Siete qui: Oggi sulla stampa
Oggi sulla stampa

La privacy allarma le banche

La privacy entra prepotentemente nel mondo delle banche. E gli istituti di credito sono preoccupati per i rischi in cui possono incorrere i propri dipendenti che accedono ai conti correnti dei clienti. L’attenzione degli istituti bancari in tema di privacy è infatti concentrata sull’adeguamento della propria attività e organizzazione interna al provvedimento del Garante Privacy n. 192 del maggio 2011, in quanto il termine ultimo per adeguarsi è scaduto lo scorso mese di giugno.

Un convegno che si è svolto a Milano è stata l’occasione per riflettere sulla difficoltà di mettere d’accordo la tutela della privacy ed il rispetto di altre normative che prevedono adempimenti che possono «scontrasi» con la tutela della riservatezza.

In tale ambito è stata quindi presa in esame la normativa Antiriciclaggio ed in particolare l’individuazione e gestione dei dati relativi al titolare effettivo.

«Il provvedimento è frutto di un lavoro di indagine, monitoraggio e studio svolto dal Garante Privacy con l’ABI (Associazione Bancaria Italiana) e le linee guida emanate incidono principalmente su due aspetti: 1) la modalità di trattamento dei dati personali della clientela bancaria nella circolazione delle informazioni tra banche di uno stesso gruppo, tra agenzie o filiali della stessa banca e nell’ambito della stessa banca o filiale nonché tra banca e soggetto, interno o esterno, incaricato della gestione dei sistemi informativi; 2) il tracciamento delle operazioni di accesso ai dati effettuate da parte dei dipendenti delle banche (che agiscono in qualità di «incaricati del trattamento»)» spiega Silvia Lolli, executive director del team di financial services di EY.

In merito all’attività di accesso ai dati dei clienti da parte del personale delle banche, la più novità significativa per gli istituti bancari sarà l’obbligo di controllare e tracciare le operazioni svolte dal proprio personale dipendente, non solo di quelle c.d. dispositive – ovvero che comportano movimentazione di denaro, già oggetto di regolamentazione tramite un provvedimento del Garante del 2007 – ma anche di quelle c.d. di inquiry – ovvero di sola consultazione di dati dei clienti.

Il provvedimento del Garante Privacy del 2011 prescrive a banche e società ad esse riconducibili di proteggere i dati dei correntisti da potenziali comportamenti non leciti dei propri dipendenti, imponendo stretti vincoli circa le attività da eseguire, ma lasciando la scelta delle misure di sicurezza da adottare alla discrezionalità delle banche. «Inoltre, in ambito più generale e non solo per il settore bancario quindi, si attende l’approvazione del nuovo Regolamento comunitario che andrà a sostituire la Direttiva 95/46/CE in materia di privacy, e di una Direttiva che dovrà disciplinare i trattamenti dei dati per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE)» aggiunge Silvia Lolli.

«Le banche, ed i rispettivi gruppi bancari, hanno da tempo avviato progetti interni di recepimento della normativa che porterà ad un sostanziale innalzamento degli obblighi di diligenza posti a carico della banca nel tutelare la privacy dei propri clienti» spiega Fabrizio Vedana, Vice direttore generale di Unione Fiduciaria. «La banca, nel caso in cui un proprio dipendente dovesse trafugare dati relativi ai clienti, dovrà dimostrare di aver adottato le prescritte misure legali, organizzative e di controllo atte ad assicurare che tali comportamenti dolosi non possano avvenire con la stessa facilità con la quale sono avvenuti anche all’estero.

Si pensi all’ormai famoso Falciani che ha trafugato e poi venduto dati di migliaia di clienti di una nota banca estera» aggiunge Vedana.

Oggi quali sono le difficoltà più frequenti e spinose che le banche si trovano a dover gestire? «Certamente i temi affrontati dal nuovo provvedimento del Garante Privacy dimostrano che una delle difficoltà più frequenti che le banche incontrano in materia di protezione dei dati personali è quella della gestione e limitazione dell’accesso e dell’utilizzo dei dati della propria clientela da parte del personale Evidentemente fino ad ora le banche non sono state sempre e completamente in grado di monitorare e sorvegliare il corretto utilizzo dei dati dei clienti da parte dei dipendenti, anche per fini diversi da quelli strettamente collegati alla specifica mansione lavorativa» spiega Lolli.

Altro tema caldo, anche se escluso dall’ambito di applicazione del recente provvedimento del Garante Privacy, è senza dubbio quello della sicurezza informatica dei dati dei correntisti e della lotta alle frodi commesse per mezzo di internet (i.e. attraverso phishing, spoofing, etc.) anche perché il numero delle operazioni bancarie effettuate online tramite i servizi home banking e è destinato ad aumentare.

Quali suggerimenti si possono dare sulla base dell’esperienza maturata? «Dal punto di vista legale, in primo luogo al fine di adeguarsi al provvedimento citato, le banche dovrebbero porre in essere un esercizio di «due diligence» interno che facesse emergere le criticità dell’organizzazione rispetto alla tutela dei dati personali della clientela», dice l’avvocato Lolli. «A valle di tale attività, sarebbe senz’altro opportuno predisporre meccanismi di rilevamento dei dati e scegliere, sviluppare e implementare strumenti di tracciamento e controllo dei dati stessi; implementare un sistema di monitoring che dovrà prevedere regole in grado di identificare eventuali comportamenti anomali; rivedere i contenuti legali dell’informativa privacy consegnata alla clientela in relazione ai diversi servizi forniti dalla banca, nonché nominare responsabili del trattamento dei dati personali le società esterne alle quali la banca affida in outsourcing i servizi informatici.

In un’ottica più generale, sarebbe altresì utile rivedere i poteri e le attribuzioni della funzione di compliance e di controllo interno».

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Sono sessantasei i fascicoli di polizze infortuni in favore dei dirigenti di cui si sono perse le tr...

Oggi sulla stampa

Oggi sulla stampa

«Questo shock senza precedenti potrebbe causare qualche vittima tra le banche». Un Ignazio Visco i...

Oggi sulla stampa

Oggi sulla stampa

«Non sarà possibile avere il Recovery Fund in funzione dal primo gennaio 2021 e anche il Bilancio ...

Oggi sulla stampa