Maggior tutela per i clienti con il tracciamento delle operazioni
Con provvedimento del 12 maggio 2011 (pubblicato sulla Gazzetta Ufficiale del 3 giugno 2011) (di seguito il “Provvedimento”) il Garante privacy ha stabilito le regole alle quali dovranno attenersi banche, incluse quelle facenti parte di gruppi (disciplinati, in generale, dall’art. 2359 c.c. e, in particolare, dagli artt. 60 e ss. del d.lg. n. 385/1993) e società, anche diverse dalle banche purché siano parte di tali gruppi, nonché Poste Italiane S.p.A (relativamente all’attività bancaria e finanziaria) per tutelare i loro clienti da accessi non autorizzati e intrusioni indebite operati all’interno delle stesse.
Il Provvedimento interviene dopo una serie di segnalazioni pervenute al Garante privacy dalla clientela bancaria in relazione ai temi della “circolazione” delle informazioni relative ai clienti all’interno dei gruppi bancari e della “tracciabilità” delle operazioni bancarie effettuate da incaricati del trattamento di tali dati personali (incluse le operazioni c.d. inquiry che, come tali, non comportano alcuna movimentazione di denaro).
Tra le principali novità, c’è l’obbligo per i destinatari del Provvedimento di registrare in maniera dettagliata, in un apposito log, le operazioni bancarie (sia che comportino movimentazione di denaro o sia di semplice consultazione) effettuate sui dati bancari. A tal fine, vengono individuati una serie di elementi (ad esempio, il codice identificativo del dipendete, il codice del cliente, il tipo di rapporto contrattuale ecc…) che dovranno essere adottati per fornire una adeguata tracciabilità delle operazioni di accesso ai dati dei clienti. Tali misure consentirebbero ai titolari del trattamento di conoscere sempre chi e quando ha avuto accesso ad un determinato conto. Il Provvedimento stabilisce altresì i tempi per la conservazione dei log di tracciamento che non dovranno essere inferiori a 24 mesi dalla data di registrazione delle operazioni.
Le banche, inoltre, dovranno prevedere l’attivazione di alert che individuino comportamenti anomali o a rischio (es. consultazioni massive, accessi ripetuti su uno stesso nominativo) e sistemi di controllo interno (che dovranno essere documentati e eseguiti da personale diverso da quello che ha accesso ai dati dei clienti) per verificare la rispondenza della gestione dei dati alle misure organizzative, tecniche e di sicurezza previste dalla normativa vigente.
Le banche, infine, sono tenute a comunicare al cliente eventuali accessi non autorizzati al proprio conto e a rendere noto al Garante eventuali violazioni di particolare rilevanza (per quantità, qualità dei dati, numero dei clienti).
Micol Mimun