Obblighi di tracciabilità delle operazioni bancarie: slittato di un anno l'adeguamento al provvedimento - Studio Legale Lisi

di avv. Graziano Garrisi – vicecoordinatore ABIRT
Digital & Law Department, Studio Legale Lisi
pubblicato sulla rivista Information Security (Edisef), settembre-ottobre 2013

Il 18 luglio 2013, con il provvedimento n.3571, il Garante per la protezione dei dati personali ha emanato alcuni chiarimenti sulla delibera n.192/2011, relativa alla circolazione delle informazioni dei clienti all’interno dei gruppi bancari e alla tracciabilità delle operazioni bancarie. Questa tematica è molto attuale in quanto a breve sarebbero dovuti entrare in vigore una serie di adempimenti per le banche che hanno un forte impatto in termini organizzativi e di sicurezza.

Nello specifico, con il provvedimento n.192/2011, il Garante Privacy aveva introdotto nuovi e pesanti adempimenti circa il trattamento dei dati sia nel settore bancario sia all’interno di Poste Italiane S.p.A.; le novità più rilevanti introdotte, infatti, riguardano l’obbligo per gli istituti finanziari indicati di utilizzare specifiche tecnologie per conservare traccia dell’attività dei dipendenti nell’ambito delle rispettive mansioni sul luogo di lavoro2.

Il Garante aveva emanato questo provvedimento ritenendo necessario individuare specifiche misure di sicurezza per tutelare i clienti da accessi non autorizzati e intrusioni indebite (decisione maturata in seguito alle numerose istanze giuntegli a tal proposito e agli esiti degli accertamenti ispettivi effettuati presso le maggiori banche e attraverso una rilevazione svolta in collaborazione con ABI).
I dati dei clienti bancari, infatti, sono stati spesso oggetto di accessi indebiti da parte dei dipendenti, a volte sono stati addirittura comunicati a terzi e usati a scopo personale, in genere in cause di separazione giudiziale o in procedure esecutive.

Alla luce di ciò, il Garante aveva stabilito che ogni tipo di operazione effettuata sui dati dei clienti – sia che comporti movimentazione di denaro o che sia una semplice consultazione – da parte di soggetti incaricati operanti all’interno della banca, doveva essere tracciata (ovvero loggata) attraverso la raccolta e la conservazione di una serie di informazioni (log file) quali:
– il codice identificativo del soggetto incaricato che ha effettuato l’operazione di accesso;
– la data e l’ora di esecuzione;
– il codice della postazione di lavoro utilizzata;
– il codice del cliente interessato dall’operazione di accesso ai dati bancari da parte dell’incaricato;
– la tipologia di rapporto contrattuale del cliente a cui si riferisce l’operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli).

In sostanza, quello che si chiede alle banche è di mettere in piedi un vero e proprio sistema di audit log di tutta l’attività degli incaricati del trattamento che, a vario titolo, operano sui dati dei clienti all’interno dell’istituto bancario.
Altri obblighi individuati dal provvedimento n.192/2011 riguardano i tempi di conservazione dei relativi file di log e l’implementazione di alert volti a rilevare intrusioni o accessi anomali ai dati bancari, allo scopo di sapere in ogni momento chi ha avuto accesso a un determinato conto corrente o ha effettuato operazioni e quando, e di riconoscere eventuali trattamenti illeciti.

Circa il periodo di conservazione dei file di log degli accessi esso varia in base alla tipologia di log memorizzato, anche se non deve essere comunque inferiore ai 24 mesi dalla data di registrazione dell’operazione, poiché un periodo di tempo inferiore non consentirebbe agli interessati di venire a conoscenza dell’accesso ai propri dati personali e delle motivazioni che lo hanno determinato.
Le banche, inoltre, devono prevedere l’attivazione di alert volti a rilevare intrusioni o accessi anomali e abusivi ai sistemi informativi (come le consultazioni massive o gli accessi ripetuti su uno stesso nominativo, etc.).

La gestione dei dati bancari deve essere poi oggetto almeno annualmente di un’attività di controllo interno da parte dei titolari del trattamento, in modo che sia verificata costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti3.
Agli istituti bancari è stato infine raccomandato di comunicare tempestivamente al cliente le operazioni di trattamento illecito effettuate dai propri incaricati sui suoi dati (come eventuali accessi non autorizzati al conto o ai dati personali), questo perché tale comunicazione può consentire all’interessato l’adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali.
Mediante apposita comunicazione, poi, devono essere portate a conoscenza del Garante eventuali violazioni nella protezione dei dati personali, accidentali o illecite, di particolare rilevanza (per quantità, qualità dei dati, numero dei clienti coinvolti), dalle quali derivino la distruzione, la perdita, la modifica, la rivelazione non autorizzata dei dati della clientela.
Queste misure di sicurezza molto rigorose, se non rispettate, possono comportare a carico del Titolare del trattamento (istituti bancari) sanzioni molto pesanti.

