dati
personali previste dalle norme
vigenti.
L'attivita' di controllo deve
essere demandata a un'unita'
organizzativa o, comunque, a
personale diverso rispetto a quello cui
e' affidato il trattamento dei dati
bancari dei clienti.
I controlli devono comprendere
anche verifiche a posteriori, a
campione, o a seguito di allarme
derivante da sistemi di alerting e
di anomaly detection, sulla
legittimita' e liceita' degli accessi ai
dati effettuati dagli incaricati,
sull'integrita' dei dati e delle
procedure informatiche adoperate
per il loro trattamento. Sono
svolte, altresi', verifiche
periodiche sulla corretta conservazione
dei file di log per il periodo
previsto al punto 4.2.2.
L'attivita' di controllo deve
essere adeguatamente documentata in
modo tale che sia sempre possibile
risalire ai sistemi verificati,
alle operazioni tecniche su di essi
effettuate, alle risultanze delle
analisi condotte sugli accessi
e alle eventuali criticita'
riscontrate.
L'esito dell'attivita' di
controllo deve essere:
comunicato alle persone e agli
organi legittimati ad adottare
decisioni e a esprimere, a
vari livelli in base al proprio
ordinamento interno, la volonta'
della banca;
richiamato nell'ambito del
documento programmatico sulla
sicurezza nel quale devono
essere indicati gli interventi
eventualmente necessari per
adeguare le misure di sicurezza;
messo a disposizione del
Garante, in caso di specifica richiesta.
5. Informazioni in caso di accessi
non autorizzati.
5.1. Informazioni
all'interessato.
Le banche comunicano senza
ritardo all'interessato le operazioni di
trattamento illecito effettuate,
sui dati personali allo stesso
riferiti, dagli incaricati. Tale
tempestiva informazione, infatti, in
termini generali, puo'
consentire all'interessato l'adozione di
appropriate misure e, ove
possibile, una minimizzazione dei rischi
connessi alla violazione della
disciplina di protezione dei dati
personali.
Tale comunicazione costituisce
misura opportuna ai sensi dell'art.
154, comma 1, lettera c) del
Codice.
5.2. Comunicazioni al Garante.
Le banche comunicano
tempestivamente al Garante, fornendo gli
opportuni dettagli, i casi in cui
risultino accertate violazioni,
accidentali o illecite, nella
protezione dei dati personali, purche'
di particolare rilevanza per la
qualita' o la quantita' di dati
coinvolti e/o il numero di clienti
interessati, dalle quali derivino
la distruzione, la perdita, la
modifica, la rivelazione non
autorizzata dei dati della
clientela.
Tale comunicazione costituisce
misura opportuna ai sensi dell'art.
154, comma 1, lettera c) del
Codice.
Tutto cio'
premesso, il Garante
ai sensi dell'art. 154, comma 1,
lettera c) del Codice, prescrive le
misure di seguito indicate alle
banche, incluse quelle facenti parte
di gruppi; alle societa' diverse
dalle banche, purche' siano parte di
tali gruppi; a «Poste Italiane
S.p.a.» nell'esercizio dell'attivita'
di cui al punto 1.2. del presente
provvedimento:
1) misure necessarie:
a) designazione
dell'outsourcer quale responsabile del
trattamento (punto 3.2): quando il
trattamento di dati personali dei
clienti da parte di outsourcer e'
svolto restando riservati alle
banche i poteri riconosciuti dal
Codice solo al titolare (articoli 4,
comma 1, lettera f) e 28), e
dunque, in concreto, detti poteri, non
risultino posti effettivamente in
capo all'outsourcer, le stesse
banche, quali unici titolari del
trattamento, devono designare le
societa' operanti in outsourcing
responsabili ai sensi degli articoli
4, comma 1, lettera g) e 29, commi
4 e 5 del Codice;
b) tracciamento delle
operazioni (punto 4.2.1): devono essere
adottate idonee soluzioni
informatiche per il controllo dei
trattamenti condotti sui singoli
elementi di informazione presenti
sui diversi database. Tali
soluzioni comprendono la registrazione
dettagliata, in un apposito log,
delle informazioni riferite alle
operazioni bancarie effettuate sui
dati bancari, quando consistono o
derivano dall'uso interattivo dei
sistemi operato dagli incaricati,
sempre che non si tratti di
consultazioni di dati in forma aggregata
non riconducibili al singolo
cliente.
