Menu

Privacy: Banche Sotto Controllo

Privacy: Banche Sotto Controllo

Da pochi giorni è entrato in vigore il provvedimento del Garante per la protezione dei dati personali “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” Oltre a quanto si può desumere dal titolo, il provvedimento ha in realtà un inatteso e sottovalutato impatto sul controllo degli adempimenti Privacy nelle banche.

di Giancarlo Butti

La prima cosa che colpisce del provvedimento “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie", entrato in vigore in questi giorni, è che siamo a fine 2014, mentre il provvedimento è stato emesso il 12 maggio 2011. Oltre a concedere un lungo tasso di tempo alle banche per adeguarsi a causa del significativo impegno richiesto, il Garante ha infatti concesso 2 diverse proroghe che hanno portato l’iniziale scadenza fissata inizialmente in 30 mesi dalla sua pubblicazione.

La finalità del provvedimento, che deriva da una articolata serie di azioni di verifica, anche in seguito a segnalazioni, da parte del Garante, è tutelare i clienti delle banche, responsabilizzando in particolare queste ultime, circa la necessità di un maggior controllo sulla comunicazione dei dati dei clienti a soggetti terzi non autorizzati (ad esempio un creditore o coniuge in fase di separazione).

Per far questo, il Garante regola la comunicazione dei dati nei gruppi bancari e richiede il controllo sugli accessi ai dati bancari da parte degli incaricati al trattamento imponendone la tracciatura anche quando tali accessi avvengono per la semplice consultazione (si suppone che la tracciatura delle attivitĂ  dispositive venga giĂ  svolta dalle banche per rispetto di precedenti normative).

La formulazione del provvedimento rende in realtà molto lasca l’efficacia di tale azione, in quanto è limitata esclusivamente alle transazioni interattive relative a dati bancari in operazioni bancarie (tutte definizione queste ovviamente molto interpretabili).

Sfuggono all’obbligo di tracciatura infinite altre operazioni, quali ad esempio la consultazione di tabulati stampati ovvero tutte le informazioni derivanti da operazioni batch che un operatore può consultare sul suo PC. Ma al di là di questi aspetti che rendono di fatto il perimetro di controllo molto limitato, un effetto molto più significativo potrebbe derivare dalle misure di controllo periodico richiesto alle stesse banche.

A queste viene infatti richiesto: “La gestione dei dati bancari deve essere oggetto, con cadenza almeno annuale, di un'attività di controllo interno da parte dei titolari del trattamento, in modo che sia verificata costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.”

La formulazione è un po’ ambigua ed interpretabile in vari modi (si parla nella prima parte solo di dati bancari mentre poi si parla in forma piĂą estesa di dati personali). L’aspetto principale comunque riguarda il fatto che la prescrizione, obbligatoria, non si limita a richiedere una verifica annuale rispetto al contenuto del provvedimento in sĂ©, quanto piĂą in generale al rispetto delle vigenti normative in tema di Privacy.

Le banche quindi, se non vorranno incorrere nelle sanzioni previste per chi non rispetta un provvedimento del Garante, dovranno annualmente effettuare una verifica circa il rispetto delle normative Privacy sul trattamento dei dati personali (fossero anche solo quelli bancari). 

Che lo richieda il Garante è una tutela in piĂą per i clienti, anche se una saggia gestione del rischio vorrebbe che tale attivitĂ  fosse giĂ  in essere. Ma cosa comporta un’attivitĂ  di questo tipo? Come al solito, spostiamoci dall’ambito bancario che ha dato lo spunto a questo articolo e cerchiamo di generalizzare.