Con i chiarimenti ora emanati dal Garante viene fornita una risposta agli operatori del settore che, rappresentati da ABI, hanno sollevato alcuni dubbi sull’interpretazione del provvedimento n.192/2011.
I chiarimenti riguardano nello specifico: l’ambito di applicazione del provvedimento, i rapporti tra questo provvedimento e il provvedimento sugli "amministratori di sistema", l’accesso massivo ai dati della clientela e la richiesta di proroga.

Per quanto riguarda le attività bancarie a cui il provvedimento si applica, premettendo che a essere soggette all’obbligo di tracciamento sono solo quelle attività dei dipendenti in cui siano coinvolti i dati sulla situazione economica e patrimoniale del cliente, il Garante specifica che rientrano in tale categoria sia le operazioni di trattamento connesse allo svolgimento dell’attività bancaria in senso stretto (e cioè "la raccolta di risparmio tra il pubblico e l’esercizio del credito"4), sia le operazioni finalizzate a svolgere le altre attività finanziarie ammesse al mutuo riconoscimento (ovvero quelle attività che possono essere svolte dalle banche comunitarie in tutti gli Stati membri dell’Unione europea sulla base dell’autorizzazione dell’Autorità di vigilanza del Paese d’origine) e che sono indicate all’art. 1, comma 2, lett. f) del TUB. Essendo elencate in questo ultimo articolo anche attività che non comportano il trattamento dati sulla situazione economica e patrimoniale del cliente, il Garante chiarisce che spetterà poi ai titolari del trattamento discernere quali attività tra queste siano da tracciare e quali no.
Sempre in materia di applicabilità il Garante specifica che sono coinvolte come soggetti nell’applicazione del provvedimento le singole banche e le banche e società facenti parte di gruppi, qualora i loro incaricati al trattamento, nello svolgimento dell’attività lavorativa, accedano a informazioni relative allo stato patrimoniale e contabile del cliente. Pertanto, chiarisce il Garante, il termine “dipendenti” utilizzato nel provvedimento n. 192/2011 deve essere interpretato come "incaricati del trattamento" (art. 4, comma 1, lett. h) del Codice).
Qualora le banche abbiano esternalizzato a società di outsourcing attività connesse all’esecuzione di rapporti contrattuali tra banca e cliente che richiedono l’utilizzo di funzioni applicative, le misure previste dal provvedimento devono essere estese anche a tali società esterne.
Espressamente esclusi dall’ambito di applicazione del provvedimento sono, invece, soggetti come le c.d. banche depositarie (che di fatto non effettuano un trattamento dei dati bancari del singolo cliente) e le società di assicurazione (anche qualora facciano parte di un gruppo bancario), purché il trattamento da queste ultime effettuato non comporti l’accesso ai dati bancari dei clienti.

Circa il rapporto tra il provvedimento n. 192/2011 e il provvedimento sugli "amministratori di sistema"5 il Garante chiarisce che quest’ultimo non ha introdotto obblighi di tracciamento delle operazioni compiute dagli amministratori di sistema, ma prescrive solo la tenuta dei log di accesso ai sistemi; parimenti il provvedimento n. 192/2011 non intende porre un controllo maggiore sull’operato degli amministratori di sistema del settore bancario, verso i quali non ci sono obblighi di tracciamento.
In caso di accesso massivo ai dati della clientela, invece, il Garante specifica che il trattamento deve riguardare i dati relativi all’incaricato che ha effettuato la query, la data, l’ora e il dettaglio della relativa richiesta, dalla quale deve emergere anche se la posizione di un cliente sia stata oggetto di particolare attenzione nell’ambito della query.

Infine il Garante, accogliendo le richieste avanzate dagli operatori di settore sulla base della particolare complessità delle nuove misure imposte e dei dubbi interpretativi sollevati, ha rinviato di un anno il termine di adeguamento al provvedimento, che per gli istituti bancari non sarà più quindi il 3 dicembre 2013 ma il 3 dicembre 2014.

1 Pubblicato sulla Gazzetta Ufficiale n. 185 dell’8 agosto 2013
2 Novità che pare contrapporsi a quel principio generale in materia di privacy e diritto del lavoro in base al quale si vieta al datore di lavoro di effettuare controlli mirati sull’attività lavorativa del dipendente.
3 L’attività di controllo deve essere demandata anche a un’unità organizzativa terza, o comunque a personale diverso rispetto a quello a cui è affidato il trattamento dei dati bancari dei clienti..
4 art. 10, comma 1 del d.lg. 385/1993- Testo Unico Bancario
5 "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", adottato dal Garante in data 27 novembre 2008

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Obblighi di tracciabilità delle operazioni bancarie: slittato di un anno l’adeguamento al provvedimento

Obblighi di tracciabilità delle operazioni bancarie: slittato di un anno l’adeguamento al provvedimento

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Q&A sulla dematerializzazione, sulla gestione documentale e sull’archivio storico. Presentazione del percorso formativo DECRIT

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco