Finanza
Conoscere la privacy: il segreto bancario
Il segreto bancario non è disciplinato in maniera specifica nella normativa italiana, per quanto esistano richiami indiretti, negli articoli 13 14 e 15 della Costituzione, per la tutela della libertà, inviolabilità del domicilio e la segretezza della corrispondenza
L’Autorità Giudiziaria se opera per la repressione di un reato, può ottenere e gestire, tutte le informazioni di cui necessità dalle banche ed anche, sequestrare i documenti che possono essere pertinenti al reato secondo l’articolo 25 del codice di procedura penale.
Pertanto, il segreto bancario, inteso come assimilabile al segreto professionale per tutelare i dati riservati dei cittadini, ( vietando, a chi lavora negli istituti bancari, di fornire a terzi informazioni sulle posizioni dei propri clienti) in Italia sussiste solo tra privati ed è ampiamente assorbito nella tutela generale del regolamento.
Con l’attuazione del GDPR, il problema dei dati bancari, può essere affrontato seguendo due aspetti, di uguale importanza.
Il primo, riguarda il trasferimento di questi, in paesi che hanno legalizzato o addirittura costituzionalizzato il segreto bancario, il secondo è relativo all’attività di notificazione a cui le banche devono adempiere in caso di data breach.
Attualmente lo scambio di dati finanziari e fiscali tra i paesi del mondo è regolato da due diversi trattati: il FATCA (Foreign Account TaxCompilance), laddove lo scambio dei dati avviene su richiesta e il CRS (Common Reporting Standard), in questo caso lo scambio di informazioni avviene in automatico.
Il secondo profilo per il quale il segreto bancario, con tutte le sue limitazioni sopra descritte, viene ad essere di nostro interesse, attiene a gli adempimenti obbligatori e facoltativi degli istituti di credito conseguenti ad un data breach.
Qualora la violazione della sicurezza abbia un impatto significativo sui servizi fiduciari prestati dalla banca o sui dati personali incustoditi, il Regolamento (UE) n. 910/2014 (EIDAS) prevede uno specifico obbligo di notifica entro le 24 ore dalla conoscenza della “breccia” ad una pluralità di soggetti, tra cui l’autorità Garante e la persona fisica o giuridica a cui è stato prestato il servizio fiduciario.
Altra ipotesi in cui la normativa tocca il segreto bancario, riguarda il settore della gestione delle reti e dei sistemi informativi al fine di evitare incidenti che possono avere un impatto rilevante sulla continuità dei servizi essenziali prestati.
La banca in caso di incidente o malfunzionamento deve immediatamente notificare all’autorità competente o al CSIRT (Gruppo di intervento per la sicurezza informatica in caso di incidente) ai sensi della direttiva (UE) 2016/1148.
Appare pertanto chiaro, da questa breve rassegna come il quadro normativo della privacy, al di là della tradizionale impostazione del segreto bancario valevole erga omnes, tranne che nei confronti dell’Autorità Giudiziaria nell’esercizio delle sue funzioni investigative, viene ulteriormente ridimensionato nel momento in cui vari soggetti, sono competenti a conoscere, seppur in casi limitati come quello della notifica di un data breach, informazioni e dati sensibili ben al di là del consenso e del controllo dell’interessato.
II Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o, in breve, GDPR) è la normativa di riforma della legislazione europea in materia di protezione dei dati. Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 25 maggio 2018, e fin dalla sua applicazione ha determinato un cambiamento senz’altro profondo nella modalità di gestione dei dati personali.
Il Regolamento generale si applica ad ogni trattamento, ovvero, a qualsiasi operazione o insieme di operazioni, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione che ha ad oggetto dati personali, ed a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio dell’Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell’Unione, trattano dati di residenti nell’Unione europea (art. 3 del Regolamento). In tal modo la sua applicazione non è limitata alle sole aziende che si trovano in Europa, ma tutela tutti gli interessati che risiedono nel territorio dell’Unione, indipendentemente da dove si attua il trattamento dei loro dati.
Le principali novità prevedono, dunque, oltre ad un rafforzamento dei diritti degli interessati, con un più facile accesso alle informazioni riguardanti i loro dati e le finalità e le modalità di trattamento degli stessi, l’introduzione del diritto alla cancellazione ed alla portabilità dei dati, che consentirà di trasferire i dati personali tra i vari servizi online, ed il rafforzamento del diritto al reclamo.
In particolare, come cennato, la novità rafforzativa dei diritti individuali è costituita dall’istituzionalizzazione del diritto alla cancellazione dei dati, detto anche diritto all’oblio, che consentirà di chiedere ed ottenere la rimozione dei dati quando viene meno l’interesse pubblico alla notizia, l’obbligo di notifica da parte delle aziende delle gravi violazione dei dati dei cittadini, nonché la previsione che le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale.