In particolare, i file di log
devono tracciare per ogni operazione
di accesso ai dati bancari
effettuata da un incaricato, almeno le
seguenti informazioni:
il codice identificativo del
soggetto incaricato che ha posto in
essere l'operazione di accesso;
la data e l'ora di esecuzione;
il codice della postazione di
lavoro utilizzata;
il codice del cliente
interessato dall'operazione di accesso ai
dati bancari da parte
dell'incaricato;
la tipologia di rapporto
contrattuale del cliente a cui si
riferisce l'operazione effettuata
(es.: numero del conto corrente,
fido/mutuo, deposito titoli);
c) conservazione dei log
di tracciamento delle operazioni
(punto 4.2.2): il periodo di
conservazione dei file di log delle
operazioni di inquiry non deve
essere inferiore a 24 mesi dalla data
di registrazione dell'operazione;
d) implementazione di alert
(punto 4.3.1):
i. deve essere
prefigurata da parte delle banche
l'attivazione di specifici
alert che individuino comportamenti
anomali o a rischio relativi alle
operazioni di inquiry;
ii. negli strumenti di
business intelligence devono confluire
i log relativi a tutti gli
applicativi utilizzati per gli accessi;
e) audit interno di
controllo - rapporti periodici (punto
4.3.2):
i. la gestione dei dati
bancari deve essere oggetto, con
cadenza almeno annuale, di
un'attivita' di controllo interno da parte
dei titolari del trattamento;
ii. l'attivita' di
controllo deve essere demandata a
un'unita' organizzativa o,
comunque, a personale diverso rispetto a
quello cui e' affidato il
trattamento dei dati bancari dei clienti;
iii. i controlli devono
comprendere anche verifiche a
posteriori, a campione o su
eventuale allarme derivante da sistemi di
alerting e di anomaly detection,
sulla legittimita' e liceita' degli
accessi ai dati effettuati dagli
incaricati, sull'integrita' dei dati
e delle procedure informatiche
adoperate per il loro trattamento.
Sono svolte, altresi',
verifiche periodiche sulla corretta
conservazione dei file di log per
il periodo previsto al punto 4.2.2;
iv. l'attivita' di
controllo deve essere adeguatamente
documentata e il relativo esito
deve essere comunicato ai soggetti
indicati al punto 4.3.2;
2) misure opportune:
f) informativa
all'interessato (punto 2.2).
L'informativa resa
all'interessato ai sensi dell'art. 13 del
Codice, potra' contenere anche
l'indicazione che i dati della
clientela potranno circolare tra le
agenzie o filiali di ciascuna
banca;
g) informazioni
all'interessato (punto 5.1).
Le banche comunicano, senza
ritardo, all'interessato le operazioni
di trattamento illecito effettuate,
sui dati personali allo stesso
riferiti, dagli incaricati;
h) comunicazioni al Garante
(punto 5.2).
Le banche comunicano
tempestivamente al Garante i casi in cui
risulti accertata una
violazione, accidentale o illecita, nella
protezione dei dati personali, di
particolare rilevanza;
3) dispone, che le misure di
cui al punto 1) del presente
dispositivo, siano adottate entro
30 mesi dalla pubblicazione del
presente provvedimento sulla
Gazzetta Ufficiale;
4) dispone, ai sensi dell'art.
143, comma 2, del Codice, di
trasmettere al Ministero della
giustizia - Ufficio pubblicazione
leggi e decreti copia del presente
provvedimento, per la relativa
pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana.
Roma, 12 maggio 2011
Il presidente
relatore: Pizzetti
Il segretario generale: De Paoli |
