Privacy e Banche: nuovi adempimenti e nuovi ruoli per la conservazione a norma dei log

News 14/05/2012

di Andrea Lisi e Graziano Garrisi (Ufficio di Presidenza ANORC - Digital & Law Department, Studio legale Lisi)

Il tema della registrazione, gestione e conservazione dei log file è stato da sempre oggetto di particolare attenzione da parte di chi si occupa di sicurezza .
A questo proposito, la delicata attività degli istituti di credito e le esigenze legate alla tutela della riservatezza e sicurezza dei dati personali dei clienti sono oggi al centro di numerose controversie in ambito civile o procedimenti dinanzi all'Autorità Garante per la protezione dei dati personali, a causa della fuga di notizie riservate o delle illecite consultazioni delle banche dati presenti sia all'interno della struttura organizzativa dell'istituto sia nelle "centrali dei rischi" (anche consultazioni non finalizzate a una richiesta di finanziamento).
In tal senso e in risposta alle esigenze di riservatezza dei correntisti e degli interessati in genere, un recente provvedimento del Garante Privacy costringerà le banche a implementare sistemi di conservazione a norma dei log file di accesso agli strumenti informatici da parte dei propri dipendenti.
Tale provvedimento, rubricato "Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie", del 12 maggio 2011, ha introdotto l'obbligo per tutti gli istituti bancari e per Poste Italiane S.p.A. di adottare specifiche tecnologie al fine di conservare traccia dell'attività dei propri dipendenti impegnati nelle rispettive mansioni sul luogo di lavoro. Fino ad oggi, infatti, era riconosciuta una certa discrezionalità a ciascuna banca o gruppo bancario nelle scelte relative alla tracciabilità delle operazioni bancarie dei dipendenti (sia dispositive, sia di semplice inquiry, intendendo con tale termine le operazioni di semplice consultazione dei conti correnti o di altri rapporti contrattuali riferiti ai clienti) e alle diverse soluzioni adottate per dare attuazione a quanto previsto nelle "Disposizioni di vigilanza per le banche in materia di conformità alle norme (compliance)" adottate dalla Banca d'Italia il 10 luglio 2007, con il risultato che solo pochi istituti bancari sono risultati in possesso di sistemi di tracciamento riguardanti anche le operazioni di inquiry.
Lo scopo perseguito dal Garante Privacy, invece, è quello di individuare specifiche misure di sicurezza finalizzate a tutelare i clienti e i correntisti delle banche da accessi non autorizzati e da intrusioni illegittime ai dati personali e finanziari, assicurando e garantendo così un corretto trattamento degli stessi¹. Tant'è che il nuovo obbligo trae origine da una serie di accessi indebiti effettuati sui dati dei clienti di diversi istituti di credito, presumibilmente da parte di dipendenti che comunicavano tali informazioni a terzi perché fossero utilizzate a scopo personale (in genere in cause di separazione giudiziale e in procedure esecutive).
Alla luce di ciò, l'Autorità Garante ha prescritto che ogni tipo di operazione effettuata sui dati dei clienti - sia che comporti movimenti di denaro o che sia una semplice consultazione - da parte di soggetti incaricati operanti all'interno della banca, dovrà essere tracciata (ovvero loggata) attraverso la raccolta e la conservazione di una serie di informazioni (log file) quali:
- il codice identificativo del soggetto incaricato che ha effettuato l'operazione di accesso;
- la data e l'ora di esecuzione;
- il codice della postazione di lavoro utilizzata;
- il codice del cliente interessato dall'operazione di accesso ai dati bancari da parte dell'incaricato;
- la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli).
Si tratta, quindi, di mettere in piedi un vero e proprio sistema di audit log di tutta l'attività dei dipendenti che procedono (in quanto autorizzati) al trattamento dei dati personali dei clienti all'interno dell'istituto bancario.
Accanto a tale prescrizione, poi, sono stati individuati altri obblighi che riguardano, ad esempio, i tempi di conservazione dei relativi file di log. In particolare, è stato stabilito che i file di log debbano essere conservati per un periodo non inferiore ai 24 mesi dalla data di registrazione dell'operazione, anche nei casi di semplice consultazione, poiché un periodo di tempo inferiore non consentirebbe agli interessati di venire a conoscenza dell'accesso ai propri dati personali e delle motivazioni che lo hanno determinato.
Ecco, quindi, che emerge l'opportunità per le banche di dotarsi di idonei sistemi al fine di rendere giuridicamente corretto il processo di conservazione e di esibizione dei log file.
Così come era stato già prescritto per il controllo sui log degli amministratori di sistema (anche se in questo caso i log dovevano essere conservati per almeno sei mesi), nel provvedimento del Garante Privacy in esame la gestione dei dati bancari deve essere oggetto almeno annualmente di un'attività di controllo interno da parte dei titolari del trattamento, in modo che venga verificata costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza del trattamento dei dati personali previsto dalle norme vigenti.
Accanto a tale misura viene resa obbligatoria anche l'implementazione di alert volti a rilevare comportamenti anomali verso i dati bancari (come, ad esempio, la consultazione massiva o accessi ripetuti su uno stesso nominativo di correntista presso l'istituto bancario), tali da far sospettare eventuali trattamenti illeciti da parte dei dipendenti della banca ².
L'attività di controllo, poi, dovrà essere demandata a un'unità organizzativa terza, o comunque a personale diverso rispetto a quello a cui è affidato il trattamento dei dati bancari dei clienti (i controlli devono comprendere anche verifiche a posteriori, a campione o a seguito di allarme derivante da sistemi di alerting e di anomaly detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull'integrità dei dati e delle procedure informatiche adoperate per il loro trattamento) ³.
Alle banche, quindi, sono stati concessi 30 mesi di tempo per trovare una soluzione tecnologica adeguata, in linea con gli ulteriori adempimenti prescritti dal Garante e con le modalità di controllo sui log registrati e conservati, per tutelare i clienti da eventuali trattamenti illegittimi dei loro dati personali (considerando che un anno è già quasi trascorso, i tempi per adottare una soluzione idonea sono stringenti). Per realizzare un sistema così complesso, poi, ci sarà necessariamente bisogno, all'interno di ciascuna organizzazione, di un coordinamento tra le figure chiave coinvolte in questi delicati processi, ovvero tra il responsabile della conservazione digitale dei documenti e il responsabile del trattamento dei dati personali. Con tale provvedimento, infatti, il Garante Privacy tende a realizzare e a far perseguire all'interno di ciascun istituto bancario quel modello organizzativo obbligatorio, che prevedrà la comunicazione e la condivisione di strategie, adempimenti e attività tra i due soggetti intorno a cui dovranno ruotare i processi di conservazione digitale a norma. D'altronde, è lo stesso articolo 44, comma 1-bis (introdotto dal decreto legislativo 30 dicembre 2010, n. 235) a stabilire che "Il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d'intesa con il responsabile del trattamento dei dati personali di cui all'articolo 29 del decreto legislativo 30 giugno 2003, n. 196 e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all'articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza".
A entrambe le figure di responsabili, infatti, spettano compiti organizzativi, di manutenzione e controllo, operativi, di protezione dei dati e delle procedure informatiche, di assistenza e ispezione, etc.
Ci si avvicina, quindi, a un processo di gestione della conservazione dei log file dei dipendenti simile al processo di gestione dei documenti previsto dal Codice dell'Amministrazione Digitale (CAD). Come è noto, infatti, l'effettivo sviluppo di un sistema a norma di conservazione digitale dei documenti presuppone necessariamente la nomina di un responsabile della conservazione e, in base a quest'ultimo provvedimento del Garante Privacy, anche di un responsabile privacy che sappia guidarne le scelte in modo da non ledere il diritto alla riservatezza degli interessati al trattamento e provvedere a tutti gli ulteriori adempimenti richiesti dalla legge (viene sovvertito, infatti, un principio generale in materia di privacy e diritto del lavoro, ossia quello che vieta al datore di lavoro di effettuare controlli mirati sull'attività lavorativa del dipendente).
Si dovranno, così, riprendere e integrare i vari regolamenti interni (privacy policy) di ciascun istituto, adeguandoli alle nuove prescrizioni e rendendo trasparente a tutti gli incaricati interni (che a vario titolo partecipano al trattamento in qualità di incaricati o responsabili) questa nuova attività di tracciamento, contemperando così le esigenze di sicurezza con quelle che riguardano il rispetto dello Statuto dei lavoratori e, in genere, la riservatezza del dipendente.
Con le nuove regole, quindi, il Garante ha voluto prescrivere a tutti gli istituti bancari l'adozione di misure di sicurezza molto rigorose che, se non rispettate, potranno comportare a carico del Titolare del trattamento sanzioni molto pesanti: si tratta, infatti, di misure di sicurezza c.d. "necessarie" perché oggetto di prescrizione resa dal Garante ai sensi dell'art. 154, comma 1, lett. c) del Codice Privacy e, in caso di mancato adempimento, sono previste sanzioni che possono variare dai 30.000 ai 180.000 euro. Sarà interessante, inoltre, osservare quale scelta opereranno gli istituti bancari per adeguarsi a tale provvedimento e quale sarà il sistema di conservazione adottato, il quale dovrà armonizzare la necessità di tutela della privacy e quella di linearità e semplicità del sistema, pur garantendo il mantenimento stabile, sicuro e "a norma" delle informazioni trattate.

