PARTE SECONDA - I PRINCIPALI ADEMPIMENTI DATA PROTECTION17

2.1. Gestione dei diritti degli interessati

Il GDPR riconosce al soggetto a cui si riferiscono i dati trattati (ad esempio cliente, dipendente, fornitore, ecc.) una serie di diritti volti a permettergli un adeguato e diretto controllo sul rispetto da parte della Società dei limiti e delle condizioni poste al trattamento dei dati personali.

In tale contesto, gli artt. 15-22 del GDPR obbligano ciascuna società appartenente al Gruppo, in qualità di Titolare del trattamento, a fornire idoneo riscontro alle richieste di accesso avanzate dagli interessati con riferimento ai dati personali che li riguardano.

Le richieste presentate ai sensi dei citati articoli comportano l’obbligo di estrapolare dai propri archivi e dai documenti effettivamente conservati i dati personali relativi all’interessato oggetto della richiesta, e di comunicarli allo stesso in modo intelligibile, fornendo se necessario i criteri e i parametri per la comprensione del significato di eventuali codici associati alle informazioni riferite all’interessato medesimo.

Allo scopo di regolamentare i diritti che l’interessato può esercitare, la Società ha formalizzato il processo di gestione dei diritti in un apposito Manuale Operativo nel quale sono descritte le azioni e le responsabilità di coloro che sono coinvolti nelle richieste da parte dell’interessato.

2.2. Gestione della circolazione delle informazioni in ambito bancario

Il Garante Privacy ha emanato uno specifico Provvedimento in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie⁶ riferite sia a quelle che comportano movimentazione di denaro, sia di sola consultazione (il c.d. inquiry) effettuate sui dati bancari riconducibili al singolo cliente. Le prescrizioni contenute nel Provvedimento si applicano solo ad IBL Banca.

Al riguardo la Banca:

ha implementato strumenti di alerting in grado di individuare comportamenti anomali o a rischio relativi a operazioni di inquiry e/o a movimentazioni di denaro;

6 Cfr. Provvedimento del Garante Privacy n. 192 del 12 maggio 2011 “Prescrizioni in materia di circolazione

ha previsto specifiche attività di verifica periodica sulla corretta applicazione del Provvedimento;

ha definito specifiche modalità da adottare nel caso in cui siano stati accertati accessi indebiti da parte di soggetti non autorizzati per darne tempestiva comunicazione all’interessato e al Garante Privacy.

Si osserva inoltre che per questo tema la Banca si avvale del supporto del proprio outsourcer informatico (CEDACRI) che, a sua volta, ha predisposto apposita documentazione per far fronte alle specifiche richieste del citato Provvedimento.

2.3. Gestione dell’analisi dei rischi e la valutazione d’impatto

Ai sensi degli artt. 35 e 36, il GDPR impone l’obbligo per il Titolare del trattamento di procedere, ove necessario, ad un Data Protection Impact Assessment, (“DPIA”) quando

“un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

A tal fine la Società ha formalizzato in uno specifico documento “Metodologia per l’analisi dei rischi e DPIA⁷, il processo di analisi dei rischi privacy e l’approccio metodologico per condurre la valutazione degli impatti per i trattamenti di dati personali che presentano un rischio elevato per i diritti e le libertà delle persone fisiche.

2.4. Gestione delle violazioni di dati personali (c.d. data breaches)

Ai sensi degli artt. 33 e 34, il GDPR impone l’obbligo per il Titolare del trattamento di gestire il processo di segnalazione, rilevazione e gestione delle violazioni (conosciute anche con il termine di Data Breaches) che coinvolgono dati personali e le modalità attraverso cui sono effettuate le comunicazioni delle violazioni di dati personali al Garante Privacy e ai soggetti coinvolti nella violazione (interessati).

A tale scopo la Società ha formalizzato in un apposito Manuale Operativo “il processo di gestione delle violazioni di dati personali”.

7 La metodologia utilizzata è consistente con La metodologia è coerente con quanto indicato dall’art. 5, comma 2 (Principi applicabili al trattamento di dati personali), 24 (Responsabilità del titolare del trattamento) e dai Considerando 74 , 78 del GDPR, nonché dal documento WP248 rev. 0.1 – Linee guida sulla DPIA del 4 ottobre 2017 e dallo standard ISO/IEC 29134:2017 Information technology -- Security techniques --

2.5. Gestione dei contratti di fornitura e delle terze parti

Ai sensi dell’art. 28 il GDPR impone l’obbligo per il Titolare del trattamento di gestire le azioni da porre in essere nei confronti di quei soggetti terzi che si trovano a trattare informazioni personali la cui titolarità è attribuibile ad una società del Gruppo.

A tale scopo la Società ha formalizzato in un apposito Manuale Operativo “il processo da adottare in ambito Data Protection nelle relazioni con i fornitori/partner commerciali che trattano dati personali di clienti, dipendenti e/o soggetti terzi”.

2.6. Gestione del Registro dei trattamenti

Ai sensi dell’art. 30, il GDPR impone l’obbligo per il Titolare di censire tutti i trattamenti di dati personali, mappare le relative responsabilità e i sistemi informatici a supporto degli stessi, nonché definire i tempi di conservazione dei dati personali, per ciascuna tipologia di trattamento censito nel Registro.

A tale scopo la società ha formalizzato in un apposito Registro tutti i trattamenti di dati personali effettuati presso le proprie Direzioni e/o strutture organizzative.

Il Registro è aggiornato nel continuo su input del Responsabile interno del trattamento, del DPO o delle Funzioni preposte al controllo interno.

2.7. Gestione della videosorveglianza

Il Garante Privacy ha emanato uno specifico Provvedimento in materia di videosorveglianza del 8 aprile 2010 obbliga il Titolare del trattamento ad adottare una serie di azioni dedicate per dar seguito alle prescrizioni a carattere cogente in esso contenute.

Le prescrizioni contenute nel Provvedimento si applicano solo ad IBL Banca.

A tale scopo la Banca ha predisposto apposita documentazione con la quale:

ha provveduto ad identificare un Responsabile interno delle attività di trattamento e gli addetti al trattamento cui ha consegnato specifiche istruzioni operative;

ha identificato i soggetti/le società che effettuano la manutenzione/gestione degli impianti di videosorveglianza sottoponendogli, ove necessario, specifico Data Protection Agreement;

ha predisposto specifica informativa e la cartellonistica necessaria ad individuare correttamente la presenza di telecamere;

ha stabilito termini di conservazione delle immagini coerenti con le indicazioni del Provvedimento in applicazione del c.d. “principio di proporzionalità” e, comunque, per un periodo massimo di 5 giorni;

ha implementato specifiche misure di sicurezza per regolamentare l’accesso alle immagini registrate, (i.e. “doppia chiave” fisica e logica che consente l’accesso alle immagini al solo personale individuato e autorizzato) in caso di necessità;

ha sottoscritto accordi con le Rappresentanze Sindacali ai sensi dell’art. 4 della Legge n. 300/70 (c.d. “Statuto dei lavoratori”).

2.8. Gestione delle attività di marketing

Il Servizio Marketing e Advertising è responsabile delle attività di marketing per tutte le Società appartenenti al Gruppo.

I dati per finalità di marketing, sono raccolti:

direttamente presso l’interessato, nella sua qualità di cliente o potenziale cliente;

tramite i canali web attraverso i form online presenti sui vari siti;

tramite acquisizione di liste di contatti da fornitori esterni (c.d. list broker).

Nel caso in cui i dati vengano acquistati da altri soggetti (i.e. società di direct marketing, società che vendono liste od elenchi di nominativi e indirizzi postali, ecc.), è cura del Responsabile interno del trattamento del Servizio Marketing e Advertising, sentito anche il parere del DPO:

verificare la fonte dei dati personali (da dove il fornitore abbia acquisito le informazioni con la data del loro aggiornamento);

verificare le procedure seguite in relazione all’assolvimento degli obblighi di informativa e di acquisizione del consenso da parte degli interessati;

procedere al controllo sia della modulistica utilizzata sia della verifica dell’effettivo rilascio del consenso per finalità di marketing su un campione di soggetti che sia numericamente significativo rispetto al totale della lista;

richiedere, se ritenuto opportuno, il rilascio di apposita dichiarazione a livello contrattuale sulle modalità seguite per garantire la conformità alle norme applicabili in materia di data protection (GDPR, Provvedimenti del Garante Privacy, Pareri espressi dal GdL ex art. 29).

Nel caso di dati personali che siano stati raccolti direttamente dall’interessato (ad esempio, cliente o potenziale cliente), l’utilizzo per fini marketing (ivi compresi, a titolo esemplificativo scopi commerciali, promozionali, pubblicitari) può avvenire solo se:

è stata fornita una preventiva e idonea informativa nella quale devono essere riportati tutti gli elementi previsti dall’art. 13 del GDPR

è stato acquisito uno specifico e separato consenso per l’utilizzo sia da parte della Società, sia nel caso in cui i dati personali siano stati comunicati a soggetti terzi.

Con riferimento all’informativa, ai sensi dell’art. 13 del GDPR, è necessario che siano specificati i seguenti aspetti:

le singole finalità del trattamento, rispetto a quelle connesse alla gestione del rapporto con l’interessato, per scopi di commercializzazione di prodotti e servizi (es. indagini di mercato, comunicazioni commerciali per lettera, materiale pubblicitario, ecc.);

la natura facoltativa del conferimento dei dati per finalità di marketing e l’assenza di conseguenze sui rapporti in essere in caso di mancato rilascio dei dati da parte della clientela per tali finalità;

l’eventuale comunicazione o cessione dei dati a terzi per le suddette finalità (indicando, nel caso, le categorie di soggetti destinatari);

le modalità del trattamento dei dati, evidenziando l’eventuale utilizzo di particolari sistemi di organizzazione, raffronto ed elaborazione dei dati;

l’esistenza del diritto per l’interessato di chiedere al titolare del trattamento l’accesso ai dati personali, la rettifica o la cancellazione degli stessi, la limitazione del trattamento che lo riguardano e/o di opporsi al trattamento stesso;

i tempi di conservazione dei dati personali;

l’eventuale trasferimento di dati verso paesi non appartenenti allo Spazio Economico Europeo (SEE);

i riferimenti del DPO e delle modalità attraverso le quali sono esercitabili i diritti previsti dagli artt. 15-22 del GDPR.

Per quanto riguarda il consenso, ai sensi dell’art. 7 del GDPR, deve essere “informato, specifico, libero, e inequivocabile” e deve risultare da una manifestazione esplicita dell’interessato differenziata in base alla specifica finalità di trattamento svolta.

Con riferimento all’utilizzo per fini commerciali di dati personali di clienti o potenziali clienti raccolti per il tramite di siti web appartenenti alla società, restano fermi i principi della preventiva informativa e dell’acquisizione dello specifico consenso in mancanza del quale non è lecito l’utilizzo per fini di marketing.

3. ALLEGATO 1–MODELLO ORGANIZZATIVO DATA PROTECTION