Versione HTML di base
delle informazioni sulla base di una serie di servizi elencati e concordati nell'ambito di accordi
contrattuali, definiti in funzione delle specifiche esigenze della singola banca".
3.2.
Profili
di
protezione
dei
dati
personali.
Le differenti soluzioni adottate dalle banche e dai gruppi bancari -in coerenza con le proprie specifiche
caratteristiche, anche dimensionali e operative- rendono opportuno formulare alcune prescrizioni in
merito alle modalità attraverso le quali ciascuna banca o gruppo bancario può garantire la trasmissione
alla società che gestisce i sistemi informativi dei dati personali relativi ai clienti. Alla luce dell'esame
complessivo delle risultanze istruttorie, si deve ritenere che la qualificazione delle società che gestiscono i
sistemi informativi (di seguito denominati semplicemente
"outsourcer"
) quali autonomi "titolari del
trattamento" (con tutte le conseguenze che ciò comporta anche in termini di eventuale responsabilità
civile nei confronti degli interessati) spesso può risultare non conforme alle previsioni del Codice (e,
segnatamente, agli artt. 4, comma 1, lett. f) e g), 28 e 29).
Infatti, benché l'esternalizzazione dei sistemi informativi costituisca una libera scelta organizzativa di
esclusiva pertinenza delle banche, affinché i connessi trattamenti di dati personali dei clienti risultino
conformi alla disciplina sulla protezione dei dati personali, è indispensabile che ciascuna banca valuti
attentamente se le società di gestione di detti sistemi (a prescindere dal fatto che si tratti di soggetti interni
o esterni alla compagine di gruppo o alla singola banca), alla luce delle specifiche attività che sono
chiamate a svolgere in base ai contratti di servizio, possano essere effettivamente considerate quali
autonomi titolari o non vadano invece designate quali "responsabili" del trattamento ai sensi dell'art. 29
del Codice (in questo senso v. anche il parere del Gruppo Art. 29 sulla protezione dei dati, n. 1/2010 -
del 16 febbraio 2010).
Infatti, la posizione di "titolare" del trattamento, pur astrattamente riconoscibile anche in capo
all'outsourcer, risulta, tuttavia, ascrivibile solo alla banca nei casi in cui la stessa abbia il potere di:
1. assumere decisioni relative alle finalità del trattamento;
2. impartire istruzioni e direttive vincolanti nei confronti delle società di gestione dei sistemi
informativi, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve
impartire al responsabile;
3. svolgere funzioni di controllo rispetto all'operato delle medesime e degli incaricati delle
stesse.
Alla luce di tali considerazioni, quando il trattamento di dati personali dei clienti da parte dell'outsourcer
è svolto restando riservati alle banche i poteri -sopra indicati- riconosciuti dal Codice solo al titolare (artt.
4, comma 1, lett. f) e 28) e dunque, in concreto, detti poteri, non risultino effettivamente posti in capo
all'outsourcer, le banche devono essere considerate gli unici titolari del trattamento, con conseguente
necessità di designare le società operanti in outsourcing quali responsabili (artt. 4, comma 1, lett. g) e 29,
commi 4 e 5 del Codice).
4. Il "tracciamento" delle operazioni di accesso ai dati e gli strumenti di audit.
4.1. Aspetti organizzativi emersi a seguito dell'attività istruttoria.
In relazione al profilo degli accessi informatici da parte dei dipendenti delle banche ai dati relativi alla
clientela e al correlato tracciamento delle operazioni poste in essere dagli stessi, si ritiene di dover
formulare alcune prescrizioni.
Le diverse soluzioni adottate da ciascuna banca o gruppo bancario, oggetto di accertamento in loco in
ordine alle caratteristiche tecnologiche dei sistemi informativi con cui vengono tracciate le operazioni
bancarie (sia dispositive, sia di semplice
inquiry
), sono espressione della discrezionalità riconosciuta a
ciascuna banca o gruppo bancario nel dare attuazione a quanto previsto nelle "Disposizioni di vigilanza
per le banche in materia di conformità alle norme (
compliance
)", adottate dalla Banca d'Italia il 10 luglio
2007. In linea con gli orientamenti emersi in sede internazionale, le Istruzioni di vigilanza definiscono
ruolo e responsabilità degli organi di vertice delle banche e prevedono la costituzione della funzione di