NORMATIVE

Banche e Data Breach, almeno 4 le notifiche imposte dalla normativa

Le violazioni della sicurezza dei dati personali non riguardano solo la privacy. Gli adempimenti sono particolarmente rilevanti nel settore finance, chiamato a rispondere su più fronti: servizi fiduciari, tutela di network e sistemi informativi, sicurezza informatica. Con comunicazioni al Garante per la Privacy, all’organismo di vigilanza, al CSIRT e a Banca d’Italia o BCE. Oltre a eventuali notifiche ai soggetti direttamente interessati

Pubblicato il 10 Ott 2017

data-breach-privacy-171010175715

“Data breach” è termine ormai consueto nel linguaggio quotidiano di imprese e operatori: indica ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali. Questa è la definizione offerta dal GDPR, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 abrogherà la direttiva 95/46/CE e detterà la nuova disciplina in materia di privacy.

Il termine però non è nuovo e gli adempimenti successivi al data breach (come, ad esempio, la notifica) nemmeno: già il nostro Codice in materia di protezione dei dati personali (il d.lgs. 30 giugno 2003, n. 196) menziona e disciplina l’eventualità di “incidenti” della sicurezza unitamente agli adempimenti ad essi conseguenti.

L’attenzione rivolta a questi ultimi è recentemente aumentata proprio per il nuovo Regolamento europeo, che ha dettato una disciplina comune a tutti i titolari del trattamento (quella del Codice è riservata ai soli fornitori di servizi di comunicazione elettronica), specificando le modalità di notifica del data breach all’autorità di controllo, e di comunicazione all’interessato a cui i dati oggetto di violazione si riferiscono.

Occorre però specificare che si tratta di adempimenti non sempre obbligatori, a cui è necessario procedere solo se la violazione costituisce un rischio elevato per i diritti e le libertà delle persone fisiche. A prescindere dal grado di rischio, invece, il Regolamento prevede che, a determinate condizioni, la banca-titolare del trattamento possa essere esonerata dalla comunicazione all’interessato, come nel caso in cui siano state adottate misure tecniche e organizzative idonee a rendere i dati personali incomprensibili, quali ad esempio la cifratura.

Tuttavia non si può considerare il data breach soltanto alla luce della regolamentazione in materia di privacy. L’occorsa violazione della sicurezza è infatti oggetto di diverse discipline di settore e, per la peculiarità e la sensibilità delle informazioni coinvolte, risulta particolarmente rilevante nell’ambito bancario. In caso di data breach, le banche sono quindi tenute ad agire su più fronti per garantire una piena osservanza delle normative a cui sono assoggettate. Di seguito l’elenco.

1) Servizi fiduciari: qualora la violazione della sicurezza abbia un impatto significativo sui servizi fiduciari prestati dalla banca o sui dati personali ivi custoditi, il Regolamento (UE) n. 910/2014 (ormai noto come “Regolamento eIDAS”) prevede che le banche – in quanto prestatori di servizi fiduciari – siano tenute a notificare tale violazione senza indugio, ma in ogni caso entro 24 ore dall’esserne venute a conoscenza. Tale notifica dovrà essere indirizzata “all’organismo di vigilanza e, ove applicabile, ad altri organismi interessati, quali l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati”. La violazione dovrà poi essere comunicata anche alla persona fisica o giuridica a cui è stato prestato il servizio fiduciario, qualora possa produrre effetti negativi su quest’ultima

2) Tutela dei network e information system: anche le reti e i sistemi informativi sono soggetti a incidenti, che possono derivare tanto da un malfunzionamento, quanto da un vero e proprio attacco informatico. In caso di incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati, la banca è tenuta a notificarli senza indebito ritardo all’autorità competente o al CSIRT (Gruppo di intervento per la sicurezza informatica in caso di incidente). È quanto prevede la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, che annovera le banche tra gli “operatori di servizi essenziali” ai sensi dell’art. 4, n. 4. Le notifiche degli incidenti devono includere ogni informazione idonea a consentire all’autorità competente o al CSIRT di determinare qualsiasi impatto transfrontaliero dell’evento pregiudizievole, nonché l’eventuale incidenza sui dati personali.

3) Sicurezza informatica: infine, in materia di sicurezza informatica in ambito bancario interviene la Circolare n. 285 del 17 dicembre 2013 della Banca d’Italia (“Disposizioni di vigilanza per le banche”), nell’ultima versione aggiornata al 2 novembre 2016, ove prescrive la tempestiva comunicazione degli incidenti di sicurezza informatica alla Banca Centrale Europea o alla Banca d’Italia. La comunicazione deve avvenire attraverso “l’invio di un rapporto sintetico recante una descrizione dell’incidente e dei disservizi provocati agli utenti interni e alla clientela” nonché una serie di informazioni tecniche relative alle attività di response and recovery poste in essere dalla banca a seguito dell’incidente, unitamente ad una valutazione dei danni delle perdite economiche o danni d’immagine.

Alla luce di tale breve rassegna emerge l’importanza di richiamare l’attenzione delle banche sui molteplici adempimenti a cui devono procedere in caso di incidenti, specialmente ove questi abbiano un impatto significativo sulle persone fisiche e sui loro dati personali. Riassumendo, sono almeno 4 le notifiche di cui la banca deve farsi carico: la notifica al Garante per la protezione dei dati personali, all’organismo di vigilanza, al Gruppo di intervento per la sicurezza informatica (o CSIRT) e, infine, alla Banca d’Italia o alla Banca centrale europea, alle quali si aggiungono le eventuali comunicazioni ai soggetti direttamente interessati dalla violazione.

* Giusella Finocchiaro è Avvocato e Professore ordinario di Diritto privato e Diritto di Internet all’Università di Bologna. Laura Greco è Dottoressa in Giurisprudenza

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati