Pagina 817 - Il Punto Su...Le Dita! _ok3

Versione HTML di base

• il codice identificativo del soggetto incaricato che ha posto in essere l'operazione
di accesso;
• la data e l'ora di esecuzione;
• il codice della postazione di lavoro utilizzata;
• il codice del cliente interessato dall'operazione di accesso ai dati bancari da parte
dell'incaricato;
• la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazione
effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli).
Le misure di cui al presente paragrafo sono adottate nel rispetto della vigente disciplina in
materia di controllo a distanza dei lavoratori (art. 4, l. 20 maggio 1970, n. 300), tenendo
altresì conto dei princìpi affermati dal Garante in tema di informativa agli interessati nelle
linee guida sull'utilizzo della posta elettronica e di internet (
Provv
. 1° marzo 2007, doc.
web
n.
.
4.2.2. Conservazione dei log di tracciamento delle operazioni.
Il periodo di conservazione dei file di log che tracciano gli accessi varia in base alla tipologia
di
log
memorizzato; inoltre, fatta eccezione per quelli che tracciano gli accessi degli
amministratori di sistema (per i quali è previsto un periodo minimo di conservazione di 6
mesi; v. punto 4.5 del Provv. 27 novembre 2008, doc.
web
n.
, per gli altri
log
non
sono normativamente prescritti tempi di conservazione. Anche le risultanze istruttorie hanno
confermato che i log sono conservati per un periodo variabile (in tal senso è anche la
documentazione prodotta dall'ABI, che rileva come i log di accesso ai sistemi informativi
siano conservati mediamente per 12 mesi, mentre i log file delle transazioni bancarie sono
conservati per un periodo non inferiore a 10 anni).
Tuttavia, alla luce dell'esperienza maturata in sede ispettiva, si ritiene congruo stabilire che i
log
di tracciamento delle operazioni di inquiry siano conservati per un periodo non inferiore a
24 mesi dalla data di registrazione dell'operazione. Ciò in quanto un periodo di tempo
inferiore non consentirebbe agli interessati di venire a conoscenza dell'avvenuto accesso ai
propri dati personali e delle motivazioni che lo hanno determinato.
4.3. L'implementazione di alert volti a rilevare intrusioni o accessi anomali e abusivi ai sistemi
informativi.
4.3.1. Implementazione di alert.
Deve essere prefigurata da parte delle banche l'attivazione di specifici alert che individuino
comportamenti anomali o a rischio relativi alle operazioni di inquiry eseguite dagli incaricati
del trattamento.
Anche a tal fine, negli strumenti di business intelligence utilizzati dalle banche per monitorare
gli accessi alle banche dati contenenti dati bancari devono confluire i log relativi a tutti gli
applicativi utilizzati per gli accessi da parte degli incaricati del trattamento.
4.3.2.
Audit
interno
di
controllo–Rapporti
periodici
.
La gestione dei dati bancari deve essere oggetto, con cadenza almeno annuale, di un'attività di
controllo interno da parte dei titolari del trattamento, in modo che sia verificata costantemente
la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei
dati personali previste dalle norme vigenti.
L'attività di controllo deve essere demandata a un'unità organizzativa o, comunque, a