Protezione dei dati
Con il termine “outsourcing” si intende nell’uso della lingua parlata l’appalto a prestatori di servizi esterni o interni di mansioni e strutture aziendali.
Per quanto concerne l’attività delle banche svizzere, l’Autorità federale di vigilanza sui mercati finanziari (FINMA) ha ulteriormente precisato il termine “outsourcing” per mezzo di una circolare. Si ha outsourcing (appalto di campi di attività) ai sensi della circolare FINMA 2008/7 “Outsourcing – banche” quando una banca incarica un’altra impresa (prestatore di servizi) di assicurarle in modo durevole una prestazione di servizio essenziale per l’attività della banca. Ai sensi della circolare sono “essenziali” le prestazioni di servizio che possono avere un effetto segnatamente sulla determinazione, la limitazione e il controllo dei rischi centrali per la banca. Ne fanno parte in primo luogo, secondo la circolare, i rischi di mercato, di credito, di liquidità e di immagine, nonché quelli operativi e giuridici.
L’Autorità federale di vigilanza sui mercati finanziari (FINMA) è un ente di diritto pubblico con una personalità giuridica propria. È competente dell’esecuzione della Legge sulla vigilanza dei mercati finanziari (LFINMA), nonché delle varie leggi sui mercati finanziari in vigore in Svizzera. In qualità di organo di sorveglianza indipendente, la FINMA si prefigge la protezione dei creditori, degli investitori e degli assicurati, nonché la tutela della funzionalità dei mercati finanziari.
Nella sua funzione di organo di sorveglianza, la FINMA vigila fra l’altro sull’attività di tutti gli istituti finanziari autorizzati quali banche in Svizzera. La FINMA è legalmente autorizzata a emanare fra l’altro, tramite circolari, delle precisazioni per l’attività degli istituti da essa controllati. In relazione ad “outsourcing” e “protezione di dati di clienti di massa", la FINMA ha emanato due circolari alle quali le banche controllate devono attenersi (cfr. in proposito anche la precedente domanda 1 e la domanda 5 di cui nel prosieguo).
L’appalto di determinati campi di attività nell’ambito di soluzioni di outsourcing è di norma consentito senza autorizzazione da parte della FINMA anche per banche svizzere come la Cembra Money Bank. Affinché una simile soluzione di outsourcing sia e rimanga consentita, la banca appaltante deve costantemente attenersi alle prescrizioni legali e regolamentari vigenti, ovvero, con riferimento alla protezione di dati dei clienti, segnatamente alle disposizioni della Legge federale sulla protezione dei dati, nonché alle prescrizioni regolamentari specifiche per il settore bancario. Per quanto concerne le prescrizioni regolamentari, la banca appaltante deve, a titolo esemplificativo, definire con precisione il campo di attività da appaltare. Inoltre, i partner di outsourcing devono essere accuratamente selezionati, istruiti e controllati.
No. Appaltando determinati processi aziendali a dei partner di outsourcing, una banca svizzera non può sottrarsi alle sue responsabilità, segnatamente non per la gestione legale e sicura dei dati dei clienti.
Infatti, la circolare FINMA 2008/7 stabilisce anche espressamente che la banca appaltante continua ad assumersi nei confronti della FINMA la responsabilità per il campo di attività appaltato. L'istituto è responsabile nei confronti della FINMA anche per gli campi di attività appaltati, come se li gestisse direttamente. La banca rimane sempre pienamente responsabile nei confronti dei propri clienti dell'osservanza delle relative prescrizioni di carattere contrattuale, legale e regolamentare.
Nell’ambito della circolare FINMA (vedi in proposito la precedente domanda 2) per dati dei clienti si intendono i dati personali di persone fisiche (“clienti privati”) le cui relazioni d’affari vengono curate o gestite in Svizzera o dalla Svizzera. I dati personali sono tutte le informazioni riferite a una persona identificata o identificabile, come definito nell’articolo 3 lettera a della Legge federale sulla protezione dei dati. Per Lei quale cliente della Cembra Money Bank, sono annoverate fra i dati personali protetti in particolare le seguenti informazioni: nome, indirizzo(i), data di nascita, stato civile, titolo, firma, numero(i) di telefono, codice cliente, numero di conto/deposito, numero(i) della(e) carta(e) di credito.
In qualità di banca svizzera anche la Cembra Money Bank è controllata dalla FINMA. La Cembra Money Bank attua in tale contesto tutte le prescrizioni della FINMA nell'ambito dell'organizzazione della propria attività. Sono particolarmente importanti al riguardo per la Cembra Money Bank segnatamente anche le summenzionate circolari relative ad “outsourcing” e “protezione dei dati dei clienti di massa".
Nell’ambito di outsourcing e di protezione dei dati dei clienti, la Cembra Money Bank ha emanato numerose direttive interne che precisano ulteriormente le prescrizioni legali e regolamentari, segnatamente quelle della FINMA, per la banca e la sua attività, nonché per i partner di outsourcing coinvolti. Ai fini dell’osservanza di direttive e prescrizioni regolamentari, la Cembra Money Bank ha adottato importanti misure tecniche, personali e organizzative secondo lo stato dell’arte. L’osservanza delle direttive è imposta rigidamente all’interno della banca.
Nei contratti di outsourcing, la Cembra Money Bank impone, inoltre, anche ai propri contraenti di rispettare gli standard sulla protezione dei dati e le misure di protezione vigenti in Svizzera per la banca, laddove la banca può verificare detta osservanza in qualsiasi momento anche in loco presso i rispettivi partner.
Oltre a ciò, revisori interni ed esterni controllano regolarmente le misure in questione della Cembra Money Bank. Il fatto che non si siano mai verificate in passato perdite di dati nell’ambito delle soluzioni di outsourcing della Cembra Money Bank dimostra come la banca disponga di una gestione di sicurezza effettiva del rischio e IT per la sorveglianza e il controllo dei propri contraenti di outsourcing e come i dati dei clienti godano in tal modo in una protezione completa.