FLASH REPORT Aggiornamento Privacy - Recepimento delle “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” Novembre 2012 Il Garante per la protezione dei dati personali ha emanato, in data 12 Maggio 2011, un provvedimento generale che mira a garantire la riservatezza e sicurezza dei "dati bancari", attraverso prescrizioni in relazione al trattamento di dati personali della clientela. Tale provvedimento si applica ai soggetti stabiliti sul territorio nazionale, quali Banche, Società parte di gruppi bancari - anche diverse dalle banche - (relativamente ai trattamenti dalle stesse effettuati sui dati personali della clientela) e Poste Italiane S.p.A. (relativamente all'attività bancaria e finanziaria). Obiettivo del provvedimento è di assicurare il rispetto dei princìpi in materia di protezione dei dati personali ai sensi del Codice Privacy, con riferimento ai temi di: “circolazione” delle informazioni riferite ai clienti all'interno di banche o gruppi bancari; “tracciabilità” delle operazioni bancarie effettuate dai dipendenti di istituti di credito (sia quelle che comportano movimentazione di denaro, sia quelle di sola consultazione, cosiddette inquiry). Il Garante ha disposto che le misure siano adottate entro 30 mesi dalla pubblicazione del provvedimento, pertanto entro il 3 dicembre 2013. Contesto del provvedimento L’emanazione di tali regole di condotta nasce da un’esigenza di messa in sicurezza del sistema informativo, volto a garantire un corretto trattamento dei dati dei correntisti. Tale esigenza è frutto delle segnalazioni pervenute al Garante da clienti correntisti e da accertamenti ispettivi effettuati dal Garante stesso presso le maggiori banche e gruppi bancari, nonché grazie alla collaborazione con l’Associazione Bancaria Italiana, che hanno riguardato anche fughe di notizie riservate o illecite consultazioni delle banche-dati presenti all'interno degli istituti e nelle cosiddette “centrali dei rischi”. L’assenza di un quadro normativo e di regolamentazione in merito all’accesso ai dati dei clienti effettuato da qualunque figura all'interno della banca, che comporti movimentazione di denaro o semplice consultazione del rapporto contrattuale (numero del conto corrente, fido, mutuo, deposito titoli), ha spinto l’Autorità a intervenire direttamente con l’emanazione del provvedimento. Misure di sicurezza da adottare Con il provvedimento, il Garante ha pertanto prescritto l’adozione di nuove e più stringenti misure di sicurezza, in alcuni casi qualificate come “necessarie”, in altri semplicemente come “opportune”, finalizzate ad attuare un sistema di controlli nella gestione dei dati personali che consenta di prevenirne utilizzi impropri. © 2012 Protiviti Srl. Protiviti non è registrata come società di revisione e non fornisce opinioni su bilanci e servizi di attestazione. Il Garante, ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive i seguenti obblighi: Misure necessarie: a. Designazione dell'outsourcer IT quale responsabile del trattamento: i soggetti interessati dall’attuazione del provvedimento devono, quando unici titolari del trattamento, designare come responsabili del trattamento le società operanti in outsourcing nella gestione dei propri sistemi informativi. b. Tracciamento delle operazioni: è necessario adottare idonee soluzioni informatiche che consentano la registrazione, in un apposito log (c.d. registrazione delle attività), delle informazioni riferite alle operazioni bancarie (inquiry) effettuate su dati riconducibili al singolo cliente. Tali file di log devono tracciare, per ogni operazione di accesso ai dati bancari effettuata da un incaricato, almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha eseguito l'operazione di accesso; la data e l'ora di esecuzione; il codice della postazione di lavoro utilizzata; il codice del cliente interessato dall'operazione di accesso ai dati bancari da parte dell'incaricato; la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli). c. Conservazione dei log di tracciamento delle operazioni: il periodo di conservazione dei file di log delle operazioni di inquiry non deve essere inferiore a 24 mesi dalla data di registrazione dell'operazione. d. Implementazione di alert: è necessario attivare specifici “avvisi” che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry; negli strumenti di business intelligence, utilizzati dalle banche per monitorare gli accessi alle banche-dati contenenti dati bancari, devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi da parte degli incaricati del trattamento. e. Audit interno di controllo - Rapporti periodici: è necessario che sia eseguita, con cadenza almeno annuale, ed adeguatamente documentata, un'attività di controllo interno da parte dei titolari del trattamento sulla gestione dei dati bancari, con il supporto di personale interno o esterno diverso da quello cui è affidato il trattamento dei dati suddetti. Misure opportune: a. Informativa all'interessato: l'informativa resa all'interessato ai sensi dell'art. 13 del Codice potrà contenere anche l'indicazione che i dati della clientela possono circolare tra le agenzie o filiali di ciascuna banca. b. Informazioni all'interessato: le banche comunicano all'interessato, senza ritardo, le operazioni di trattamento illecito effettuate - sui dati personali allo stesso riferiti - dagli incaricati. c. Comunicazioni al Garante: le banche comunicano tempestivamente al Garante i casi in cui risulti accertata una violazione, accidentale o illecita, nella protezione dei dati personali, di particolare rilevanza. © 2012 Protiviti Srl. Protiviti non è registrata come società di revisione e non fornisce opinioni su bilanci e servizi di attestazione. Protiviti | 2 Considerazioni A distanza di un anno dall’entrata in obbligo dell’adozione delle misure necessarie, sono ancora attivi tavoli di discussione e dibattiti relativi all’interpretazione puntuale delle misure richieste e degli impatti che l’implementazione delle stesse può determinare. L’attività di monitoraggio della circolazione delle informazioni e dell'operato dei dipendenti che procedono (in quanto autorizzati) al trattamento dei dati personali dei clienti necessita, infatti, la definizione e l’attuazione di un processo strutturato di audit log in grado di: coordinare le figure chiave coinvolte nei processi, ovvero i responsabili del trattamento dei dati personali interni ed esterni (outsourcer IT), i responsabili dei sistemi informatici interessati e l’unità organizzativa preposta alle verifiche di audit annuali; consentire la definizione di un modello organizzativo che preveda la comunicazione e la condivisione di strategie, adempimenti e attività tra i vari soggetti intorno ai quali devono ruotare i processi di controllo e monitoraggio; adeguare alle misure richieste i sistemi informatici e gli applicativi coinvolti per la generazione di log e i sistemi di correlazione degli eventi, fornendo dati e informazioni utili a supporto degli attuali processi di auditing interni; integrare i vari regolamenti interni Privacy (policy e procedure), adeguandoli alle nuove prescrizioni e informando tutti gli incaricati interni in merito alla nuova attività di tracciamento. Un’attività preliminare di assessment di sistemi e applicazioni può risultare utile per rendere più efficiente il successivo processo di adeguamento, mediante l’analisi dei seguenti aspetti: individuazione del perimetro di intervento (sistemi, applicazioni e organizzazioni); definizione delle azioni correttive (ad esempio: definizione di standard dei log da produrre, accentramento e conservazione dei log, gestione degli accessi ai log, reporting e definizione soglie di alert); individuazione delle misure di sicurezza aggiuntive (ad esempio: protezione dei log in termini di integrità, riservatezza, disponibilità). Riferimenti: – Provvedimento del Garante "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di – tracciamento delle operazioni bancarie” - 12 maggio 2011 (Pubblicato sulla Gazzetta Ufficiale n. 127 del 03.06.2011) D. Lgs. 196/2003 “Codice Privacy” *** Protiviti, da anni impegnata nell’assistenza ai propri Clienti su tematiche “Privacy”, può assistere la Vostra organizzazione nell’intero processo di gestione degli adempimenti alla normativa. Nell’ambito dei propri servizi di Sicurezza IT, dispone delle seguenti certificazioni: PCI Security Council’s Qualified Security Assessor (QSA), PCI Approved Scanning Vendor (ASV), Visa Qualified Incident Response Assessor (QIRA) e può supportarvi nel percorso di adeguamento allo standard PCI DSS. Contatti: Enrico Ferretti ([email protected]) Tel. 06 4204 9801 © 2012 Protiviti Srl. Protiviti non è registrata come società di revisione e non fornisce opinioni su bilanci e servizi di attestazione. Antonello Gargano ([email protected]) Tel. 02 6550 6301 Protiviti | 3