FLASH REPORT
Aggiornamento Privacy - Recepimento delle “Prescrizioni in materia
di circolazione delle informazioni in ambito bancario e di
tracciamento delle operazioni bancarie”
Novembre 2012
Il Garante per la protezione dei dati personali ha emanato, in data 12 Maggio 2011, un provvedimento
generale che mira a garantire la riservatezza e sicurezza dei "dati bancari", attraverso prescrizioni in
relazione al trattamento di dati personali della clientela.
Tale provvedimento si applica ai soggetti stabiliti sul territorio nazionale, quali Banche, Società parte di
gruppi bancari - anche diverse dalle banche - (relativamente ai trattamenti dalle stesse effettuati sui dati
personali della clientela) e Poste Italiane S.p.A. (relativamente all'attività bancaria e finanziaria).
Obiettivo del provvedimento è di assicurare il rispetto dei princìpi in materia di protezione dei dati personali ai
sensi del Codice Privacy, con riferimento ai temi di:

“circolazione” delle informazioni riferite ai clienti all'interno di banche o gruppi bancari;

“tracciabilità” delle operazioni bancarie effettuate dai dipendenti di istituti di credito (sia quelle che
comportano movimentazione di denaro, sia quelle di sola consultazione, cosiddette inquiry).
Il Garante ha disposto che le misure siano adottate entro 30 mesi dalla pubblicazione del provvedimento,
pertanto entro il 3 dicembre 2013.
Contesto del provvedimento
L’emanazione di tali regole di condotta nasce da un’esigenza di messa in sicurezza del sistema informativo,
volto a garantire un corretto trattamento dei dati dei correntisti.
Tale esigenza è frutto delle segnalazioni pervenute al Garante da clienti correntisti e da accertamenti ispettivi
effettuati dal Garante stesso presso le maggiori banche e gruppi bancari, nonché grazie alla collaborazione
con l’Associazione Bancaria Italiana, che hanno riguardato anche fughe di notizie riservate o illecite
consultazioni delle banche-dati presenti all'interno degli istituti e nelle cosiddette “centrali dei rischi”.
L’assenza di un quadro normativo e di regolamentazione in merito all’accesso ai dati dei clienti effettuato da
qualunque figura all'interno della banca, che comporti movimentazione di denaro o semplice consultazione
del rapporto contrattuale (numero del conto corrente, fido, mutuo, deposito titoli), ha spinto l’Autorità a
intervenire direttamente con l’emanazione del provvedimento.
Misure di sicurezza da adottare
Con il provvedimento, il Garante ha pertanto prescritto l’adozione di nuove e più stringenti misure di
sicurezza, in alcuni casi qualificate come “necessarie”, in altri semplicemente come “opportune”, finalizzate
ad attuare un sistema di controlli nella gestione dei dati personali che consenta di prevenirne utilizzi impropri.
© 2012 Protiviti Srl.
Protiviti non è registrata come società di revisione e
non fornisce opinioni su bilanci e servizi di attestazione.
Il Garante, ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive i seguenti obblighi:
Misure necessarie:
a. Designazione dell'outsourcer IT quale responsabile del trattamento: i soggetti interessati
dall’attuazione del provvedimento devono, quando unici titolari del trattamento, designare come
responsabili del trattamento le società operanti in outsourcing nella gestione dei propri sistemi
informativi.
b. Tracciamento delle operazioni: è necessario adottare idonee soluzioni informatiche che
consentano la registrazione, in un apposito log (c.d. registrazione delle attività), delle informazioni
riferite alle operazioni bancarie (inquiry) effettuate su dati riconducibili al singolo cliente.
Tali file di log devono tracciare, per ogni operazione di accesso ai dati bancari effettuata da un
incaricato, almeno le seguenti informazioni:

il codice identificativo del soggetto incaricato che ha eseguito l'operazione di accesso;

la data e l'ora di esecuzione;

il codice della postazione di lavoro utilizzata;

il codice del cliente interessato dall'operazione di accesso ai dati bancari da parte dell'incaricato;

la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazione effettuata (es. numero
del conto corrente, fido/mutuo, deposito titoli).
c. Conservazione dei log di tracciamento delle operazioni: il periodo di conservazione dei file di log
delle operazioni di inquiry non deve essere inferiore a 24 mesi dalla data di registrazione
dell'operazione.
d. Implementazione di alert:

