organizzativa o, comunque, a personale diverso rispetto a quello cui è
affidato il trattamento dei dati bancari dei clienti.
iii. I controlli devono comprendere anche verifiche a posteriori, a
campione o su eventuale allarme derivante da sistemi di alerting e di
anomaly detection, sulla legittimità e liceità degli accessi ai dati
effettuati dagli incaricati, sull'integrità dei dati e delle procedure
informatiche adoperate per il loro trattamento. Sono svolte, altresì,
verifiche periodiche sulla corretta conservazione dei file di log per il
periodo previsto al punto 4.2.2.
iv. L'attività di controllo deve essere adeguatamente documentata e il
relativo esito deve essere comunicato ai soggetti indicati al punto
4.3.2.
2) Misure opportune:
f) Informativa all'interessato (punto 2.2).
L'informativa resa all'interessato ai sensi dell'art. 13 del Codice, potrà
contenere anche l'indicazione che i dati della clientela potranno
circolare tra le agenzie o filiali di ciascuna banca.
g) Informazioni all'interessato (punto 5.1).
Le banche comunicano, senza ritardo, all'interessato le operazioni di
trattamento illecito effettuate -sui dati personali allo stesso riferiti-
dagli incaricati.
h) Comunicazioni al Garante (punto 5.2).
Le banche comunicano tempestivamente al Garante i casi in cui risulti accertata
una violazione, accidentale o illecita, nella protezione dei dati personali, di
particolare rilevanza.
3) dispone, che le misure di cui al punto 1) del presente dispositivo, siano adottate
entro 30 mesi dalla pubblicazione del presente provvedimento sulla
Gazzetta
Ufficiale
;
4) dispone, ai sensi dell'art. 143, comma 2, del Codice, di trasmettere al Ministero
della giustizia-Ufficio pubblicazione leggi e decreti copia del presente
provvedimento, per la relativa pubblicazione sulla
Gazzetta Ufficiale
della
Repubblica italiana.
Roma, 12 maggio 2011
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
De Paoli