La banche avevano trenta mesi, ormai ne rimangono poco più di 3, per organizzarsi tecnicamente e trovare e mettere in piedi una soluzione tecnologica che abbia come scopo tutelare i propri clienti rispetto al trattamento illegittimo dei dati personali.
Mai come in questo momento, in un settore specifico come quello bancario nasce e si fa sentire sempre più importante la problematica alla protezione dei dati ma anche e soprattutto la protezione dei dati visti nella loro riservatezza.
E ciò sta portando alla luce non poche attività relative a controversie in questo settore, controversie civili, ma molto spesso gli utenti anche allo scopo di essere più veloci nel giudizio, portano i procedimenti denuncia direttamente davanti all’autorità del Garante.
Da tempo portiamo avanti una campagna di sensibilizzazione sui termini della privacy e da tempo insistiamo che a volte, anzi spesso, un insieme di dati anche non sottoposti a tutela diventano riservati se l’uso finale che ne viene fatto non è conforme alle norme.
Nello specifico è proprio quello che sta succedendo alle banche che da un lato, per numero non indifferente, vede i propri lavoratori comunicare spesso a titolo di favore la situazione creditizia, la presenza di mutui o quant’altro a solo titolo di favore, dall’altro l’istituto fa un uso spropositato e scorretto dei dati derivanti da altre banche dati come ad esempio “la centrale rischi”.
Il Garante per la tutela del trattamento dei dati personali, si è visto costretto ad intervenire rispetto alle cattive pratiche degli istituti e nel particolare, con provvedimento del maggio 2011 ha introdotto l’obbligo a carico di tutti gli istituti bancari di tracciare e conservare le attività sui dati da parte del proprio personale preposto dettando l’obbligo di conservare e tracciare le attività sui dati, anche in termine di sola lettura.
Attenzione il provvedimento riveste una importanza considerevole sia perché tocca una delle caste di maggior potere ma anche e soprattutto perché con esso cessa la discrezionalità che fino ad ieri veniva riconosciuta agli istituti nel merito di queste specifiche operazioni per assolvere alle disposizioni di vigilanza per le banche in materia di conformità alle norme adottate con data del 10 Luglio 2007 dalla Banca d’Italia.
Un ulteriore aspetto importante di questo provvedimento è che mette fine alla interpretazione delle attività di sicurezza rispetto alla gestione delle semplici visualizzazioni, tecnicamente inquiry, rispetto ai dati del cliente. Si è infatti sancito in via definitiva che le banche devono aggiungere al log nel quale gestiscono le operazioni “nette”, per capirci quelle che a vario titolo modificano qualcosa sul conto del cliente anche tutti quei log di tracciatura inerenti la semplice richiesta di informazione sullo status del cliente.
Ma nello specifico vediamo cosa deve essere conservato e tracciato sul log (quindi tecnicamente come deve essere aggiornato il SIEM), che si riempirà dei seguenti valori
- Codice identificativo dell’incaricato che ha effettuato l’operazione di accesso ai dati
- Data e ora dell’operazione
- Identificativo della postazione di lavoro utilizzata
- Dati adeguati per il riconoscimento del cliente (NDG)
- Tipologia del rapporto contrattuale (c/c Mutuo, fido, …) del cliente a cui si riferisce l’operazione
Il tutto è previsto che sia mantenuto in conservazione per un periodo non inferiore ai 24 mesi e il Titolare ha l’obbligo di una ispezione all’anno con lo scopo di verificare la corrispondenza delle misure organizzative da un alto e tecniche dall’altro.
Interessante poi a livello di sicurezza informatica è poi l’introduzione, attraverso sistemi di allert, della filosofia di Data Anomaly Detection, che nello specifico obbliga le banche a monitorare in modo preventivo e quindi eventualmente procedere alla segnalazione, di eventuali comportamenti strani come potrebbero essere gli accessi ripetuti a singolo clienti o fasce di clienti, da parte del proprio personale. Con questa attività di monitoring e di allert la banca e per essa il titolare del trattamento si rende conto in anticipo se ci sono accessi sospetti ai dati o quanto meno non giustificati.
Poco spazio a dubbi ed interpretazioni quindi e gli istituti bancari so sono ritrovati con nuove e più stringenti misure di sicurezze che prevedono per il caso di mancato rispetto sanzioni che possono arrivare fino a 180.000,00 euro a carico del titolare del trattamento
Nessun commento:
Posta un commento