Consulenza o Preventivo Gratuito

Conti correnti a privacy rafforzata

del 14/06/2011
di: di Antonio Ciccia
Conti correnti a privacy rafforzata
Bancari e impiegati postali sotto controllo. Il codice dell'operatore deve marchiare ogni accesso ai dati dei clienti e ogni operazione deve lasciare la sua traccia per un anno.

Il Garante della privacy rafforza il segreto bancario e postale e blinda le informazioni sui correntisti, anche dallo sguardo dei dipendenti, quando l'accesso non è giustificato da mansioni di ufficio. La deliberazione 12 maggio 2011, pubblicata sulla Gazzetta Ufficiale del 3 giugno 2011, prende le mosse da alcuni episodi, arrivati sulla scrivania del Garante, in cui l'impiegato ha comunicato indebitamente a terzi i dati dei conti dei clienti della filiale, anche per consentire pignoramenti ed esecuzioni.

E con il provvedimento in esame si disciplina a tutto tondo la circolazione delle informazioni in ambito bancario e postale (quest'ultimo in relazioni a operazioni bancarie e finanziarie) . Ma vediamo di analizzare i contenuti della deliberazione, che ha tenuto conto di numerose istanze pervenute al Garante, di accertamenti ispettivi effettuati tra il 2008 e il 2010 presso le maggiori banche o gruppi bancari e degli esiti di una ulteriore attività di rilevazione svolta in collaborazione con Abi che ha coinvolto 441 banche.

Il Garante, preso atto di abusi e falle del sistema informativo bancario e postale, ha da un lato impartito una serie di prescrizioni alle banche e società dei gruppi bancari e poste nell'esercizio di attività bancaria e finanziaria e dall'altro fornito alcune raccomandazioni.

Partiamo con le misure necessarie, punite in caso di inosservanza con la sanzione amministrativa fino a 180 mila euro, nella ipotesi base.

La prima misura necessaria è la nomina a responsabile del trattamento (articolo 29 del codice della privacy) di tutti i soggetti che gestiscono i sistemi informativi per banche e poste in outsourcing.

La seconda misura riguarda il tracciamento delle operazioni con sistemi informatici: in particolare è prevista la registrazione in apposito log delle informazioni riferite alle singole operazioni effettuate sui dati bancari.

A tale proposito il provvedimento dispone che i file di log devono tracciare, per ogni operazione di accesso ai dati bancari effettuata da un incaricato, alcune informazioni minime: il codice identificativo del soggetto incaricato autore dell'operazione di accesso; la data e l'ora di esecuzione; il codice della postazione di lavoro utilizzata; il codice del cliente interessato; il tipo di rapporto contrattuale del cliente (numero del conto corrente, fido/mutuo, deposito titoli, altro).

La terza prescrizione chiarisce il termine massimo di conservazione dei log: il periodo di conservazione dei file di log delle operazioni di inquiry non deve essere inferiore a 24 mesi dalla data di registrazione dell'operazione.

La quarta prescrizione ordina a banche e poste di costruire efficaci sistemi di allarme, tali da individuare comportamenti anomali o a rischio relativi alle operazioni di inquiry.

La quinta prescrizione impone attività di monitoraggio periodico e in particolare un audit interno almeno annuale, da effettuarsi da soggetti diversi da quelli che hanno accesso ai dati dei clienti; oltre a i controlli periodici devono essere realizzati controlli a seguito di condotte anomale e per la verifica della legittimità e liceità degli accessi effettuati dagli incaricati, dell'integrità dei dati e delle procedure informatiche adoperate per il loro trattamento e, infine, della corretta conservazione dei file di log per il periodo previsto. Precauzione accessoria è quella che impone di documentare l'attività di controllo.

Fin qui le misure necessarie, per le quali banche e poste devono adeguarsi entro 30 mesi dalla pubblicazione in Gazzetta Ufficiale del provvedimento e quindi entro il 3 dicembre 2013.

Oltre alle misure necessarie il Garante indica anche le misure opportune.

Le misure opportune sono tre: una informativa all'interessato (in particolare per far sapere che i dati della clientela potranno circolare tra le agenzie o filiali di ciascuna banca); informazioni all'interessato (le banche comunicano, senza ritardo, all'interessato le operazioni di trattamento illecito effettuate dagli incaricati; comunicazioni al Garante (le banche comunicano tempestivamente al Garante i casi in cui risulti accertata una violazione, accidentale o illecita, nella protezione dei dati personali, di particolare rilevanza).

vota