Il Garante per la protezione dei dati personali, unitamente all’Associazione Bancaria Italiana (ABI), ha prodotto un’inedita disamina sul ruolo che il Responsabile della protezione dei dati (RPD/DPO) assume nel settore bancario.
Si tratta di una prima ricerca, unica nel suo genere, che pone bene in chiaro quanto sia importante la figura del DPO in un ambito tanto delicato quanto cruciale com’è il mondo bancario.
Scopriamo in che termini.
Il DPO deve comunicare all’OdV un data breach? Esempi, casi e riflessioni
Indice degli argomenti
Il DPO nelle banche: i risultati della ricerca
L’indagine è avvenuta per il tramite di un questionario, al quale hanno risposto banche individuali e holding di gruppi bancari a cui sono state proposte domande circa:
- le modalità di designazione;
- i requisiti necessari per svolgere i compiti previsti;
- le risorse assegnate;
- il loro ruolo e posizione nell’ambito dell’organizzazione societaria.
Dai risultati emerge come i DPO, solitamente nominati con atto formale, sono giuristi, economici e tecnici, con esperienze variabili tra i 3 e gli 8 anni.
Particolarmente significative sono state le osservazioni e i suggerimenti emersi, le quali evidenziano quelle che sono le preoccupazioni legate all’intelligenza artificiale da un lato, e l’esigenza di un coordinamento costante tra autorità e normative di settore tanto a livello nazionale quanto europeo, dall’altro, scrive il Garante nella nota del 20 febbraio 2024, in questione.
Dettagli dell’indagine congiunta sul DPO nelle banche
I risultati della ricerca fatta e coordinata dall’ABI sul responsabile della protezione dei dati personali nel settore bancario sono stati resi noti dal Garante privacy con un comunicato stampa del 20 febbraio.
Le tematiche affrontate hanno riguardato:
- la collocazione dell’RPD/DPO rispetto ai vertici aziendali;
- l’indipendenza del medesimo nell’eseguire i propri compiti;
- l’autonomia e l’attribuzione di adeguate risorse umane e finanziarie dell’RPD.
In pratica, quindi, l’indagine si è concentrata sui punti di norma di cui agli artt. 37-39 del GDPR riguardanti proprio la figura del DPO.
L’attività è il primo risultato del progetto congiunto Garante privacy-ABI volto a costituire una “Rete di Responsabili della protezione dati nel settore bancario”, ovvero un “gruppo di lavoro permanente”, finalizzato a un confronto proficuo e a un “interscambio informativo” tra il Garante e gli RPD chiamati a gestire trattamenti di dati personali, talvolta, decisamente complessi.
I dati personali trattati e le misure di sicurezza
Nel contesto bancario, il trattamento di dati personali è un aspetto fondamentale delle operazioni pressoché quotidianamente. Le banche infatti raccolgono, archiviano, elaborano e condividono una vasta gamma di dati personali per diverse finalità, nel rispetto della normativa vigente in materia di protezione dei dati, GDPR in primis.
Facciamo alcuni esempi. Un istituto di credito può trattare dati di:
- identificazione, come nomi completi, date di nascita, indirizzi di residenza, numeri di telefono, indirizzi email e codici fiscali. Dati tutti fondamentali per identificare in maniera univoca il cliente al fine di poterne gestire il rapporto;
- finanziari e transazionali concernenti a titolo esemplificativo informazioni su conti correnti e di risparmio, movimenti di conto, prestiti, mutui, investimenti e pagamenti. Dati sono trattati per la gestione quotidiana di conti, erogazione di mutui, consulenza per investimenti e prevenzione di frodi;
- particolari (ex sensibili) circa tutti quelli che riguardano l’origine etnica, le convinzioni religiose o altre categorie di dati particolari (ex art. 9) che possono essere trattate solo in circostanze molto limitate e con specifiche basi giuridiche: Pensiamo ad esempio alle prescrizioni in materia di antiriciclaggio;
- relativi al credito in relazione storico creditizio, ai punteggi di credito, alle informazioni su insolvenze o ritardi nei pagamenti. Dati tutti utilizzati per valutare la solvibilità del cliente nella concessione di mutui o altre linee di credito;
- navigazione web e app come quelli raccolti tramite cookie, indirizzi IP, preferenze online e comportamenti di navigazione sulle piattaforme bancarie online, utilizzati per personalizzare la user experience, il marketing mirato o per migliorare la sicurezza online.
Circa le finalità del trattamento e le basi giuridiche tipicamente del contesto bancario, pensiamo all’esecuzione del contratto di conto corrente o di servizi finanziari, l’adempimento di obblighi di legge come visto il contrasto al riciclaggio da un lato, e dall’altro al consenso del cliente e infine, come base giuridica residuale il legittimo interesse pensando per ipotesi, alla sicurezza delle transazioni ovvero alla prevenzione delle frodi, allorché occorra sviluppare di nuovi prodotti
In ogni caso, le banche sono tenute a implementare misure di sicurezza robuste volte a proteggere i dati personali e garantire che il trattamento sia compliance alla normativa di settore.
Ciò include:
- la minimizzazione dei dati;
- la cifratura;
- l’anonimizzazione dei dati laddove possibile;
- procedure rigorose per la gestione delle violazioni dei dati (data breach).
Il ruolo e l’importanza del DPO nelle banche
Tornando all’azione di ricerca condivisa Garante privacy-ABI ecco che l’indagine condotta si va ad inserire in un contesto ben più ampio laddove la valorizzazione del dato e la privacy sono centrali e cruciali vieppiù nell’era digitale come quella attuale.
È indiscusso che la figura dell’RPD/DPO sia da sempre concepita e poi diventata un pilastro fondamentale per le organizzazioni che trattano dati personali, a maggior ragione per quelle realtà complesse come gli istituti bancari.
Di qui, il progetto congiunto in parola mira proprio a creare una rete di RPD/DPO nel settore (bancario), al fine di costituire best practices e migliorare le prassi anche operative. D’altra parte, in questo momento storico nel pieno dell’innovazione tecnologica l’impegno delle banche italiane verso la cultura della protezione dei dati è quanto mai attento.
Il DPO nelle banche: le parole dei due presidenti ABI-Garante
Questo progetto di ricerca ha potuto offrire una prima “fotografia” sul ruolo dell’RPD/DPO ancorché limitatamente al settore bancario, ma vista la delicatezza dello stesso è bene porvi attenzione.
Ecco le parole del Presidente dell’ABI Antonio Patuelli, testualmente: “Nella prospettiva dell’intelligenza artificiale occorrono principi etici, trasparenza, responsabilità sociale per la sicurezza e la protezione dei dati. Le banche italiane sono fortemente impegnate in continue innovazioni tecnologiche, investendo nella creazione e diffusione di una cultura della protezione dei dati. Il progetto che ci vede coinvolti è il primo esempio della costituzione di una ‘Rete’ dei Responsabili della protezione dei dati nel settore privato e ciò rappresenta per ABI un segnale di forte riconoscimento dell’impegno delle banche. La creazione delle Rete è quindi per tutto il mondo bancario occasione per affrontare e approfondire tematiche su cui è sempre più indispensabile ottenere indirizzi chiari, che possano facilitare la conformità alle norme”.
E di seguito quelle del Presidente del Garante privacy Pasquale Stanzione: “Iniziative simili sono estremamente importanti non soltanto perché rappresentano un’occasione di confronto sull’importanza di una tutela effettiva dei dati personali, ma anche perché consentono di comprendere l’importanza della protezione dei dati per lo sviluppo armonico della nostra società. Il Gdpr […] nel tentativo di coniugare sviluppo economico, innovazione e dignità umana detta le condizioni per il lecito trattamento dei dati, a tutela della persona ma anche per la libera circolazione dei dati stessi, necessaria per promuovere economia e innovazione. Allo sviluppo crescente di sistemi sempre più avanzati di analisi ed elaborazione di dati personali nel settore bancario – conclude Stanzione – si deve quindi accompagnare il potenziamento del ruolo e dei compiti del RPD”, ça va sans dire.
Conclusioni e prospettive
Questo progetto condiviso rappresenta dunque un passo importante per il settore bancario, offrendo una base di conoscenza su cui costruire strategie di protezione dei dati sempre più efficaci.
Ma anche più in generale.
Non dimentichiamo anche l’iniziativa che era partita qualche tempo fa del progetto formativo T4DATA al fine di promuovere la creazione di “reti di RPD” per settori omogenei e questa iniziativa specifica ne rappresenta un chiaro e significativo esempio, conclude il Garante.
Dunque, ancora una volta viene sottolineata l’importanza strategica del DPO all’interno delle organizzazioni nonché la sua capacità di agire come un vero e proprio valore aggiunto, sì favorendo l’osservanza della disciplina privacy, fondamentale di questi tempi.