Banche e Privacy

Il provvedimento del Garante Privacy del 12 maggio 2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie“, ha introdotto nuovi obblighi e pesanti adempimenti per quanto concerne il trattamento dei dati sia nel settore bancario sia all’interno di Poste Italiane S.p.A.

La novità più rilevante attiene all’obbligo, per gli istituti finanziari sopra indicati, di utilizzare specifiche tecnologie al fine di conservare traccia dell’attività dei dipendenti nell’ambito delle rispettive mansioni sul luogo di lavoro: con tale provvedimento, pertanto, per la seconda volta viene sovvertito un principio generale in materia di privacy e diritto del lavoro, ossia quello che vieta al datore di lavoro di effettuare controlli mirati sull’attività lavorativa del dipendente. Prima delle banche simili prescrizioni erano state individuate per i fornitori di servizi di comunicazione elettronica con il provvedimento “Sicurezza dei dati di traffico telefonico e telematico” del Garante Privacy del 17 gennaio 2008.

Il Garante, a seguito di numerose istanze pervenutegli, di accertamenti ispettivi effettuati tra il 2008 e il 2010 presso le maggiori banche o gruppi bancari e degli esiti di un’ulteriore attività di rilevazione su 441 banche svolta in collaborazione con Abi, ha ritenuto necessario individuare specifiche misure di sicurezza al fine di garantire il cliente da accessi non autorizzati e intrusioni indebite, tutelando il corretto trattamento dei suoi dati personali.

Non è la prima volta che le banche sono oggetto di interventi specifici del Garante Privacy: già nel 2007 il Garante aveva ritenuto illecito utilizzare i dati personali presenti nelle “centrali rischi” per scopi estranei all’attività di rilascio o di gestione dei finanziamenti, come ad esempio l’attività di marketing. L’utilizzazione dei dati personali può, dunque, avvenire soltanto se strettamente connessa all’istruttoria di una richiesta di finanziamento.

Questa volta oggetto dell’intervento del Garante sono stati i dati dei clienti. Con molta frequenza, infatti, a tali dati sono stati operati accessi indebiti, presumibilmente da parte di dipendenti che comunicavano tali dati a terzi perché fossero utilizzati a scopo personale, in genere in cause di separazione giudiziale e in procedure esecutive.

Alla luce di ciò, ogni tipo di operazione effettuata sui dati dei clienti, sia che comporti movimentazione di denaro o che sia una semplice consultazione, da parte di soggetti incaricati operanti all’interno della banca, dovrà essere tracciata (ovvero loggata) attraverso la raccolta e la conservazione di una serie di informazioni (log file) quali:

– il codice identificativo del soggetto incaricato che ha effettuato l’operazione di accesso;

– la data e l’ora di esecuzione;

– il codice della postazione di lavoro utilizzata;

– il codice del cliente interessato dall’operazione di accesso ai dati bancari da parte dell’incaricato;

– la tipologia di rapporto contrattuale del cliente a cui si riferisce l’operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli).

Quanto sopra indicato rientra nel concetto di idoneità delle misure di sicurezza implementate (art. 31 Codice Privacy), che permette un efficace e dettagliato controllo anche per i trattamenti condotti su singoli elementi di informazione presenti nei database utilizzati. Si tratta, quindi, di mettere in piedi un vero e proprio sistema di audit log di tutta l’attività degli incaricati del trattamento che, a vario titolo, operano sui dati dei clienti all’interno dell’istituto bancario.

Accanto a tale prescrizione sono stati individuati altri obblighi che riguardano i tempi di conservazione dei relativi file di log e l’implementazione di alert volti a rilevare intrusioni o accessi anomali ai dati bancari: questo allo scopo di conoscere in ogni momento chi ha avuto accesso a un determinato conto corrente o ha effettuato operazioni e quando, e di riconoscere eventuali trattamenti illeciti.

Il periodo di conservazione dei file di log che tracciano gli accessi, infatti, varia in base alla tipologia di log memorizzato; inoltre, fatta eccezione per i file che tracciano gli accessi degli amministratori di sistema (e che devono essere conservati per un minimo di 6 mesi, come stabilisce un altro provvedimento del Garante), per gli altri log non sono normativamente prescritti tempi di conservazione. Per tali motivi, è stato stabilito che i file di log debbano essere conservati per un periodo non inferiore ai 24 mesi dalla data di registrazione dell’operazione, compresa quella di semplice consultazione, poiché un periodo di tempo inferiore non consentirebbe agli interessati di venire a conoscenza dell’accesso ai propri dati personali e delle motivazioni che lo hanno determinato.