La protezione dei dati personali è un tema di cruciale importanza per gli istituti bancari atteso che assicurare la riservatezza e la sicurezza dei dati bancari, inclusi i dati personali, oltre ad evitare di incorrere nelle sanzioni previste dalla passata e dalla nuova disciplina, è certamente elemento di capacità concorrenziale. La questione relativa alla circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie già affrontata con provvedimenti del Garante n. 192/2011 e n. 357/2013, dovrà essere aggiornata con le modifiche previste nel Regolamento.
Rispetto alla precedente disciplina di riferimento, il Regolamento si incardina sugli obblighi e sulla responsabilizzazione del titolare (e del co-titolare) e del responsabile del trattamento. Tale principio di accountability, come già più sopra rilevato, si traduce nell’adozione di misure tecniche e di modelli organizzativi atti a garantire che la gestione e la conservazione dei dati avvenga in maniera conforme ai principi di protezione dei dati personali.
Gli istituti bancari, nell’implementare il sistema, non potranno non tener conto sia delle singolarità previste dalle varie disposizioni di vigilanza della Banca d’Italia, che delle disposizioni contenute nelle prescrizioni in materia di tracciamento degli accessi ai dati bancari dei clienti, tempi di conservazione dei relativi file di log e implementazione di alert di rilevazione di intrusioni o accessi anomali ai dati bancari.
I contenuti dell’informativa da fornire al trattato elencati nel GDPR sono più estesi rispetto al precedente Codice Privacy e vanno forniti per iscritto; tuttavia, per i servizi resi tramite sito web, l’informativa può essere anche provvista in formato elettronico, anche con “icone”, che richiamino, tuttavia, per esteso gli elementi informativi necessari.
L’innovazione si accompagna al diritto alla portabilità; in effetti, l’onere di dar corso alle richieste di cancellazione, come a quelle di portabilità, impone sia l’adeguamento delle politiche interne quanto la mappatura dei dati e dei flussi di dati trattati da parte del titolare del trattamento, in modo tale che si rispetti sia la norma che la volontà dell’interessato richiedente, ma anche che sia garantito una maggior controllo dei dati di modo da limitare o evitare la divulgazione di notizie ulteriori, come informazioni confidenziali o segreti industriali, ad altri titolari eventualmente concorrenti.
Nell’attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, appare fondamentale la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina europea e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni (art. 33 – 34 del Regolamento). Risulta quindi necessaria che venga garantita la trattazione dei dati in modo da garantirne l’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato degli stessi dati. Adottare “misure tecniche e organizzative adeguate” al fine di evitare il rischio che si verifichino trattamenti non autorizzati o illeciti, nonché la perdita o la distruzione dei dati personali e delle attrezzature impiegate per il trattamento, diventa un obbligo fondamentale. Con riguardo a queste misure “di sicurezza”, il Regolamento richiama, con valore esemplificativo e non esclusivo (l’art. 30), la pseudonimizzazione e la cifratura, chiaramente ispirate a un tipo di trattamento realizzato con l’ausilio di strumenti elettronici.
Le soluzioni di sicurezza in tema di strutture informative devono risultare non solo quanto più armoniche ed omogenee possibile con quelle da assumere in materia di protezione dei dati personali, ma devono avere l’obiettivo di rendere il sistema flessibile ed idoneo per gli scopi assegnati.
L’attività di assessment (ovvero valutazione) dello stato dell’arte in materia di trattamento dei dati, va effettuata con scadenze temporali che devono andare di pari passo con l’evoluzione tecnologica, ma anche con l’evoluzione di quelli che sono i possibili attacchi ai sistemi informativi.
I ruoli interni, gli organigrammi di privacy, la verifica di “compliance” al GDPR del sistema aziendale di videosorveglianza, e dei rapporti contrattuali con fornitori esterni nominati responsabili del trattamento nonché la verifica delle competenze (eventuale ricollocazione dei server), deve essere continua ed attenta, non può essere fatta una sola volta, per risolvere tutte le problematiche alle quali il trattamento dati, va incontro.
La definizione o l’adeguamento delle procedure per gestire le richieste degli interessati di modificare, cancellare, accedere, portare i dati, implementate politiche privacy by design e privacy by default, la definizione o l’adeguamento delle procedure di monitoraggio dei sistemi ICT e di notifica dei data breach, nonché la conformità rispetto al GDPR delle misure di sicurezza informatiche è oggi, con l’introduzione del GDPR, uno degli elementi più importanti nelle attività che coinvolgono i dati degli utenti dell’istituto finanziario.
Il Regolamento europeo impone di necessità di avere persone in grado di adeguare il “sistema azienda” alle nuove modalità di gestione del dato ed al principio di accountability , capace di valutare l’adeguatezza o meno dei propri processi di compliance.
Il principio è che i dati personali devono essere trattati in modo da garantirne sicurezza e la protezione.
Inoltre, devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali .vengono raccolti.
Il principio, da tenere sempre in considerazione, è che i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che questo trattamento, non sia incompatibile con tali finalità o con il legittimo interesse del titolare. Per ogni diversa finalità deve essere richiesto uno specifico consenso. Inoltre, i dati personali, continuano a dover essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati raccolti ed elaborati.
Devi fare login per commentare
Accedi