Applicazione del Provvedimento del Garante per la
protezione dei dati personali del 12 maggio 2011, n.
192
Incontro con le Organizzazioni Sindacali
Milano, 12 maggio 2014
1
Prescrizione Garante della Privacy: il Provvedimento
A fronte di segnalazioni, reclami e quesiti ricevuti in tema di
trattamento di dati personali della clientela, nel 2011 il Garante
della Privacy ha predisposto un questionario rivolto alle Banche ed
ha eseguito una serie di audit.
In seguito, il 12 maggio 2011 sono state emesse le “Prescrizioni in
materia di circolazione delle informazioni in ambito bancario e di
tracciamento delle operazioni bancarie” pubblicate sulla Gazzetta
Ufficiale n. 127 del 3 giugno 2011
2
Prescrizione Garante della Privacy: il Provvedimento
SOGGETTI INTERESSATI
Soggetti interessati
Banche
Società appartenenti a Gruppi Bancari
Poste Italiane
Banche
Società appartenenti a Gruppi Bancari
Poste Italiane
Il provvedimento si riferisce ai trattamenti effettuati dai soggetti sopra indicati
mediante i propri dipendenti
Pubblicare
prescrizioni sul trattamento di dati personali della clientela
SCOPO
DEL PROVVEDIMENTO
rispetto al Codice in materia di protezione dei dati personali
Formulare delle prescrizioni in merito alla modalità attraverso le quali ciascuna banca o
Riprendere i temi di:
Gruppo bancario puo’ garantire il trattamento dei dati personali relativi ai clienti.
Riprendere i temi di:
•
"circolazione" delle informazioni riferite ai clienti in ambito bancario
•
"tracciabilità" delle operazioni bancarie effettuate dai dipendenti di
"circolazione"
informazioni
ai clienti in ambito
bancario di
istituti di delle
credito
sia quelleriferite
che comportano
movimentazione
denaro, siadelle
quelleoperazioni
di sola consultazione
(inquiry) dai dipendenti di istituti di credito
• "tracciabilità"
bancarie effettuate
sia quelle
chelecomportano
movimentazione
di denaro,
sia quelle
di sola
Non
riguarda
modalità con
le quali i clienti
accedono
on line
ai consultazione
(inquiry)
servizi
bancari (es home banking)
•
Non riguarda le modalità con le quali i clienti accedono on line ai servizi bancari (es home
banking)
3
Prescrizione Garante della Privacy: Misure previste
Le prescrizioni emesse dal Garante della privacy prevedono l’adozione
necessaria di alcune misure
Le misure hanno rilevanti impatti principalmente in relazione a:
tracciatura delle informazioni riferite alle operazioni bancarie
effettuate sui dati bancari, sempre che non si tratti di
consultazioni di dati in forma aggregata non riconducibili al
singolo cliente.
attivazione di specifici alert che individuino comportamenti
anomali o a rischio relativi alle operazioni di inquiry eseguite dagli
incaricati del trattamento.
Il termine ultimo per l’adozione delle misure è il 3 giugno 2014
4
Prescrizione Garante della Privacy: Misure previste
MISURE NECESSARIE
Valutazione della qualificazione dell’outsourcer (titolare o responsabile del
trattamento dei dati personali);
Tracciamento operazioni bancarie tramite registrazione dettagliata in log apposito;
Conservazione log di tracciamento delle operazioni di inquiry per non meno di 24
mesi.;
Implementazione alert per individuazione comportamenti anomali o a rischio su
operazioni di inquiry;
Audit interno di controllo e rapporti periodici con cadenza almeno annuale.
ALTRE MISURE
Informativa da rendere all’interessato dai trattamenti indicando le modalità di
circolazione dei dati della clientela tra le agenzie o filiali della banca;
Comunicazione all’interessato in caso di operazioni di trattamento illecite;
Comunicazioni al Garante riferite al punto precedente.
5
Schema raccolta dati
DB Log
DB Log
Singola
DB Log
Singola
applicazione
Singola
applicazione
applicazione
Raccolta dell’operazione
• Solo dati di input: in nessun caso sono
riportati i dati visualizzati in output
• Sono riportati solo gli identificativi di cliente
o rapporto in analisi
• Per gli accessi massivi sono riportati solo i
parametri di ricerca
• Non sono previsti accessi ai dati
Motore di analisi dei log:
• Isola i log relativi agli accessi ai rapporti dei
singoli clienti (NDG) (ad es. Conto corrente,
Deposito Amministrato, Crif)
• Non sono previsti accessi ai dati
• Attività eseguita giornalmente,
Creazione di report degli Alert
Reporting BO
Ambiente
Garante Privacy
Informazioni
aggiuntive
Informazioni
aggiuntive
Informazioni
aggiuntive
I log sono mantenuti per 24 mesi
Prescrizione Garante della Privacy: Misure previste
Identificazione di alert
Tra gli obiettivi di progetto, per rispondere alle esigenze rappresentate dal
Provvedimento, è stato necessario definire i cosiddetti alert, ossia:
•
comportamenti potenzialmente anomali, anche nell’ambito delle attività
normalmente consentite nello svolgimento dell’operatività.
Nell’ambito della creazione e gestione degli alert sono previsti due momenti:
Individuazione dei possibili alert (con analisi delle frequenze di
accesso ai dati tramite procedure informatiche su medesimi soggetti
che NON abbiano richiesto l’effettuazione di operazioni presso le
banche).
Una volta consolidato l’algoritmo di costituzione dell’alert, questo viene
inserito nel processo di gestione dello stesso, distribuendo le evidenze
alle funzioni competenti.
7
Prescrizione Garante della Privacy: Misure previste
IMPLEMENTAZIONE DI ALERT VOLTI A RILEVARE INTRUSIONI O
ACCESSI ANOMALI E ABUSIVI (esempi Banche Commerciali)
ESEMPIO 1: accessi a CRIF in assenza di finanziamenti in un arco temporale
predefinito, reiterati per un numero prestabilito di volte da parte dello stesso
dipendente su medesimo cliente (NDG)
ESEMPIO 2: Inquiry conto corrente tramite transazioni di «versa/preleva» non
portate a conclusione reiterata per un numero prestabilito di volte da parte
dello stesso dipendente su medesimo cliente
8
owner
Processo gestione alert consolidati
Sistema
L’alert viene caricato a
sistema a partire dal
repository del log
UCRegione
L’alert è disponibile per
verifica a ufficio UCR di
competenza
Tutela aziendale
Privacy
Audit
L’alert preso in carico
UCR
Alert analizzato
Comportamento
regolare
Alert analizzato
Comportamento
anomalo
Verifica di
conformità
9
Verifica secondo
processi e
strumenti Audit