Compliance in Banks 2011

Transcript

1 Compliance 2010 La sfida di integrazione dei controlli interni Compliance in Banks 2011 Stato dell arte e prospettive di evoluzione La gestione degli adempimenti in materia di privacy: sistemi di controllo e ruolo della Compliance alla luce delle ultime novità normative Giovanni Guerra Avvocato Studio legale Guerra

2 Le ultime novità normative per la banche D.L. 13 maggio 2011, n. 70 c.d. Decreto sviluppo, convertito in legge, con modificazioni, dalla l. 106/11 Garante Provv. generale 12 maggio 2011 Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie Gazzetta Ufficiale n. 127 del 3 giugno 2011 L. 148/2011 di conversione del D.L. 13 agosto 2011, n c.d. Manovra bis Analisi dei rischi legali in tema di privacy: in bilico tra semplificazioni e prescrizioni

3 Il decreto sviluppo Le modifiche al Codice Privacy (d.lgs. 196/2003) L art 6, comma 2, lett. a), ha modificato gli artt.: 5 - Oggetto ed ambito di applicazione 13 - Informativa 24 - Casi nei quali può essere effettuato il trattamento senza consenso 26 - Garanzie per i dati sensibili 34 - Trattamenti con strumenti elettronici Comunicazioni indesiderate

4 Il trattamento dei dati delle imprese esce dall ambito di applicazione del Codice: le modifiche all art. 5 1) all articolo 5 è aggiunto in fine il seguente comma: "3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo - contabili, come definite all articolo 34, comma 1-ter, non è soggetto all applicazione del presente codice.

5 Esclusione del consenso per le comunicazioni infragruppo: le modifiche all art. 24 all articolo 24, comma 1, lettera g) le parole: anche in riferimento all'attività di gruppi bancari e di società controllate o collegate sono soppresse e dopo la lettera i) sono aggiunte le seguenti:.. i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall art. 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all'articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all atto dell informativa di cui all articolo 13.";

6 La definizione di finalità amministrativo-contabili Art. 34, 1-ter. Ai fini dell applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati.

7 La definizione di finalità amministrativo-contabili In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all applicazione delle norme in materia fiscale, sindacale, previdenziale - assistenziale, di salute, igiene e sicurezza sul lavoro

8 Principali effetti sugli adempimenti privacy da verificare Esclusione dell applicabilità del Codice in relazione ai rapporti intercorrenti con imprese per i dati che le riguardano no informativa, consenso, ecc. Esclusione del consenso per la trasmissione di dati personali (non sensibili) tra società collegate o con rapporti di controllo (genericamente comunicazioni infragruppo) per finalità amministrativo contabili Ulteriori cambiamenti in relazione all informativa da rendere ed ai consensi da acquisire in materia di MKTG Esclusione informativa preventiva per curricula e del consenso per il trattamento dei dati ivi contenuti (ove necessario), anche con riferimento ai dati sensibili

9 Le semplificazioni delle misure di sicurezza: modifiche dell art. 34 5) all articolo 34, il comma 1-bis è sostituito dai seguenti: "1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall obbligo di autocertificazione, resa dal titolare del trattamento, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell allegato B).

10 Art. 8-bis - PRECEDENTE VERSIONE! Cancellazione di segnalazioni dei ritardi di pagamento 1. In caso di, regolarizzazione dei pagamenti le segnalazioni relative a ritardi di pagamento da parte delle persone fisiche o giuridiche già inserite nelle banche dati devono essere cancellate entro cinque giorni lavorativi dalla comunicazione da parte dell istituto di credito ricevente il pagamento, che deve provvedere alla richiesta di estinzione entro e non oltre sette giorni dall avvenuto pagamento. 2. Le segnalazioni già registrate, se relative al mancato pagamento di rate mensili di numero inferiore a sei o di un unica rata semestrale, devono essere estinte entro il termine di quindici giorni dalla data di entrata in vigore della legge di conversione del presente decreto.

