Numerose segnalazioni dei cittadini avevano, infatti, evidenziato che i dati riguardanti i loro rapporti contrattuali di conto corrente erano stati oggetto di accessi abusivi da parte del personale dipendente degli istituti di credito che li aveva arbitrariamente comunicati a soggetti terzi.
Tali informazioni, secondo quanto emerso all’esito dell’istruttoria svolta dall’Autorità, erano state successivamente utilizzate nell’ambito di procedimenti di separazione giudiziale e nelle procedure di esecuzione.
In tale contesto, il documento è innanzitutto intervenuto per chiarire che solo lo scambio di dati tra differenti filiali di una stessa banca rappresenta un’ipotesi di circolazione di informazioni all’interno dello stesso titolare, in presenza della quale non sorgerebbe alcun obbligo di raccogliere il consenso del soggetto interessato.
Al contrario, lo scambio di informazioni tra diversi istituti di credito appartenenti al medesimo gruppo bancario costituisce una forma di comunicazione dei dati a terzi, con la conseguenza che tale operazione, per essere conforme alla normativa vigente in materia di protezione dei dati personali, dovrà essere previamente comunicata al soggetto interessato per mezzo di un’adeguata informativa ai sensi dell’art. 13 del Codice Privacy e dovrà essere raccolto il consenso ai sensi dell’art. 23 del Codice Privacy.
In ipotesi di esternalizzazione dei servizi di gestione dei dati della clientela, sempre stando a quanto riferito dall’Autorità, la banca non dovrà sottrarsi dal rivestire il ruolo di titolare del trattamento dei dati: solo così, infatti, l’istituto di credito continuerà a disporre del potere di impartire istruzioni, assumere decisioni in merito al trattamento dei dati e controllare l’operato di dette società.
Alle società di servizi esterne dovranno invece spettare i compiti che la normativa di riferimento affida ai responsabili del trattamento (art. 29 del Codice Privacy).
Il provvedimento in questione, inoltre, stabilisce che ogni attività svolta sui dati della clientela dagli incaricati del trattamento, ovvero dai dipendenti degli istituti di credito dovrà essere tracciata al fine di poterne assicurare un costante controllo.
A tal proposito, le banche dovranno dotarsi di avanzati sistemi informatici in grado di registrare su appositi “files log” alcuni dati, quali la data e l’ora di accesso ai dati, le credenziali del soggetto che ha svolto l’operazione, nonchè ogni informazione riguardante il soggetto interessato e la tipologia di rapporto contrattuale instaurato con l’istituto di credito.
Tali files dovranno essere conservati per un periodo temporale non inferiore a 24 mesi.
Oltre a ciò, per mezzo di audit interni a cadenza annuale, le banche verificheranno la correttezza della gestione delle informazioni da parte degli incaricati al trattamento, oltre che l’adeguatezza delle misure di sicurezza adottate.
I sistemi informatici, infine, dovranno essere dotati di appositi sistemi di alert per l’individuazione delle operazioni di consultazione delle informazioni anomale ed a rischio.
Numerosi, dunque, gli sforzi richiesti alle banche ma senza ombra di dubbio necessari affinchè possa essere garantito ai cittadini un maggior controllo sulla circolazione delle proprie informazioni in ambito bancario.
Qui il testo integrale del provvedimento.
Scrivi un commento
Accedi per poter inserire un commento