1 A tal proposito, occorre ricordare che non è la prima volta che le banche sono state oggetto di interventi specifici del Garante Privacy: già nel 2007, infatti, il Garante aveva ritenuto illecito utilizzare i dati personali presenti nelle "centrali rischi" per scopi estranei all'attività di rilascio o di gestione dei finanziamenti, come ad esempio l'attività di marketing (l'utilizzazione dei dati personali può, infatti, avvenire soltanto se strettamente connessa all'istruttoria di una richiesta di finanziamento).

2 Pertanto, negli strumenti di business intelligence utilizzati dalle banche per monitorare gli accessi ai database dovranno confluire i log relativi a tutti gli applicativi utilizzati per l'accesso da parte degli incaricati del trattamento.

3 Tra le principali implicazioni derivanti da tale attività di verifica, inoltre, possiamo notare come l'esito dell'attività di controllo sopra descritta debba essere poi:
- comunicato alle persone e agli organi legittimati ad adottare decisioni e a esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della banca;
- richiamata nell'ambito del documento programmatico sulla sicurezza (ovvero, alla luce della recente soppressione di tale documento, in altra policy o manuale interno recante le misure di sicurezza minime, idonee o necessarie attuate dall'istituto di credito), nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza;
- messo a disposizione del Garante, in caso di specifica richiesta.