11 Art 8-bis - Le modifiche della Manovra bis 1. Entro 10 giorni dalla, regolarizzazione dei pagamenti le segnalazioni relative a ritardi di pagamento da parte delle persone fisiche o giuridiche già inserite nelle banche dati devono essere integrate dalla comunicazione dell avvenuto pagamento. La richiesta da parte dell istituto di credito deve pervenire immediatamente dopo l avvenuto pagamento 2. Le segnalazioni già registrate e regolarizzate, se relative al mancato pagamento di rate mensili di numero inferiore a sei o di un unica rata semestrale, devono essere aggiornate secondo le medesime modalita di cui al comma precedente

12 Il capovolgimento di fronte Segnalazione nei SIC dei ritardi nei pagamenti successivamente regolarizzati Decreto sviluppo obbligo di estinguerle Manovra Bis obbligo di integrarle con la comunicazione dell avvenuto pagamento

13 Novità nei SIC Nuovi soggetti legittimati ad accedere Manovra Bis - Articolo 6-bis. - (Accesso ai sistemi informativi). 1. Ai sistemi informativi di cui all'articolo 117 del codice di cui al decreto legislativo 30 giugno 2003, n. 196, possono avere accesso, anche per le finalità ivi previste, i soggetti che partecipano al sistema di prevenzione (delle frodi ai consumatori) di cui al comma 5 dell'articolo 30-ter del decreto legislativo 13 agosto 2010, n. 141, fatta salva la facoltà di istituire e partecipare ai sistemi di cui all'articolo 119 del decreto legislativo 30 giugno 2003, n Dall'attuazione del periodo precedente non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.

14 Provvedimento Garante del 12 maggio 2011 Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie Scopo fornire prescrizioni in relazione al trattamento di dati personali della clientela effettuato dai soggetti definiti al punto 1.2. (banche e società facenti parte di gruppi bancari n.d.r.) al fine di garantire il rispetto dei princìpi in materia di protezione dei dai personali ai sensi del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) in ordine ai temi della "circolazione" delle informazioni riferite ai clienti in ambito bancario e della "tracciabilità" delle operazioni bancarie effettuate dai dipendenti di istituti di credito (sia quelle che comportano movimentazione di denaro, sia quelle di sola consultazione, c.d. inquiry).

15 Ambito soggettivo di applicazione Banche, incluse quelle facenti parte di Gruppi Società, anche diverse dalle banche purché siano parte di tali Gruppi, nell'ambito dei trattamenti dalle stesse effettuati sui dati personali della clientela Poste Italiane S.p.A. si riferisce ai trattamenti effettuati dai soggetti sopra indicati mediante i propri dipendenti non riguarda le modalità con le quali i clienti accedono on line ai servizi bancari (c.d. home banking) prescrizioni da adottarsi entro 30 mesi dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale (3 giugno 2011)

16 Garante provv. 12 maggio 2011 Il problema numerosi interessati hanno dichiarato di essere venuti a conoscenza che dati personali a loro riferiti (in specie, informazioni bancarie), conservati nei data base di alcune banche con le quali avevano instaurato rapporti contrattuali, erano stati oggetto di indebito accesso, verosimilmente da parte di alcuni dipendenti, i quali, successivamente, li avrebbero comunicati a terzi che li avrebbero utilizzati per scopi personali e, segnatamente, in vista di una loro produzione in giudizio (di norma, in separazioni giudiziali e procedure esecutive, in particolare, in pignoramenti presso terzi). Accertamenti e provvedimenti del Garante Attività di ulteriore indagine svolta con l ABI.

17 La circolazione delle informazioni tra le banche appartenenti al gruppo Modalità di circolazione dei dati della clientela casistica 1. comunicazione tra banche appartenenti al medesimo gruppo: necessità del consenso 2. circolazione di tali dati tra agenzie o filiali della stessa banca: inserimento nell informativa 3. circolazione di dati nell'ambito di una stessa agenzia o filiale: non costituisce comunicazione

18 Tracciamento delle operazioni e Audit Le soluzioni adottate dalle diverse Banche sono espressione della discrezionalità riconosciuta a ciascuna banca o gruppo bancario nel dare attuazione a quanto previsto nelle "Disposizioni di vigilanza per le banche in materia di conformità alle norme (compliance) (Banca d Italia, 10 luglio 2007) Le Istruzioni di vigilanza in materia di "Organizzazione e controlli interni richiedono alle banche di dotarsi di sistemi di monitoraggio dei rischi aziendali e di verifica dell'affidabilità e della sicurezza, anche dei sistemi informativi, istituendo indicatori di anomalie (c.d. alert) per orientare successivi interventi di audit.

