GDPR: le innovazioni in materia bancaria

I principali cambiamenti che l’entrata in vigore della nuova normativa privacy comporterà per gli istituti di credito europei

di Antonella Sergi

Il Regolamento Generale sulla Protezione dei Dati (il c.d. GDPR – General Data Protection Regulation) entrerà in vigore nei Paesi dell’Unione europea il 25 maggio 2018, la sua attuazione imporrà obblighi molto stringenti sul trattamento e la gestione dei dati dei cittadini europei.

Il GDPR abrogherà il Decreto Legislativo n. 196 del 30 giugno 2003, più noto come “Codice della Privacy”, attuazione della Direttiva 95/46/CE sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali. L’introduzione del nuovo Regolamento, avverrà non senza cambiamenti sostanziali alla gestione della privacy per le imprese e gli istituti di credito operanti in Europa, questa verrà infatti rinforzata a seguito delle attuali preoccupazioni destate dal tema sulla gestione della privacy. Le nuove disposizioni andranno osservate dalle aziende con sede nell’Unione Europea, nonché da quelle che, pur avendo sede al di fuori dell’Unione, elaborano e trasmettono i dati dei cittadini di uno Stato Membro.

La prestazione del consenso

Ai sensi dell’art. 4.11 del Regolamento, la prestazione del consenso deve avvenire mediante una «dichiarazione o azione positiva inequivocabile», in tal senso, sono ritenuti invalidi come atti a prestare il consenso il silenzio o l’inattività. Il titolare del trattamento dovrà essere in grado di dimostrare il consenso effettivamente prestato dall’interessato e tenerne traccia in relazione ad un determinato trattamento, per fini probatori e di conformità al principio di accountability (o responsabilizzazione). L’entrata in vigore del Regolamento, imporrà modifiche anche al contenuto dell’informativa, ampliato rispetto alla disciplina del Codice della Privacy, la nuova forma dovrà essere chiara per l’interessato, facilmente accessibile e fornita per iscritto.

I principi applicabili al trattamento dei dati personali

L’art. 30 del GDPR impone a ogni istituto di credito di mantenere nuovi registri delle attività di trattamento. Andranno garantite nuove misure di sicurezza dai titolari dei diritti, che andranno scelte autonomamente dall’istituto stesso ma dovranno essere conformi alla Direttiva 2015/2366 («Direttiva Servizi di Pagamento») e alla direttiva 2016/114 («Direttiva NIS»), sulla base dei principi e metodi improntati alla valutazione del rischio, ex art. 32 GDPR, e alla c.d. accountability (responsabilizzazione), ex art. 5 GDPR, consistente nell’applicazione di misure tecniche e modelli organizzativi atti a garantire che la gestione e la conservazione dei dati avvenga in maniera conferme ai principi di protezione dei dati personali e nella capacità di dimostrare la conformità delle operazioni di trattamento effettuati sulla base di detti principi.

Titolarità e responsabilità della protezione dei dati

Gli artt. 37 e 38 disciplinano la designazione e il ruolo delle figure coinvolte nel trattamento, definendone caratteristiche soggettive e margini di responsabilità, il titolare, il Data Protection Officer, dovrà integrare i requisiti di competenza ex art. 37 – giuridici, informatici, di analisi dei processi – a quelli di indipendenza così come disciplinati dall’art 38 del GDPR. Il Data Protecion Officer può essere nominato sia come figura interna alla società che esterna. Con riguardo alla titolarità del trattamento, qualora la banca ne sia co-titolare insieme alla società di gestione dei sistemi informativi che elabora i dati dei clienti, i titolari hanno l’onere di definire per mezzo di un atto giuridicamente valido il rispettivo ambito di responsabilità e i rispettivi compiti sull’utilizzo dei diritti degli interessati, salvo responsabilità solidale dei contitolari. Diversamente, qualora la banca rivestas il ruolo di unica titolare del trattamento, è importante che questa tenga conto che il GDPR impone la nomina formale del responsabile del trattamento. La nomina deve avvenire tramite un apposito contratto di trattamento dei dati. Elementi essenziali del contratto dovranno essere la natura, la durata e la finalità del trattamento, le categorie dei dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e delle disposizioni contenute nel GDPR, anche ai fini dell’adempimento in caso di data breach, nonché della cancellazione dei dati una volta terminata la fornitura dei servizi. Sarà necessario, inoltre, determinare il periodo di conservazione dei dati personali, con riferimento alle diverse finalità di trattamento.

Il data breach

Il data breach è la violazione di sicurezza al sistema informatico o telematico che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati. Ogni violazione andrà documentata e notificata non solo all’autorità competente prevista dalla Direttiva Servizi di Pagamento ma, se rischiosa per gli interessati, anche al Garante per la Privacy entro 72 ore dalla scoperta ed eventualmente agli interessati stessi, ex artt. 33 e 34 GDPR. L’istituzione di un quadro di valutazione del rischio permette di gestire la privacy dei dati garantendone la conformità.

Le sanzioni

L’art. 83 del GDPR prevede ingenti sanzioni in caso di non-compliance: fino a 20 milioni di euro o fino al 4% del fatturato globale, se superiore. Diventa prioritario, pertanto, per imprese e istituti finanziari conformarsi al nuovo Regolamento, anche per ragioni manageriali concernenti la gestione stessa dell’impresa.
In materia bancaria, sarà necessario coordinare il nuovo Regolamento con i provvedimenti del Garante, allineandosi con provvedimenti quali il n.192/2011 «Prescrizioni in materia di circolazione delle informazioni in ambito bancario e tracciamento delle operazioni bancarie» nonché i «Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti dei gruppi bancari e “tracciabilità” delle operazioni bancarie» del 18 luglio 2013.


Autore:


Join the discussion One Comment

Leave a Reply