Tra le misure necessarie indicate dal Garante vi sono le seguenti:
a) la designazione dell’outsourcer quale responsabile del trattamento
b) il tracciamento delle operazioni con registrazione dettagliata delle informazioni riferite alle operazioni effettuate sui dati bancari in apposito log che tracci:
- il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso;
- la data e l’ora di esecuzione;
- il codice della postazione di lavoro utilizzata;
- il codice del cliente interessato dall’operazione di accesso ai dati bancari da parte dell’incaricato;
- la tipologia di rapporto contrattuale del cliente a cui si riferisce l’operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli).
c) la conservazione dei log di tracciamento delle operazioni almeno per 24 mesi
d) l’implementazione di alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry.
e) l’attività di audit interno di controllo con cadenza almeno annuale, adeguatamente documentata da rapporti periodici