Con il GDPR banche e istituzioni finanziarie dovranno adottare policy e soluzioni, con investimenti anche importanti. Ma l’inserimento dei dati personali tra gli asset economici apre un ventaglio di opportunità
Il Regolamento Europeo n. 2016/679 sarà applicabile, in via diretta, in tutti i Paesi dell’UE a far data dal 25 maggio 2018, dunque, è partito il countdown non solo per le piccole startup, ma anche per le banche, le finanziarie di grandi dimensioni e le compagnie assicurative. Quante società, infatti, sarebbero - ad oggi - in grado di gestire e controllore le informazioni utilizzate dai propri dipendi, agenti, fornitori? Quante sarebbero veramente compliant?
Un flusso di dati da governare
Banche, istituzioni finanziarie e assicurazioni amministrano imponenti flussi di dati personali, singoli e aggregati, e sono, pertanto, chiamate a regolamentare la gestione dei loro dati in vista dei recenti interventi europei. La compliance privacy, a lungo considerata un costo aziendale e un onere burocratico fatto di informative e procedure dai più ignorate, diviene, per chi sa ben interpretare i cambiamenti, veicolo di valori da capitalizzare e di opportunità da cogliere. Pensiamo, su tutte, alla Payment Services Directive e al fatto che le banche stanno diventando dei marketplace per servizi propri e di terzi: in tali contesti, senza un efficace sistema di gestione e controllo dei dati non è possibile sfruttare appieno le potenzialità dei dati personali.
Progettare pensando ai benefici
Come poter intervenire, quindi? Non è più sufficiente adottare policy e procedure compliant, ma è necessario uno sforzo ulteriore e introdurre un impianto di misure tecniche e organizzative che permetta, da un lato, di minimizzare i rischi intrinseci e, dall’altro, di massimizzare i benefici di una gestione del dato trasparente nei confronti dei clienti e delle autorità. Tale approccio innovativo deve fondarsi sui concetti di privacy by design e privacy by default: le banche devono trattare, per impostazione predefinita, solo i dati personali utili per il periodo di tempo strettamente necessario e sono tenute a introdurre, fin dalla fase di progettazione, gli strumenti a tutela dei stessi.
Il dato personale tra gli asset economici
Il vantaggio competitivo derivante da un tale sistema di data governance non si esaurisce nella mancata sanzione (multa da 10 a 20 milioni di euro che può raggiungere il 4% del fatturato, se superiore, e ammonimenti, ingiunzioni e revoche di natura “correttiva”), ma vede nell’inserimento del dato personale all’interno degli asset economici la sua massima ambizione. A ciò si aggiunga che, nell’attuale momento storico, gli intermediari non possono essere sprovvisti di un sistema di data governance capace di categorizzare, mappare e controllare i dati in modo tale che, come successo di recente nel caso di un primario istituto bancario, sia possibile abbattere gli effetti negativi di un cosiddetto cyber attacco (il data breach).
Monitoraggio e data breach
La questione è a dir poco rilevante se si pensa che, per il GDPR, il data breach deve essere notificato al Garante e ai titolari dei dati personali oggetto di attacco e che è possibile evitare le predette comunicazioni solo se il proprio sistema di controllo è in grado di evitare i danni attraverso la segregazione dei dati. Difatti, ogni software ha il suo bug e il rischio di cyber attacco non può essere azzerato: anche qui, solo un efficace presidio può evitare la comminazione della sanzione e può essere tale da scongiurare, senza contare l’impatto che avrebbero le azioni da parte dei titolari e degli azionisti, le ripercussioni di carattere reputazionale, tanto attenzionate dalla Banca d’Italia.