Quali sono i controlli in ambito privacy che un titolare dovrebbe effettuare per evitare il rischio delle attuali sanzioni e di qui a qualche anno le ben piĂą pesanti sanzioni previste dal nuovo Regolamento europeo? L’attivitĂ  di verifica può riguardare aspetti di natura prettamente formale, od essere di natura tecnica, oppure di natura organizzativa. Un possibile elenco di controlli di natura formale è riportato qui sotto:

Audit formali: aspetti principali – esempi di elementi da verificare
• Informative;
• Consenso;
• Autorizzazioni;
• Notifica;
• Incarichi (“Normali”, Specifici, Custode delle Password (MM 10);
• Designazioni (Responsabili Interni, Responsabili Esterni, Amministratori di sistema, Istruzioni per gli incaricati).

Un esempio dei controlli formali nell’ambito delle informative da rilasciare agli interessante può comprendere i seguenti aspetti:

Audit formali:informative. Verifica che l’informativa sia resa disponibile a tutti i soggetti interessati e che vi sia coerenza:
• fra l’elenco dei soggetti citati nel DPS (inteso non come misura minima abrogata, ma come documento sulla sicurezza redatto ai sensi dell’articolo 31 del Dlgs 196/03) e quelli a cui si rilascia l’informativa;
• l’elenco dei trattamenti citati nel DPS e quelli a cui si rilascia l’informativa, assicurando che l’elenco dei trattamenti individuati corrisponda alla situazione reale;
Per i dati sensibili e per i dati giudiziari si deve inoltre verificare che sia stata richiesta l’autorizzazione o sia presente un’autorizzazione di carattere generale, che le categorie di soggetti ai quali i dati sono comunicati siano corrette e che ne possano venire a conoscenza (e che siano disponibili, corretti ed aggiornati, i relativi elenchi), che la banca non metta in atto trattamenti non previsti nelle informative (ad esempio mkt…).

Altri aspetti di natura formale che riguardano gli ambiti della sicurezza possono comprendere ad esempio:

Audit tecnici: aspetti formali (Misure minime 4, 9, 10, 18, 21, 27). Sono richieste istruzioni formali (scritte) per: Segretezza Password; Custodia dello strumento elettronico; Accesso in assenza prolungata dell’incaricato; Salvataggio dei dati; Custodia ed uso dei supporti rimuovibili; Controllo e custodia dei documenti.
Solo con le semplificazioni del 2008 (difficilmente applicabili) è possibile impartire istruzioni orali (mm 4, 9, 18, 21, 27)

Fino ad arrivare ad un’attivitĂ  di controllo molto puntuale su aspetti specifici, quali ad esempio la corretta profilatura degli incaricati, così come richiesto dalle misure minime di sicurezza. Per essere corretta tale analisi non dovrebbe riguardare unicamente l’accesso al sistema informativo, ma dovrebbe comprendere anche un’analisi della corretta ripartizione degli spazi fisici nei quali si svolgono le attivitĂ  (capita non raramente che societĂ  dello stesso gruppo condividano spazi ed attrezzature) nonchĂ© l’organizzazione nella gestione dei documenti.

Il livello di accesso ai dati dovrebbe infatti essere coerente indipendentemente dal media utilizzato. In conclusione di questo articolo propongo alcuni esempi di Check List utilizzabili per svolgere l’attivitĂ  di verifica.

I punti da controllare, fosse anche per un sottoinsieme così limitato di regole è quindi molto vasto, e quindi la verifica di un puntuale rispetto della normativa può risultare veramente oneroso. Meglio quindi giocare d’anticipo, predisponendo adeguate strutture per il governo della privacy nell’ambito della propria organizzazione, anche in vista dei prossimi impegni previsti dalla normativa europea.

