Provvedimento in materia di tracciabilità degli accessi ai dati bancari (Provvedimento n. 192/2011)
Evoluzione del sistema normativo, sia a livello comunitario che nazionale, e crescente interesse pubblico, sono elementi che non possono essere trascurati nell’analisi di un tema di preminente interesse quale quello del trattamento dei dati in ambito bancario e finanziario.
Si ha riguardo a un argomento di grande attualità, la cui evoluzione ha preso le mosse da una sempre più avvertita necessità di regole chiare e dettagliate, non vincolate a un approccio di carattere meramente generale e avulso dal contesto di riferimento, ma strettamente connesse ai relativi settori di mercato e alla relativa esposizione a possibili attacchi esterni. In tale ottica, nel nostro
raccomandano di emancipare il mondo in via di sviluppo dalla sua dipendenza economica. In Goldmann Matthias, The financial crisis as a crisis of democracy: towards prudential regulation
through public reasoning, in Democracy and financial order: legal perspectives, Goldmann Matthias,
Steininger Silvia, Springer, 2018, p. 131 ss., si legge che la crisi finanziaria rappresenta una sfida per la comprensione della democrazia. Prima della crisi vi era una diffusa convinzione che i democratici non solo erano moralmente superiori alle forme autoritarie di governo, ma erano anche meglio posizionati per affrontare le gravi turbolenze economiche e finanziarie. Si riteneva che gli eventi sistemici che superavano gli alti e bassi puramente ciclici fossero limitati alle parti meno democratiche del mondo. Le crisi in Asia e negli Stati post-sovietici degli anni '90 sembravano confermarlo. La recente crisi finanziaria, tuttavia, è stata una crisi in Occidente e dell'Occidente, mentre alcuni regimi autoritari hanno fatto molto meglio. Ci si chiede se la democrazia possa davvero produrre risultati superiori a quelli di altre forme di governo e creare una società giusta. Per rispondere a tale domanda, l'Autore sceglie come punto di partenza la teoria comparativa di Amartya Sen sulla democrazia che combina gli aspetti orientati all'output e agli input. Sen considera il "ragionamento pubblico" come il meccanismo chiave attraverso il quale le democrazie ottengono risultati migliori rispetto ai regimi autoritari. Il documento esamina poi alcune delle cause della crisi che sono state identificate in letteratura. Dimostra che ciascuna di queste cause può essere intesa come una mancanza di ragionamento pubblico.
188
ordinamento, l’adozione di specifici provvedimenti e una sempre maggiore semplificazione delle procedure, sono stati elementi caratterizzanti tale evoluzione, avvenuta sulla base delle posizioni adottate dal Garante per la protezione dei dati personali.
Speciale menzione, a tal proposito, merita anzitutto il Provvedimento in materia di tracciabilità degli accessi ai dati bancari (Provvedimento n. 192/2011), pubblicato nella Gazzetta Ufficiale n. 127 del 3 giugno 2011. Obiettivo fondamentale perseguito con lo stesso è quello di garantire il rispetto del codice in materia di privacy291 dettando norme idonee a garantire un adeguato livello di
sicurezza e riservatezza dei dati in possesso delle banche. Ciò con riguardo alla tracciabilità delle operazioni poste in essere dai dipendenti all’interno di banche o gruppi bancari, non solo di tipo dispositivo ma anche di semplice inquiry, e altresì con riguardo alla circolazione di informazioni concernenti la clientela all’interno degli stessi istituti.
Il Provvedimento ha preso le mosse da segnalazioni e reclami pervenuti da singoli cittadini che rilevavano l’illecito accesso ai propri dati, posto in essere da parte di alcuni dipendenti delle banche con cui intrattenevano rapporti contrattuali di varia natura. Il Garante ha così disposto l’avvio di un’attività di ispezione volta all’accertamento della fondatezza delle istanze, ponendo l’accento anche su un’ulteriore questione sollevata dai clienti, relativa all’indebita cessione dei dati nei confronti di soggetti terzi volta ad un uso assolutamente illegittimo (ad esempio, per la produzione futura in giudizio nel processo avente a oggetto la separazione dal coniuge).
Una stretta collaborazione con l’ABI (Associazione Bancaria Italiana) ha caratterizzato l’attività posta in essere dal Garante. Con il coinvolgimento di «340 tra banche e gruppi bancari, che fanno complessivamente riferimento a 441
291 Decreto Legislativo 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati
189
banche operanti sul territorio italiano» è stato somministrato un questionario anonimo volto a verificare lo status delle scelte di carattere organizzativo effettuate dagli istituti di credito.
In seguito a tale operazione di carattere ispettivo, il Garante ha così ammesso l’esistenza di una palese discrezionalità degli istituti di credito nelle scelte di carattere organizzativo e ha al contempo imposto l’adozione di specifiche misure da parte degli stessi. Esse sono state così distinte in «necessarie» e «opportune». Nell’alveo di queste ultime, meritano menzione l’obbligo di comunicare immediatamente al cliente il trattamento illecito dei propri dati personali, perpetrato da un incaricato dell’istituto di credito, e il connesso dovere di comunicazione tempestiva al Garante dell’avvenuta violazione dei dati personali, non solo di carattere illecito ma anche accidentale. Rientra nell’ambito delle misure c.d. opportune anche l’obbligo di informare il cliente della possibile circolazione dei dati che lo riguardano tra le varie filiali o agenzie, nonché l’informativa da fornire all’interessato ai sensi dell’art. 13 del Codice della privacy. Per quanto concerne invece le misure c.d. necessarie, si ha riguardo, tra le altre, all’obbligo di eseguire periodicamente, tramite personale diverso rispetto a quello preposto al trattamento dei dati o attraverso un’apposita unità organizzativa, un’attività di auditing interno, debitamente documentata. Merita altresì menzione l’adozione di sistemi idonei a monitorare e registrare importanti informazioni, quale il codice di identificazione del soggetto che ha effettuato un’operazione di accesso al sistema, con relative informazioni al riguardo, con esclusione delle sole operazioni poste in essere in forma collettiva, inidonee a garantire un’esatta riconducibilità a un determinato soggetto piuttosto che a un altro.
La prescrizione di tali misure è scaturita dall’avvenuta constatazione di dati allarmanti, soprattutto con riguardo alla circolazione di informazioni non solo tra banche dello stesso gruppo ma anche tra banche e soggetti terzi addetti al
190
trattamento dei dati bancari dei clienti mediante i relativi sistemi informatici. In particolare, in seguito all’esecuzione dell’attività ispettiva disposta dal Garante, era emersa una intollerabile disomogeneità tra i sistemi organizzativi preposti alla circolazione dei dati bancari nelle due differenti ipotesi illustrate. A essa era conseguito un necessario intervento normativo, volto soprattutto alla definizione delle modalità di trasmissione delle informazioni dal gruppo bancario o dall’istituto di credito alla società preposta alla gestione dell’intero sistema informatico. Ciò al fine di addivenire a un corretto trattamento e a un’adeguata protezione dei dati, senza poter in alcun modo prescindere dalla garanzia della trasparenza, imparzialità e competenza degli addetti alla gestione di tali dati (outsourcer) rispetto ai quali era sempre più avvertita la necessità di determinare la possibile qualificazione giuridica. In proposito, occorreva trovare una risposta a una domanda: potevano gli stessi essere considerati direttamente responsabili del trattamento dei dati bancari?
Differenti soluzioni venivano altresì constatate con riguardo alla tracciabilità delle operazioni e agli accessi informatici ai dati bancari posti in essere dai dipendenti dell’istituto di credito, in possesso di un ampio margine di discrezionalità nello svolgimento delle proprie mansioni. In particolare, nonostante le istruzioni di vigilanza emanate dalla Banca d’Italia in materia di «organizzazione e controlli interni» imponessero agli istituti di credito di munirsi di adeguati sistemi in grado di monitorare i rischi, indicare le anomalie (alert) e garantire la sicurezza dei dati bancari, la maggior parte delle banche non si era adeguata alle stesse, soprattutto relativamente alla tracciabilità dei movimenti di consultazione.
Appurata tale situazione, il Garante, con il Provvedimento n. 192/2011, ha così imposto agli istituti di credito misure volte a sopperire a tali mancanze, al fine di garantire il controllo delle intrusioni o delle violazioni nella protezione dei dati personali.
191
All’interno della categoria delle misure necessarie, è stata così ricondotta a pieno titolo la designazione dell’outsourcer come responsabile del trattamento dei dati bancari e degli istituti bancari come titolari unici dello stesso. Con riguardo a questi ultimi, si è imposta la redazione di un rapporto annuale volto a illustrare la corretta gestione dei dati della clientela ad opera dei titolari del trattamento.
Inoltre, il Garante ha richiesto alle banche l’adozione di adeguate soluzioni per il «controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database», al fine di garantire, mediante l’utilizzo di file log idonei a registrare qualsivoglia informazione concernente le operazioni bancarie poste in essere, la corretta tracciabilità delle stesse. A tal fine, si è richiesto che tali file, da ricondurre all’interno degli strumenti di business
intelligence, fossero idonei a resistere per un periodo di tempo non inferiore a 24
mesi, onde consentire un incremento dei tempi di conservazione delle informazioni. A ciò si è altresì aggiunta la necessità di periodiche verifiche a campione, al fine di monitorare l’esatta conservazione dei file, l’effettiva protezione dei dati e la legittimità degli accessi, nonché una costante attività di controllo ad opera di soggetti diversi rispetto a quelli cui era stato affidato il trattamento dei dati ovvero di una società diversa.
4. segue. Il nuovo Regolamento europeo in materia di protezione dei dati