La recente attualità ha posto nuovamente all’attenzione del Garante Privacy sul tema del legittimo accesso, trattamento e condivisione dei dati bancari dei clienti, tutelati dal c.d. segreto bancario.
I dati personali dei clienti possono essere trattati dalla banca per perseguire finalità connesse all’esecuzione al rapporto contrattuale o soddisfare obblighi derivanti dalla legge, in osservanza alla vigente disciplina del GDPR, nonché degli orientamenti e delle linee guida del Garante Privacy e dell’EDPB.
In tale contesto il corso vuole approfondire il legittimo trattamento dei dati personali dei clienti della banca, analizzando specifiche problematiche concrete connesse agli obblighi informativi ed alla corretta gestione dell’esercizio dei diritti dei clienti, tra cui quello di limitazione del trattamento, di cancellazione dei dati e di accesso.
Ci si soffermerà inoltre sulle deroghe al divieto di divulgazione dei dati bancari dei clienti, nonché sui limiti alla condivisione degli stessi dati all’interno dello stesso gruppo bancario, tra filiali della stessa banca, o, all’esterno, a società outsourcer.
Particolare attenzione verrà posta alle misure organizzative e tecniche per la protezione dei dati personali all’interno della banca stessa, e in particolare, al tracciamento degli accessi ai dati personali da parte dei dipendenti della banca.
Il webinar illustrerà, in sintesi, gli adempimenti ed i risvolti operativi dell’applicazione del framework normativo relativo al trattamento dei dati personali in ambito bancario, coniugando le norme data protection con le norme applicabili precipuamente al settore bancario, per la corretta impostazione di politiche tecnico-organizzative e la gestione corretta dei dati della clientela.
Tematiche oggetto di attenzione e discussione
Legittimità del trattamento dei dati dei clienti e consenso
- Le “finalità legittime” del trattamento dei dati personali da parte delle banche
- Il trattamento dei dati nel corso dell’attività bancaria, alla luce dei principi generali di protezione dei dati personali (liceità, pertinenza, trasparenza, nonché necessità, proporzionalità, qualità dei dati)
- Gli obblighi informativi sul trattamento dei dati personali dei clienti
- La registrazione e la conservazione del contenuto delle chiamate
- Limiti temporali alla conservazione dei dati dei clienti e diritto alla cancellazione
- L’esercizio dei diritti di rettifica e di modifica dei consensi alle iniziative commerciali e alla profilazione
- Esternalizzazione dei sistemi informativi e trasmissione dei dati personali alle società outsourcer
Il divieto di divulgazione dei dati personali dei clienti e le deroghe al divieto
- Il c.d. segreto bancario
- La circolazione dei dati personali tra banche appartenenti al medesimo gruppo e tra agenzie/filiali della stessa banca
- La comunicazione dei dati ai gestori di sistemi di informazione creditizie
- Cessione di sportelli bancari e informativa in materia di dati personali
- Le comunicazioni dei dati dovute ex lege e quelle autorizzate
- L’uso dei dati personali dei clienti in sede giudiziaria
- La liceità e correttezza della comunicazione dei dati al CAI (Centrale d’allarme interbancaria)
- Prassi del c.d. benefondi e liceità della comunicazione sulla provvista sufficiente
Misure organizzative e tecniche per la garantire l’accesso controllato ai dati personali in ambito bancario
- Il tracciamento degli accessi ai dati bancari dei clienti effettuato dai dipendenti della banca: misure di data governance
- Data retention: i tempi di conservazione dei relativi file di log
- L´implementazione di alert per la rilevazione di intrusioni o accessi anomali/abusivi ai sistemi informativi
- Gestione dei log e rapporti con i fornitori: misure organizzative con le terze parti
- Data breach: procedure organizzative e flussi informativi al cliente ed al Garante in caso di operazioni di tracciamento illecito effettuate dagli incaricati