Presentazione

6 GIUGNO 2011

Numerosi cittadini hanno rivolto istanze all'Autorità Garante per la protezione dei dati personali, dichiarando di essere venuti a conoscenza che dati personali ed informazioni bancarie, conservati nei datatase di istituti bancari con cui avevano avuto rapporti, erano stati oggetto di indebito accesso e successivamente utilizzati da terzi per scopi personali.

Vista l'elevata rilevanza del tema, l'Autorità ha disposto indagini ispettive presso alcuni istituti bancari, per accertare se effettivamente si fossero verificati accessi, da parte di dipendenti, alle informazioni bancarie dei clienti.

Da quanto emerso dall'esito dell'attività ispettiva svolta, e considerato l'elevato numero di soggetti coinvolti nell'accertamento, l'Autorità ha ritenuto necessario coinvolgere l'ABI in nuovi approfondimenti per ulteriori chiarimenti.

L'Autorità Garante, nella riunione del 12 maggio scorso, esaminati i reclami, i quesiti e le segnalazioni in tema di trattamento dei dati personali della clientela e della tracciabilità delle operazioni, ha ritenuto necessario adottare un provvedimento (pubblicato nella gazzetta ufficiale del 3 giugno 2011) utile agli operatori del settore ed ai clienti, che mira a fornire prescrizioni in relazione al trattamento dei dati personali della clientela, in ordine ai temi della circolazione delle informazioni riferite ai clienti in ambito bancario e della tracciabilità delle operazioni bancarie effettuate dai dipendenti, anche di sola consultazione.

Il provvedimento si applica alle banche (incluse quelle facente parte di gruppi) ed a Poste Italiane S.p.a. (relativamente all'attività che gli operatori postali svolgono nell'ambito dei servizi bancari e finanziari); ma non riguarda le modalità con le quali i clienti accedono on line ai servizi bancari (home banking).

Per assicurare il controllo delle attività svolte sui dati dei clienti da ciascun incaricato del trattamento, devono essere adottate idonee soluzioni informatiche che comprendano la registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni.

Il file log deve tracciare, per ogni operazione di accesso, almeno le seguenti informazioni:
- il codice identificativo del soggetto che ha eseguito l'accesso;
- la data e l'ora di esecuzione;
- il codice della postazione di lavoro utilizzata;
- il codice del cliente interessato dall'aoperazione di accesso;
- la tipologia del rapporto contrattuale del cliente cui si riferisce l'operazione (numero del conto corrente, fido/mutuo, deposito titoli....).

Viene stabilito che il periodo di conservazione dei log di tracciamento delle operazioni non sia inferiore a 24 mesi dalla data di registrazione dell'operazione, in quanto un periodo di tempo inferiore non consentirebbe agli interessati di venire a conoscenza dell'avvenuto accesso ai propri dati personali.

Le banche devono anche prefigurare l'attivazione di specifici alert per individuare comportamenti anomali o a rischio, relativi alle operazioni di interrogazione eseguite dagli incaricati del trattamento.

Fonte: Garante per la protezione dei dati personali

Documenti

Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie

Dossier correlati

Privacy e web: per le PA, in arrivo le linee guida del Garante

La privacy tra i banchi di scuola: il vademecum del Garante

Nuove regole per l'uso dei sistemi di videosorveglianza

Referti medici on line: in arrivo le regole del Garante della privacy

Social network: Guida del Garante della Privacy

Link sul web

Garante per la protezione dei dati personali

Ministero dello Sviluppo economico

ABI