Versione HTML di base
personale diverso rispetto a quello cui è affidato il trattamento dei dati bancari dei clienti.
I controlli devono comprendere anche verifiche a posteriori, a campione, o a seguito di
allarme derivante da sistemi di
alerting
e di
anomaly detection
, sulla legittimità e liceità degli
accessi ai dati effettuati dagli incaricati, sull'integrità dei dati e delle procedure informatiche
adoperate per il loro trattamento. Sono svolte, altresì, verifiche periodiche sulla corretta
conservazione dei file di log per il periodo previsto al punto 4.2.2.
L'attività di controllo deve essere adeguatamente documentata in modo tale che sia sempre
possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle
risultanze delle analisi condotte sugli accessi e alle eventuali criticità riscontrate.
L'esito dell'attività di controllo deve essere:
• comunicato alle persone e agli organi legittimati ad adottare decisioni e a
esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della
banca;
• richiamato nell'ambito del documento programmatico sulla sicurezza nel quale
devono essere indicati gli interventi eventualmente necessari per adeguare le
misure di sicurezza;
• messo a disposizione del Garante, in caso di specifica richiesta.
5. Informazioni
in
caso
di
accessi
non
autorizzati.
5.1.
Informazioni
all'interessato.
Le banche comunicano senza ritardo all'interessato le operazioni di trattamento illecito effettuate -sui dati
personali allo stesso riferiti- dagli incaricati. Tale tempestiva informazione, infatti, in termini generali,
può consentire all'interessato l'adozione di appropriate misure e, ove possibile, una minimizzazione dei
rischi connessi alla violazione della disciplina di protezione dei dati personali.
Tale comunicazione costituisce misura opportuna ai sensi dell'art. 154, comma 1, lett. c) del Codice.
5.2.
Comunicazioni
al
Garante.
Le banche comunicano tempestivamente al Garante -fornendo gli opportuni dettagli- i casi in cui
risultino accertate violazioni, accidentali o illecite, nella protezione dei dati personali, purché di
particolare rilevanza per la qualità o la quantità di dati coinvolti e/o il numero di clienti interessati, dalle
quali derivino la distruzione, la perdita, la modifica, la rivelazione non autorizzata dei dati della clientela.
Tale comunicazione costituisce misura opportuna ai sensi dell'art. 154, comma 1, lett. c) del Codice.
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive le misure di seguito indicate alle banche,
incluse quelle facenti parte di gruppi; alle società diverse dalle banche, purché siano parte di tali gruppi; a
Poste Italiane S.p.A. nell'esercizio dell'attività di cui al punto 1.2. del presente provvedimento:
1) Misure necessarie:
a) Designazione dell'
outsourcer
quale responsabile del trattamento
(punto
3.2).
Quando il trattamento di dati personali dei clienti da parte di
outsourcer è svolto restando riservati alle banche i poteri riconosciuti
dal Codice solo al titolare (artt. 4, comma 1, lett. f) e 28), e dunque, in
concreto, detti poteri, non risultino posti effettivamente in capo
all'
outsourcer
, le stesse banche, quali unici titolari del trattamento,