Webinar: Il Nuovo Regolamento Europeo Privacy nel settore bancario

Riprendono i webinar di MagNews dedicati al tema Privacy, questa volta rivolti al mondo Finance, per scoprire tutti gli adempimenti a cui sono richiamate le banche in seguito all’applicazione del nuovo GDPR nel 2018.
Appuntamento il 24 maggio alle ore 11:00 con l’Avvocato Paolo Balboni di ICT Consulting. Iscriviti subito, posti limitati!

Secondo un recentissimo studio (Capgemini: The Currency of Trust: Why Banks and Insurers Must Make Customer Data Safer and More Secure), il 65% dei consumatori ritiene che la privacy e la sicurezza dei propri dati siano un elemento fondamentale nella scelta del proprio istituto di credito. Nell’83% dei casi, infatti, il settore bancario è considerato più affidabile rispetto ad altri settori (28% nel settore e-commerce; 18% nel settore telecomunicazioni). All’interno del settore bancario, tuttavia, questo sentimento pare non essere altrettanto riscontrato nei fatti: solo una banca su cinque (21%) è in grado di dimostrare la propria compliance, soprattutto in caso di data breach (sempre secondo Capgemini: The Currency of Trust: Why Banks and Insurers Must Make Customer Data Safer and More Secure).

Il Regolamento 679/2016 (UE) (“GDPR”) – in vigore dal 24 maggio 2016 e applicabile dal 25 maggio 2018 – introduce una rivoluzione degli adempimenti privacy per tutti gli istituti finanziari che offrono i propri servizi in Europa, rappresentando l’occasione per una trasformazione che li faccia diventare le “fortezze digitali” che i propri clienti confidano di avere. Citiamo solo alcune innovazioni:

  • Ogni istituto di credito dovrà mantenere nuovi registri delle attività di trattamento (Art. 30 GDPR);
  • I titolari dovranno garantire misure di sicurezza inedite che, contrariamente a quanto previsto dalle Direttiva 2015/2366 (“Direttiva Servizi di Pagamento”) e dalla Direttiva 2016/114 (“Direttiva NIS”) – ma inevitabilmente in coordinamento con le medesime – non saranno predeterminate dall’alto, ma dovranno essere scelte autonomamente dagli istituti di credito secondo principi e metodi improntati alla valutazione del rischio (Art. 32 GDPR) e alla cosiddetta “accountability” (Art. 5 GDPR), obbligando a svolgere Valutazioni d’Impatto sulla protezione dei dati (DPIA, Art. 35 GDPR) ogni qualvolta si preparino ad un trattamento che presenti alti rischi per i diritti degli interessati;
  • Gli istituti dovranno opportunamente nominare un Data Protection Officer (Art. 37 GDPR), che integri sia i necessari requisiti di competenza (Artt. 37 e 39 GDPR) che di “indipendenza” (Art. 38 GDPR). A tal proposito occorrerà scegliere se nominare una figura interna alla propria struttura o esterna attraverso un contratto di;
  • Ogni data breach (cioè la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati) dovrà essere documentata e notificata non solo all’autorità competente prevista dalla Direttiva Servizi di Pagamento ma, se rischiosa per gli interessati, anche al Garante per la Privacy entro 72 ore dalla scoperta ed eventualmente agli interessati stessi (Art. 33 e 34 GDPR);
  • Le sanzioni per la non-compliance saranno di importi mai conosciuti prima: fino a 20 milioni di euro o fino al 4% del fatturato globale se superiore (Art. 83 GDPR); i testi di informative e consensi andranno rivisti, così come andranno trasformati gli incarichi e le nomine dei responsabili, che dovranno contenere elementi essenziali del tutto nuovi (Art. 28 GDPR).
  • Occorrerà anche determinare il periodo di conservazione dei dati personali con riferimento alle diverse finalità del trattamento, una decisione che inevitabilmente implicherà un approfondito confronto e una complessa concertazione tra le varie funzioni interessate all’interno dell’organizzazione (per esempio, Legal, Compliance, Marketing, HR, IT);
  • Infine sarà necessario capire come coordinare gli attuali provvedimenti del Garante con le nuove disposizioni della GDPR (es. provvedimento n.192/2011 “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e tracciamento delle operazioni bancarie – 12 maggio 2011 e provvedimento “Chiarimenti in ordine alla delibera n.192/2011 in tema di circolazione delle informazioni riferite a clienti all’interno dei gruppi bancari e “tracciabilità” delle operazioni bancarie […]” del 18 luglio 2013).

Quelle appena elencate sono solo alcune delle significative innovazioni da fronteggiare e a cui prepararsi nel corso dei prossimi mesi. Considerato l’ampio spettro di applicazione, attivarsi prontamente per svolgere le attività di allineamento al GDPR deve essere una assoluta priorità perché:

  • Permette di coprire fin da subito alcuni punti in comune con le Direttiva Servizi di Pagamento (es. data breach) e la Direttiva NIS (es. misure di sicurezza);
  • Assicura un vantaggio competitivo sulla concorrenza spingendo il management a svolgere fin da subito una valutazione globale dei trattamenti di dati svolti. Occorre infatti interpretare le attività di compliance privacy non solo come un adempimento normativo ma anche come un modo per estrarre valore dalle proprie basi dati, volto alla creazione di un vantaggio competitivo e a realizzare dunque un tangibile Ritorno sull’Investimento (ROI).
  • Il tempo per l’allineamento è poco e il lavoro da fare è molto per arrivare al 25 maggio 2018 con documenti, procedure e misure a posto.

Ti aspettiamo al webinar!