Check List per svolgere AttivitĂ  di Verifica

Audit tecnici: profilatura utenti
Identificazione del perimetro
• Apparati di rete ed altro
• Applicazioni host
• Applicazioni AS/400
• Applicazioni dipartimentali
• Client/server
• Web
• Registrazioni telefoniche
• Applicazioni locali (Office?????)
• Dispositivi mobili
• Fonia
• Apparati di videoregistrazione
• Applicazioni presso terzi
• Ambienti di produzione, test…
• Multifunzione

Identificazione delle utenze
• Utenze applicative
 Normali
 Amministratori delle applicazioni
• Utenze particolari
 Amministratori di sistema (multiambiente)
 Amministratori di DB
 Amministratori di apparati di rete
 Amministratori di apparati di telefonia
 Amministratori degli apparati relativi alla sicurezza fisica
• Utenze tecniche (ad esempio quelle cablate negli applicativi)

Identificazione degli utenti
• Interni
• Dipendenti
• Lavoro temporaneo
• Stagisti
• Esterni
• Consulenti
• Ispettori
• Partner
• Outsourcer
• Utenti finali

Definizione dei profili autorizzativi e dei ruoli
• Verifica dell’esistenza di processi formalizzati che consentano di definire: Cosa si fa; Chi lo fa; Con che strumenti; A quali informazioni e dati si deve accedere per poter svolgere un’attivitĂ ; Che operazioni devono essere svolte sulle informazioni/dati.
• Verifica dell’esistenza dei ruoli
• Verifica dell’esistenza di una mappatura dei dati, delle applicazioni, delle funzioni, dei dati accessibili dalle singole funzioni.

Gestione utenti sul sistema informativo
• Verifica dell’esistenza di processi formalizzati per:
– definizione ruoli
– censimento utenti
– attribuzione ruolo agli utenti
– gestione nel tempo degli utenti
– variazione ruolo
– cessazione
– assenze temporanee o prolungate

Implementazione dei profili autorizzativi
• Verifica per ogni applicazione/sistema:
– livello di granularità possibile nella definizione dei profili
– profili esistenti
– verifica di congruenza fra profili e ruoli
– verifica di congruenza fra i profili sui vari sistemi/applicativi
• Verifica degli utenti e relativi profili
• Verifica utenti/ruoli/profili/lettere di incarico
• Verifica dei controlli in essere:
– mancato utilizzo

Verifica formalizzazione:
• processi aziendali (in generale…)
• processo relativo alle variazioni organizzative (nuove U.O., nuove società, nuovi ruoli…)
• processo di censimento e gestione utenti sul sistema informativo
• processo di revisione periodica dei profili
• processo di gestione delle variazioni del sistema informativo (nuove applicazioni, nuove funzionalità sulle applicazioni…)

Aspetti di sicurezza fisica: separazione degli spazi
• Nello stesso ufficio le persone hanno lo stesso incarico?
• Nello stesso ufficio le persone sono della stessa azienda?
• Come sono gestiti gli spazi comuni?
• Come sono gestiti gli strumenti comuni (stampanti, fotocopiatrici, fax….)?
• Il personale è adeguatamente istruito per gestire situazioni promiscue?

Organizzazione dei documenti
• La disposizione delle informazioni sui documenti tiene conto dei diversi ruoli del personale che può accedervi?
• La circolazione dei documenti è coerente con le autorizzazioni?
• Il ciclo di vita dei documenti, compresa la distruzione o archiviazione storica è coerente con le autorizzazioni?

Postazioni di lavoro
• Hanno lo stesso livello di sicurezza dell’host?
• E’ possibile conservare dati in locale?
• Vengono effettuate elaborazioni dati in locale (Office)?
• Tali trattamenti sono coerenti con i profili dell’utente?
• Tali trattamenti sono censiti e gestiti?
• Sono leciti?
• E’ possibile masterizzare o comunque asportare dei dati?
• Posta elettronica/Web mail
• Stampe
• Sicurezza fisica delle postazioni
• Blocco della postazione in assenza dell’incaricato
• Cache delle applicazioni web
• Cartelle condivise

Stampe
• Viene garantita la stessa sicurezza dei dati a host?
• Le autorizzazioni alla consultazione delle stampe è coerente con quella del sistema informativo?
• Il contenuti delle stampe è coerente con le singole autorizzazioni?
• Il processo di gestione delle stampe è formalizzato e controllato?

Ultima modifica ilGiovedì, 06 Novembre 2014 11:49

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto