Saldi, movimenti, bonifici, rapporti in essere da parte del cliente con la sua banca, sono già informazioni tutelate dal decreto legislativo 30 giugno 2003, n 196, noto come Codice in materia di protezione dei dati personali. Tuttavia, analizzando una serie di reclami ed esposti giunti direttamente al Garante per la privacy, o rintracciati negli istituti a seguito di ispezioni, nonché i risultati di una ricerca condotta in collaborazione con Abi, l’Autorità ha ritenuto necessario definire un quadro unitario di misure in grado di rafforzare la protezione della privacy delle operazioni bancarie. Questo è avvenuto con il provvedimento n.192, adottato il 12 maggio 2011 e pubblicato sulla Gazzetta Ufficiale n. 127 del 3 giugno 2011. In più, il Garante ha ritenuto che dette misure dovessero essere oggetto di vere e proprie prescrizioni rese ai sensi dell’articolo 154, comma 1, lettera c del Codice. L’adozione delle misure dovrà avvenire entro 30 mesi dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale.
Lo scenario di applicazione delle misure
Gli ambiti su cui si applicano le misure sono quelli della “circolazione delle informazioni in ambito bancario” e quello del “tracciamento delle operazioni bancarie”. Tra esse sono incluse anche le inquiry ossia le indagini svolte dalle banche. Le operazioni oggetto di controllo e tracciamento sono quelle effettuate dai dipendenti delle banche e dai loro outsourcer, laddove questi trattino dati bancari personali. Non sono contemplate, invece, le operazioni svolte dai clienti sui propri conti correnti online (Home banking).Quali sono le organizzazioni che devono rendersi compliant con la nuova normativa? Il provvedimento ne indica specificatamente tre: le banche, incluse quelle facenti parte di gruppi; le società diverse dalle banche, purché siano parte di tali gruppi, nell’ambito dei trattamenti dalle stesse effettuati sui dati personali della clientela; Poste Italiane, relativamente alle attività che gli operatori postali svolgono nell’ambito di servizi bancari e finanziari (Bancoposta).
Le prescrizioni legate agli aspetti organizzativi
Nell’analizzare i soggetti che trattano dati della clientela, il Garante ha ritenuto di diversificare il ruolo svolto dalle banche e dai loro dipendenti rispetto a quello delle società di servizio interne o esterne (outsourcer) al gruppo.
Mentre i dipendenti delle banche sono definiti "Titolari del trattamento dei dati personali", in quanto attuano i trattamenti in autonomia, quelli delle società che svolgono un ruolo puramente “strumentale” vengono considerati – nella maggior parte dei casi – "terzi Responsabili del trattamento" ed è in questa categoria che rientrano gli outsourcer quali Responsabili. Quella del Responsabile, a differenza di quella del Titolare, è una figura facoltativa. Qualora esista, comunque, deve essere individuata tra persone fisiche o giuridiche che forniscono idonee garanzie e che si impegnano a seguire le istruzioni impartite dai Titolari. La figura del Responsabile (o almeno di uno di essi) deve essere indicata dal Titolare nella informativa da rendere agli interessati ai sensi dell’art. 13 del Codice.
Sempre nell’ambito di una disamina della circolazione delle informazioni in ambito bancario, nel caso di banche appartenenti allo stesso gruppo, il Garante ha riscontrato due diverse tipologie di “circolarità”. In un caso, tra le agenzie di banche diverse appartenenti allo stesso gruppo, la circolarità è limitata alle sole operazioni di versamento e prelevamento, senza avere mai la possibilità di conoscere il saldo contabile o la lista di movimenti del conto acceso presso un altro istituto del gruppo. In altro caso, invece, è emerso un regime di piena circolarità delle informazioni, tutte accessibili agli operatori di sportello designati come titolari di trattamento in ragione delle funzioni svolte e dei profili di autorizzazione. Ecco quindi che il Garante, tra le prescrizioni del provvedimento, inserisce quella secondo cui, ai sensi dell’art. 13 del Codice, ogni banca-titolare del trattamento deve indicare che i dati personali della clientela possono essere oggetto di comunicazione ad altri titolari del trattamento nell’ambito del medesimo gruppo bancario. In assenza di questa informativa, la comunicazione di dati a banche diverse si configura come “comunicazione a terzi” delle informazioni, attività quindi illecita.
Le misure tecniche e di governance
Per contrastare il fenomeno degli accessi illeciti alle informazioni della clientela, il Garante prescrive il tracciamento di tutte le operazioni di inquiry e la loro registrazione in un apposito log (escluse le consultazioni di dati in forma aggregata non riconducibili a singoli clienti). Per ciascuna operazione, il log deve riportare il codice identificativo del soggetto incaricato, la data e l’ora di esecuzione, il codice della postazione utilizzata, il codice del cliente interessato e la tipologia di rapporto contrattuale del cliente a cui riferisce l’operazione effettuata. I file del log dovranno essere conservati per un periodo non inferiore ai 24 mesi dalla data di registrazione dell’operazione. Questo lasso di tempo è ritenuto congruo rispetto alla necessità di un cliente che ritenesse di essere stato oggetto di “spionaggio” indebito, di recuperare le prove, agire legalmente o mitigare i danni. Tra le altre prescrizioni vi è anche l’obbligo di implementare sistemi di anomaly detection nell’accesso ai dati e di alerting. Il provvedimento, infine, impone un’attività di controllo interno (auditing) della gestione dei dati bancari con cadenza almeno annuale e un approfondito controllo a posteriori ogni qualvolta i sistemi di alert rilevino consultazioni illecite. In questo caso è prevista anche l’immediata informazione del cliente interessato, mentre quella al Garante è obbligatoria sono nel caso di violazioni di particolare rilevanza.