19 Tracciamento delle operazioni e Audit Nonostante l assenza di disposizioni normative recanti obblighi in materia di tracciabilità delle operazioni bancarie con riguardo sia all'an sia al quantum della conservazione dei file di log tutte le banche hanno ritenuto di implementare sistemi di controllo delle operazioni dispositive con finalità di tutela del patrimonio dei clienti e dell'attività bancaria ma solo alcune di esse sono risultate in possesso di sistemi di tracciamento riguardanti anche operazioni di semplice consultazione (inquiry) dei conti correnti o di altri rapporti contrattuali riferiti ai clienti (ma con tempi di conservazione troppo ristretti)

20 L intervento del Garante Al fine di rendere il trattamento dei dati della clientela conforme alle disposizioni del Codice Privacy L autorità è intervenuta disponendo misure Necessarie (prescrizioni) Opportune

21 Prescrizioni Designazione dell'outsourcer quale responsabile del trattamento Quando il trattamento di dati personali dei clienti da parte di outsourcer è svolto restando riservati alle banche i poteri riconosciuti dal Codice solo al Titolare le banche devono designare le società operanti in outsourcing Responsabili

22 Prescrizioni: tracciamento delle operazioni Adozione di idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database. Registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall'uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente.

23 Prescrizioni: tracciamento delle operazioni Operazioni di accesso ai dati bancari effettuata da un incaricato. Contenuto minimo dei file log - il codice identificativo del soggetto incaricato che ha posto in essere l'operazione di accesso - la data e l'ora di esecuzione - il codice della postazione di lavoro utilizzata - il codice del cliente interessato dall'operazione di accesso ai dati bancari da parte dell'incaricato - la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazione effettuata (es. numero del conto corrente fido/mutuo, deposito titoli) Il periodo di conservazione dei file di log delle operazioni di inquiry non deve essere inferiore a 24 mesi dalla data di registrazione dell'operazione Deve essere prefigurata da parte delle banche l'attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry. Negli strumenti di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi.

24 Audit interno di controllo Rapporti periodici - La gestione dei dati bancari deve essere oggetto, con cadenza almeno annuale, di un'attività di controllo interno da parte dei titolari del trattamento. - L'attività di controllo deve essere demandata a un'unità organizzativa o, comunque, a personale diverso rispetto a quello cui è affidato il trattamento dei dati bancari dei clienti.

25 Audit interno di controllo Rapporti periodici - I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di alerting e di anomaly detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull'integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. Sono svolte, altresì, verifiche periodiche sulla corretta conservazione dei file di log per 24 mesi. - L'attività di controllo deve essere adeguatamente documentata e il relativo esito deve essere comunicato alle persone e agli organi legittimati ad adottare decisioni e a esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della banca

26 Misure opportune Informazioni all'interessato Le banche comunicano, senza ritardo, all'interessato le operazioni di trattamento illecito effettuate -sui dati personali allo stesso riferiti- dagli incaricati (accesso indebito etc.) Tale tempestiva informazione può consentire all'interessato l'adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali. Comunicazioni al Garante Le banche comunicano tempestivamente al Garante fornendo gli opportuni dettagli i casi in cui risulti accertata una violazione, accidentale o illecita, nella protezione dei dati personali, di particolare rilevanza dalle quali derivino la distruzione, la perdita, la modifica, la rivelazione non autorizzata dei dati della clientela. Particolare rilevanza dipendente dalla qualità o dalla quantità di dati coinvolti e/o dal numero di clienti interessati

27 Attività di compliance e di controllo interno Analogie con il precedente Provvedimento su: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema Già in vigore dal 2010: - quali verifiche sono state effettuate lo scorso anno? - Come interagiscono compliance ed audit?

28 Attività di audit interno come elemento essenziale della nuova disciplina L attività di Compliance, finalizzata alla verifica dell esistenza di idonee procedure di attuazione, documentazione e controllo degli adempimenti richiesti, non è sufficiente nell ottica della protezione dei dati personali (soprattutto in ambito bancario) Necessità di Audit interni - controllo e valutazione delle attività effettivamente e concretamente svolte dagli incaricati Le verifiche, per essere efficaci, devono essere effettuate da funzioni diverse rispetto a quelle che si occupano dei trattamenti in esame e, specialmente per quanto riguarda le verifiche informatiche, rendendosi necessarie specifiche valutazioni a livello tecnico, da funzioni dotate delle necessarie conoscenze e competenze

29 Semplificazione degli adempimenti privacy per gli intermediari bancari e finanziari introdotta dal D.L. Sviluppo Domande? Grazie!