Privacy per banche e assicurazioni


Quando parliamo di GDPR dobbiamo tenere conto che la natura del provvedimento è trasversale. Il Regolamento generale sulla protezione dei dati, cioè, non è stato redatto con riferimento ad un mercato specifico, ma tocca tutti i settori. Non esiste perciò un regolamento apposito per il settore assicurativo o per quello bancario. Ma come in tutti gli ambiti, anche in quello assicurativo e bancario, il GDPR ha imposto un cambio di approccio alla tutela del dato personale. Quale? Lo abbiamo visto insieme ad un nostro consulente.

 

Indice

Il settore bancario prima del GDPR

Cosa è cambiato con l’adozione del GDPR 

In che modo vanno gestiti i dati dei clienti

Violazione dei dati e comunicazione al Garante

Sanzioni

Cessione dei dati

 

Il settore bancario prima del GDPR

Privacy per banche e assicurazioni

Il settore bancario, prima dell’entrata in vigore del GDPR, è stato oggetto di attenzione da parte del Garante della Privacy attraverso un provvedimento del 12 maggio 2011 (G.U. n. 127 del 3 giugno 2011). In questo provvedimento sono state contenute alcune prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie: lo scopo era quello di regolare il trattamento dei dati personali degli interessati, cioè dei clienti delle banche, per garantire il rispetto dei principi in materia di protezione dei dati personali secondo quanto stabilito dal Decreto legislativo n. 196 del 2003. Nello specifico l’Autorità Garante ha ritenuto opportuno prescrivere misure per: il “tracciamento” degli accessi ai dati bancari dei clienti; i tempi di conservazione dei relativi file di log; l’implementazione degli alert che rilevano intrusioni o accessi anomali ai dati bancari, tali da configurare eventuali trattamenti illeciti.

 

Cosa è cambiato con l’adozione del GDPR

Privacy per banche e assicurazioni

Con l’entrata in vigore del GDPR e del principio dell’accountability, uno dei pilastri su cui si fonda l’intero impianto del Regolamento, l’approccio alla materia è cambiato drasticamente. Il GDPR richiede che il titolare del trattamento dei dati personali sia in grado di garantire un livello di sicurezza “adeguato al rischio”. Questo significa che nell’implementare il sistema che garantisce la sicurezza dei dati, gli istituti bancari e quelli assicurativi (non c’è differenza tra come i due devono comportarsi) dovranno attenersi sia a ciò che prevedono le disposizioni di vigilanza della Banca d’Italia, sia a quanto definito dal provvedimento del Garante del 2011, sia alle ulteriori misure informatiche e organizzative (link alla news 28) indicate dal GDPR. Un’altra importante novità introdotta dal GDPR è un’unica autorità di controllo che fa da punto di riferimento a livello europeo per tutti quei gruppi bancari o assicurativi che trattano dati personali in più filiali dell’Unione Europea. Una sorta di “sportello unico” per i trattamenti transnazionali.

 

In che modo vanno gestiti i dati dei clienti

Privacy per banche e assicurazioni

Il GDPR, nell’art. 25, evidenzia il concetto di “privacy by design”: la protezione del dato, cioè, va pensata già in fase di progettazione dei servizi messi sul mercato ed eventuali rischi vanno valutati preventivamente, al fine di evitare conseguenze negative per il cliente. Il concetto di “privacy by design” è stato coniato da Ann Cavoukian, Privacy Commissioner dell’Ontario, durante la trentaduesima International Conference of Data Protection and Privacy Commissioners tenutasi a Gerusalemme nel 2010. Ecco i principi cardine:

  • privacy come impostazione predefinita (privacy by default);
  • privacy incorporata nel progetto;
  • massima funzionalità;
  • sicurezza durante tutto il ciclo di vita del dato;
  • visibilità e trasparenza del trattamento (tutte le fasi operative devono essere trasparenti in modo che la tutela dei dati sia verificabile);
  • centralità dell’utente, rispetto dei suoi diritti, tempestive e chiare risposte alle sue richieste di accesso.

I titolari del trattamento, perciò, nel caso specifico banche e assicurazioni, dovranno considerare tutte le possibili implicazioni sulla privacy prima di rilasciare un servizio sul mercato, non dopo averlo lanciato e pubblicizzato.

 

Violazione dei dati e comunicazione al Garante

Privacy per le banche e assicurazioni

Negli ultimi anni si sono triplicati gli attacchi informatici a danno delle aziende operanti nel settore dei servizi finanziari. La ricerca “Cost of Cyber Crime” condotta da Accenture rivela che in tre anni il costo medio del cybercrime sostenuto da banche e assicurazioni a livello internazionale è aumentato di oltre il 40% ed è destinato ad aumentare. Banche e assicurazioni stanno orientando i propri investimenti verso tecnologie di sicurezza per ridurre i costi legati agli attacchi. Oltre agli standard dettati dalle diverse certificazioni esistenti in materia di sicurezza informatica, banche e assicurazioni sono tenute a rispettare quanto dettato dal GDPR: “Il titolare del trattamento senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche”.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti i coinvolti, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Non solo, il titolare del trattamento, a prescindere dalla notifica al Garante, dovrà documentare tutte le violazioni dei dati personali all’interno di un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa. Le banche e assicurazioni, come tutti gli altri titolari del trattamento, dovranno sottoporsi a una procedura in grado di testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative poste in essere a tutela dei dati personali.

 

Sanzioni

Va specificato che il GDPR distingue due gruppi di violazioni che implicano sanzioni che possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo dell’esercizio precedente della società nel primo gruppo, oppure fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente nel secondo gruppo. In ogni caso le sanzioni devono essere effettive, proporzionate e dissuasive: soppesate, quindi, alla luce della loro gravità.

Cessione dei dati

La cessione dei dati personali dalla banca ad un istituto terzo è ammissibile se il Titolare del trattamento ha informato gli interessati attraverso l’informativa rilasciata al momento della raccolta del dato ed ha acquisito uno specifico consenso alla cessione dei dati a terzi. Tale consenso deve essere specifico, con l’indicazione chiara delle categorie di soggetti cui vengono ceduti i dati. Il nuovo Titolare del trattamento che acquisisce i dati dovrà, quindi, rilasciare agli interessati apposita informativa prima di trattarli. In questa informativa dovrà essere precisata anche l’origine dei dati, in modo che gli interessati possano rivolgersi anche alla società cedente per esercitare i loro diritti.

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia