Sei un operatore del settore bancario?
Nel corso del 2016 un elevato afflusso di quesiti, richieste di parere, segnalazioni e reclami ha impegnato il Garante della Privacy su profili applicativi, già affrontati e definiti in numerosi provvedimenti, incluse le linee guida adottate il 25 ottobre 2007 in materia di trattamenti di dati personali effettuati da banche nei rapporti con la clientela. Questo dimostra quanto il tema non sia per nulla consolidato ed i dubbi applicativi restino tanti.
Ecco l’infografica presentata nella Relazione annuale delle attività del Garante per l’anno 2016:
Ma non solo.
L’Autorità ha effettuato un articolato ciclo di accertamenti ispettivi, disposti d’ufficio, già nel 2015 e proseguiti nel 2016, su un significativo campione di istituti di credito, rappresentati sia da ABI che da Federcasse, al fine di valutare lo stato di implementazione delle prescrizioni contenute nel provvedimento generale adottato il 12 maggio 2011 e divenuto pienamente efficace il 1° ottobre 2014.
Cosa è successo?
Proprio l’adozione, da parte di un importante istituto di credito, delle misure sul tracciamento delle operazioni bancarie previste dall’anzidetto provvedimento ha consentito ad un cittadino che si è rivolto all’Autorità di ottenere un provvedimento con il quale è stata dichiarata l’illiceità del trattamento dei propri dati personali posto in essere dalla banca per il tramite di un proprio incaricato.
Quest’ultimo aveva consegnato copia di un estratto conto, riferito al cliente, al coniuge dello stesso, il quale lo aveva successivamente prodotto in un giudizio di separazione, formulando, sulla base delle risultanze contabili dell’estratto conto, richieste economiche più onerose per il mantenimento dei figli.
Nel caso esaminato, il report relativo al tracciamento degli accessi ai sistemi informativi prodotto dalla banca ha evidenziato che il dipendente aveva effettuato un accesso alla scheda anagrafica del cliente ed alla sua posizione contabile in un giorno e in un orario in cui il cliente medesimo si trovava in servizio presso la propria sede di lavoro posta in una località lontana rispetto alla filiale, così da dover escludere che lo stesso potesse esservisi recato personalmente, come richiesto dal Provvedimento del 10 novembre 2016, n. 463.
Nella prospettiva della ormai prossima entrata in vigore del Regolamento (UE) sulla protezione dei dati (2016/679), il provvedimento menzionato ha avuto l’obiettivo di:
- ricordare agli istituti di credito titolari del trattamento di assumere ogni iniziativa idonea ad evitare situazioni simili;
- il rispetto del principio di “responsabilità del titolare del trattamento” (accountability) previsto dall’art. 24 del regolamento medesimo.
Sul tema della privacy, come abbiamo visto c’è un forte focus da parte del regolatore ed una serie di novità normative che avranno impatto sulle organizzazioni aziendali e sui processi.
Vuoi restare sempre aggiornato sui temi regolamentari e sulle loro implicazioni nella Tua organizzazione?
Compliance Mate supporta i professionisti con un aggiornamento continuo e puntuale su tutte le norme specifiche del settore bancario e finanziario, con evidenza dei collegamenti a rischi e processi aziendali, anche in relazione a materie non prettamente bancarie e finanziarie, come la Privacy.
Pur gestendo un processo complesso, il funzionamento di Compliance Mate è semplice: il software invia agli utenti una scheda alert ogni volta che un aggiornamento o una nuova norma viene caricata.
L’alert contiene anche un’analisi tecnica degli impatti sui rischi e sui processi standard, come nell’esempio riportato in consultazione, in relazione alle Linee Guida sul DPIA DPIA (Data Protection Impact Assessment), rese disponibili dai Garanti Europei il 4 aprile 2017. Visualizza un esempio al link LIU-Scheda alert A0107-2017 advanced (1) e contattaci a info@compliancejournal.it per maggiori informazioni