Tracciamento operazioni bancarie, adempimenti "vecchi" alla luce del "nuovo" Regolamento UE
Alert sulle inquiry bancarie improprie, da inquadrare nella privacy by design e nella privacy by default. Il Gdpr connota, infatti, in maniera nuova gli adempimenti “vecchi” del provvedimento 192/2011 del Garante della privacy, in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie. Il nuovo inquadramento è, ovviamente, da valutare alla luce delle ricadute sanzionatorie, dilatate in maniera incommensurabile proprio dal Gdpr.
Uno dei punti essenziali, ma anche di più difficile realizzazione nella prassi, del provvedimento è l’implementazione di alert.
Nel provvedimento del Garante, la prescrizione a proposito degli alert è netta.
Si legge, infatti, che deve essere prefigurata da parte delle banche l´attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry eseguite dagli incaricati del trattamento.
Ed, inoltre, si aggiunge che anche a tal fine, negli strumenti di business intelligence utilizzati dalle banche per monitorare gli accessi alle banche dati contenenti dati bancari devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi da parte degli incaricati del trattamento.
I problemi operativi rappresentati da queste prescrizioni sono molteplici.
Consideriamone alcuni. Innanzi tutto, l’attivazione di alert è obbligatoria. Tale natura è del tutto compatibile con il Gdpr, proprio alla luce dei principi generali e specifici dettati dagli articoli 5, 24 e 32 Gdpr.
(Nella foto:Antonio Ciccia Messina,docente del Corso "Privacy nel settore bancario")
Gli alert, poi, devono essere specifici. Il grado e la qualità di tale carattere specifico devono essere valutati in base ad alcuni parametri.
I parametri devono essere significativi dell’anomalia o del rischio collegato all’operazione di inquiry.
L’anomalia o il rischio può essere agganciato al tempo della ricerca, alla frequenza della ricerca, ad indicazioni geografiche, a parametri relativi alla mansione dell’autorizzato al trattamento e così via.
Si ritiene, comunque, che allo stato la valutazione degli indici presupponga necessariamente una decisione non interamente automatizzata, a seguito di un arricchimento istruttorio della notizia suscitata dagli alert.
Il presupposto, per una corretta gestione degli alert, è la profilazione analitica degli autorizzati, con la graduazione dei poteri. Tali profili di autorizzazione, per ciascun autorizzato o per classi omogenee di autorizzati, devono essere individuati e configurati in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Inoltre, periodicamente deve essere verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Un altro aspetto essenziale della gestione del "tracciamento" delle operazioni di accesso ai dati è rappresentato da ciò che capita o, meglio, deve capitare all´esito dell´attività di controllo. Anche in relazione a questa fase calano le prescrizioni del Garante della privacy.
Nel provvedimento in esame, tra le altre cose, si prescrive che l’esito dell´attività di controllo (e, quindi, degli accertamenti innescati dagli alert) deve essere comunicato alle persone e agli organi legittimati ad adottare decisioni e a esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della banca.
Ciò significa che deve essere promossa una decisione, negativa o positiva, collegata all’individuazione di una operazione anomala o a rischio.
Questo importa un modello organizzativo e un flusso documentale che porti a una decisione.
Si tratta, per il titolare del trattamento, di scrivere procedure con la predeterminazione dei tempi e delle attribuzioni delle relative disponibilità.
Anche su queste prescrizioni incide l’inquadramento delle stesse nella cornice del Gdpr, se non altro in relazione alle ricadute sanzionatorie amministrative.
La definizione delle procedure finalizzate all’assunzione delle decisioni degli uffici competenti deve essere valutata ai sensi delle leggi settoriali che individuano le ricadute dei comportamenti illeciti di ricerca. Questo importa necessariamente che le procedure siano scritte previo interessamento di tutte le unità organizzative interne (dalle Risorse Umane all’Ufficio Privacy, e così via).