è necessario attivare specifici “avvisi” che individuino comportamenti anomali o a rischio relativi
alle operazioni di inquiry;

negli strumenti di business intelligence, utilizzati dalle banche per monitorare gli accessi alle
banche-dati contenenti dati bancari, devono confluire i log relativi a tutti gli applicativi utilizzati per
gli accessi da parte degli incaricati del trattamento.
e. Audit interno di controllo - Rapporti periodici: è necessario che sia eseguita, con cadenza almeno
annuale, ed adeguatamente documentata, un'attività di controllo interno da parte dei titolari del
trattamento sulla gestione dei dati bancari, con il supporto di personale interno o esterno diverso da
quello cui è affidato il trattamento dei dati suddetti.
Misure opportune:
a. Informativa all'interessato: l'informativa resa all'interessato ai sensi dell'art. 13 del Codice potrà
contenere anche l'indicazione che i dati della clientela possono circolare tra le agenzie o filiali di
ciascuna banca.
b. Informazioni all'interessato: le banche comunicano all'interessato, senza ritardo, le operazioni di
trattamento illecito effettuate - sui dati personali allo stesso riferiti - dagli incaricati.
c. Comunicazioni al Garante: le banche comunicano tempestivamente al Garante i casi in cui risulti
accertata una violazione, accidentale o illecita, nella protezione dei dati personali, di particolare
rilevanza.
© 2012 Protiviti Srl.
Protiviti non è registrata come società di revisione e
non fornisce opinioni su bilanci e servizi di attestazione.
Protiviti | 2
Considerazioni
A distanza di un anno dall’entrata in obbligo dell’adozione delle misure necessarie, sono ancora attivi tavoli di
discussione e dibattiti relativi all’interpretazione puntuale delle misure richieste e degli impatti che
l’implementazione delle stesse può determinare.
L’attività di monitoraggio della circolazione delle informazioni e dell'operato dei dipendenti che procedono (in
quanto autorizzati) al trattamento dei dati personali dei clienti necessita, infatti, la definizione e l’attuazione di
un processo strutturato di audit log in grado di:

coordinare le figure chiave coinvolte nei processi, ovvero i responsabili del trattamento dei dati
personali interni ed esterni (outsourcer IT), i responsabili dei sistemi informatici interessati e l’unità
organizzativa preposta alle verifiche di audit annuali;

consentire la definizione di un modello organizzativo che preveda la comunicazione e la condivisione
di strategie, adempimenti e attività tra i vari soggetti intorno ai quali devono ruotare i processi di
controllo e monitoraggio;

adeguare alle misure richieste i sistemi informatici e gli applicativi coinvolti per la generazione di log e
i sistemi di correlazione degli eventi, fornendo dati e informazioni utili a supporto degli attuali processi
di auditing interni;

integrare i vari regolamenti interni Privacy (policy e procedure), adeguandoli alle nuove prescrizioni e
informando tutti gli incaricati interni in merito alla nuova attività di tracciamento.
Un’attività preliminare di assessment di sistemi e applicazioni può risultare utile per rendere più efficiente il
successivo processo di adeguamento, mediante l’analisi dei seguenti aspetti:

individuazione del perimetro di intervento (sistemi, applicazioni e organizzazioni);

definizione delle azioni correttive (ad esempio: definizione di standard dei log da produrre,
accentramento e conservazione dei log, gestione degli accessi ai log, reporting e definizione soglie di
alert);

individuazione delle misure di sicurezza aggiuntive (ad esempio: protezione dei log in termini di
integrità, riservatezza, disponibilità).
Riferimenti:
– Provvedimento del Garante "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di
–
tracciamento delle operazioni bancarie” - 12 maggio 2011 (Pubblicato sulla Gazzetta Ufficiale n. 127 del 03.06.2011)
D. Lgs. 196/2003 “Codice Privacy”
***
Protiviti, da anni impegnata nell’assistenza ai propri Clienti su tematiche “Privacy”, può assistere la Vostra
organizzazione nell’intero processo di gestione degli adempimenti alla normativa.
Nell’ambito dei propri servizi di Sicurezza IT, dispone delle seguenti certificazioni: PCI Security Council’s
Qualified Security Assessor (QSA), PCI Approved Scanning Vendor (ASV), Visa Qualified Incident Response
Assessor (QIRA) e può supportarvi nel percorso di adeguamento allo standard PCI DSS.
Contatti:
Enrico Ferretti
([email protected]) Tel. 06 4204 9801
© 2012 Protiviti Srl.
Protiviti non è registrata come società di revisione e
non fornisce opinioni su bilanci e servizi di attestazione.
Antonello Gargano
([email protected]) Tel. 02 6550 6301
Protiviti | 3