Le banche, inoltre, dovranno prevedere l’attivazione di alert volti a rilevare intrusioni o accessi anomali e abusivi ai sistemi informativi (come le consultazioni massive o gli accessi ripetuti su uno stesso nominativo, etc.). Pertanto, negli strumenti di business intelligence utilizzati dalle banche per monitorare gli accessi ai database dovranno confluire i log relativi a tutti gli applicativi utilizzati per l’accesso da parte degli incaricati del trattamento.

Così come era stato già prescritto in materia di controllo sui log degli amministratori di sistema nel relativo provvedimento del Garante Privacy, anche in questo caso la gestione dei dati bancari deve essere oggetto almeno annualmente di un’attività di controllo interno da parte dei titolari del trattamento, in modo che sia verificata costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Nel rispetto del principio in base al quale “chi esegue non verifica”, l’attività di controllo dovrà essere demandata a un’unità organizzativa terza, o comunque a personale diverso rispetto a quello a cui è affidato il trattamento dei dati bancari dei clienti (i controlli devono comprendere anche verifiche a posteriori, a campione o a seguito di allarme derivante da sistemi di alerting e di anomaly detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull’integrità dei dati e delle procedure informatiche adoperate per il loro trattamento).

Tra le principali implicazioni derivanti da tale attività di verifica, inoltre, possiamo notare come l’esito dell’attività di controllo sopra descritta debba essere poi:

– comunicato alle persone e agli organi legittimati ad adottare decisioni e a esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della banca;

– richiamato nell’ambito del documento programmatico sulla sicurezza, nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza;

– messo a disposizione del Garante, in caso di specifica richiesta.

Quale misura di sicurezza necessaria ai sensi dell’art. 154, comma 1, lett. c) del Codice Privacy, agli istituti bancari è stato infine raccomandato di comunicare tempestivamente al cliente (alias interessato) le operazioni di trattamento illecito effettuate dai propri incaricati (come eventuali accessi non autorizzati al conto o sui dati personali allo stesso riferiti); questo perché tale comunicazione può consentire all’interessato l’adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali.

Si dovranno altresì rendere note al Garante, mediante apposita comunicazione, eventuali violazioni nella protezione dei dati personali, accidentali o illecite, di particolare rilevanza (per quantità, qualità dei dati, numero dei clienti coinvolti), dalle quali derivino la distruzione, la perdita, la modifica, la rivelazione non autorizzata dei dati della clientela.

Precisiamo che, sino ad oggi, esistevano solo poche specifiche normative che obbligavano le banche ad effettuare audit trail completi: ricordiamo, ad esempio, il tracciamento di tutte le attività relative alle transazioni internazionali regolate dalla Society for Worldwide Interbank Financial Telecommunication (SWIFT), che già in passato aveva richiesto più volte l’intervento del Garante.

Con le nuove regole, quindi, il Garante ha voluto prescrivere a tutti gli istituti bancari l’adozione di misure di sicurezza molto rigorose che, se non rispettate, potranno comportare a carico del Titolare del trattamento sanzioni molto pesanti: si tratta, infatti, di misure di sicurezza c.d. “necessarie” perché oggetto di prescrizione resa dal Garante ai sensi dell’art. 154, comma 1, lett. c) del Codice Privacy, che, in caso di mancato adempimento, comporta una sanzione che può variare dai 30.000,00 ai 180.000,00 euro.

Sarà necessario, inoltre, riprendere e integrare i vari regolamenti interni (privacy policy) di ciascun istituto, adeguandoli alle nuove prescrizioni e rendendo trasparente a tutti gli incaricati interni (che a vario titolo partecipano al trattamento in qualità di incaricati o responsabili) questa nuova attività di tracciamento, contemperando così le esigenze di sicurezza con quelle che riguardano il rispetto dello Statuto dei lavoratori e, in genere, la riservatezza del dipendente.

Le banche, quindi, hanno 30 mesi di tempo per implementare i controlli e le attività richieste dal Garante per tutelare i clienti da eventuali trattamenti illegittimi dei loro dati personali. Il Garante aveva avuto modo di esprimersi già su situazioni simili: http://www.garanteprivacy.it/garante/doc.jsp?ID=1390872

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Banche e Privacy

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Il regime giuridico dei dati della sperimentazione critica. Privatizzazione della conoscenza vs scienza aperta

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco