Applicazione del Provvedimento del Garante per la protezione dei dati personali del 12 maggio 2011, n. 192 Incontro con le Organizzazioni Sindacali Milano, 12 maggio 2014 1 Prescrizione Garante della Privacy: il Provvedimento A fronte di segnalazioni, reclami e quesiti ricevuti in tema di trattamento di dati personali della clientela, nel 2011 il Garante della Privacy ha predisposto un questionario rivolto alle Banche ed ha eseguito una serie di audit. In seguito, il 12 maggio 2011 sono state emesse le “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” pubblicate sulla Gazzetta Ufficiale n. 127 del 3 giugno 2011 2 Prescrizione Garante della Privacy: il Provvedimento SOGGETTI INTERESSATI Soggetti interessati Banche Società appartenenti a Gruppi Bancari Poste Italiane Banche Società appartenenti a Gruppi Bancari Poste Italiane Il provvedimento si riferisce ai trattamenti effettuati dai soggetti sopra indicati mediante i propri dipendenti Pubblicare prescrizioni sul trattamento di dati personali della clientela SCOPO DEL PROVVEDIMENTO rispetto al Codice in materia di protezione dei dati personali Formulare delle prescrizioni in merito alla modalità attraverso le quali ciascuna banca o Riprendere i temi di: Gruppo bancario puo’ garantire il trattamento dei dati personali relativi ai clienti. Riprendere i temi di: • "circolazione" delle informazioni riferite ai clienti in ambito bancario • "tracciabilità" delle operazioni bancarie effettuate dai dipendenti di "circolazione" informazioni ai clienti in ambito bancario di istituti di delle credito sia quelleriferite che comportano movimentazione denaro, siadelle quelleoperazioni di sola consultazione (inquiry) dai dipendenti di istituti di credito • "tracciabilità" bancarie effettuate sia quelle chelecomportano movimentazione di denaro, sia quelle di sola Non riguarda modalità con le quali i clienti accedono on line ai consultazione (inquiry) servizi bancari (es home banking) • Non riguarda le modalità con le quali i clienti accedono on line ai servizi bancari (es home banking) 3 Prescrizione Garante della Privacy: Misure previste Le prescrizioni emesse dal Garante della privacy prevedono l’adozione necessaria di alcune misure Le misure hanno rilevanti impatti principalmente in relazione a: tracciatura delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente. attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry eseguite dagli incaricati del trattamento. Il termine ultimo per l’adozione delle misure è il 3 giugno 2014 4 Prescrizione Garante della Privacy: Misure previste MISURE NECESSARIE Valutazione della qualificazione dell’outsourcer (titolare o responsabile del trattamento dei dati personali); Tracciamento operazioni bancarie tramite registrazione dettagliata in log apposito; Conservazione log di tracciamento delle operazioni di inquiry per non meno di 24 mesi.; Implementazione alert per individuazione comportamenti anomali o a rischio su operazioni di inquiry; Audit interno di controllo e rapporti periodici con cadenza almeno annuale. ALTRE MISURE Informativa da rendere all’interessato dai trattamenti indicando le modalità di circolazione dei dati della clientela tra le agenzie o filiali della banca; Comunicazione all’interessato in caso di operazioni di trattamento illecite; Comunicazioni al Garante riferite al punto precedente. 5 Schema raccolta dati DB Log DB Log Singola DB Log Singola applicazione Singola applicazione applicazione Raccolta dell’operazione • Solo dati di input: in nessun caso sono riportati i dati visualizzati in output • Sono riportati solo gli identificativi di cliente o rapporto in analisi • Per gli accessi massivi sono riportati solo i parametri di ricerca • Non sono previsti accessi ai dati Motore di analisi dei log: • Isola i log relativi agli accessi ai rapporti dei singoli clienti (NDG) (ad es. Conto corrente, Deposito Amministrato, Crif) • Non sono previsti accessi ai dati • Attività eseguita giornalmente, Creazione di report degli Alert Reporting BO Ambiente Garante Privacy Informazioni aggiuntive Informazioni aggiuntive Informazioni aggiuntive I log sono mantenuti per 24 mesi Prescrizione Garante della Privacy: Misure previste Identificazione di alert Tra gli obiettivi di progetto, per rispondere alle esigenze rappresentate dal Provvedimento, è stato necessario definire i cosiddetti alert, ossia: • comportamenti potenzialmente anomali, anche nell’ambito delle attività normalmente consentite nello svolgimento dell’operatività. Nell’ambito della creazione e gestione degli alert sono previsti due momenti: Individuazione dei possibili alert (con analisi delle frequenze di accesso ai dati tramite procedure informatiche su medesimi soggetti che NON abbiano richiesto l’effettuazione di operazioni presso le banche). Una volta consolidato l’algoritmo di costituzione dell’alert, questo viene inserito nel processo di gestione dello stesso, distribuendo le evidenze alle funzioni competenti. 7 Prescrizione Garante della Privacy: Misure previste IMPLEMENTAZIONE DI ALERT VOLTI A RILEVARE INTRUSIONI O ACCESSI ANOMALI E ABUSIVI (esempi Banche Commerciali) ESEMPIO 1: accessi a CRIF in assenza di finanziamenti in un arco temporale predefinito, reiterati per un numero prestabilito di volte da parte dello stesso dipendente su medesimo cliente (NDG) ESEMPIO 2: Inquiry conto corrente tramite transazioni di «versa/preleva» non portate a conclusione reiterata per un numero prestabilito di volte da parte dello stesso dipendente su medesimo cliente 8 owner Processo gestione alert consolidati Sistema L’alert viene caricato a sistema a partire dal repository del log UCRegione L’alert è disponibile per verifica a ufficio UCR di competenza Tutela aziendale Privacy Audit L’alert preso in carico UCR Alert analizzato Comportamento regolare Alert analizzato Comportamento anomalo Verifica di conformità 9 Verifica secondo processi e strumenti Audit