GDPR e Testo Unico Bancario entrano apparentemente in rotta di collisione sul tema del diritto all’oblio. Mentre il regolamento europeo 2016/679 prevede per l’utente il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali, il TUB stabilisce per le banche l’obbligo di conservazione per un periodo di 10 anni. Approfondiamo nel dettaglio lo stato dell’arte e le strategie giuste per gli istituti bancari.
Il GDPR definisce una serie di principi e di diritti per le persone fisiche, ovvero per i cittadini europei; tali diritti devono essere garantiti da qualsiasi azienda appartenente al mercato europeo e non. Mette a disposizione del cittadino dei diritti che gli consentono maggior controllo e gestione dei propri dati. Contestualmente, cerca di educare il cittadino stesso verso una maggior consapevolezza del valore intrinseco dei propri dati e sulla necessità di gestirli con maggiore accortezza.
Uno dei diritti “novità” è il diritto all’oblio. Il GDPR lo descrive all’art.17 comma 1: “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”. L’enunciato dell’articolo contiene contemporaneamente un diritto (per l’Interessato) e un obbligo (per il Titolare) Chi sono questi due attori? L’Interessato è il cittadino europeo, il Titolare è l’azienda che effettua il trattamento dei dati personali.
GDPR: trattamento e dati personali
Allora cosa sono il Trattamento e i Dati Personali? Il Trattamento è qualsiasi operazione fatta sui Dati Personali, dalla semplice scrittura su un modello cartaceo alla più complessa elaborazione informatica. Qualsiasi dato che da solo (es. codice fiscale) od insieme ad altri dati (es. nome, cognome, indirizzo) individua univocamente una persona è un Dato Personale. E’ bene ricordare che questi dati rimangono sempre di proprietà della persona alla quale si riferiscono, non sono mai delle aziende che li trattano qualsiasi sia la finalità, cioè la motivazione per la quale un’azienda, quindi un Titolare, richiede ad un cittadino il conferimento dei propri Dati Personali.
Infine, cosa è il Consenso? Il Consenso è la scelta consapevole che il cittadino effettua nei confronti di un’azienda per consentigli di effettuare un Trattamento dei propri Dati Personali in relazione all’acquisto di un prodotto o di un servizio.
GDPR e distruzione dei dati: quando va effettuata
L’obiettivo che si pone l’art.17 comma 1 è obbligare i Titolari ad effettuare la distruzione immediata dei dati in loro possesso relativi ad una determinata persona. Tale comma definisce anche il perimetro dell’obbligatorietà della cancellazione, ad esempio non esaustivo citiamo: quando non sono più necessari rispetto alla finalità, quando l’interessato ha revocato il consenso, o quando sussiste un obbligo giuridico (cfr. lettere da a-f). Il Titolare è sempre obbligato a cancellare i dati in suo possesso? Non sempre: infatti l’art.17 al comma 2 prevede una serie di eccezioni per consentire ai Titolari il rispetto di altre normative vigenti.
In questo ambito, il pensiero va alle registrazioni delle disposizioni di pagamento, alla compravendita titoli, agli acquisti fatti con le carte, tutte declinazioni che contengono Dati Personali così come definiti dal GDPR.
Inoltre i contratti di acquisto di prodotti/servizi bancari, contenenti Dati Personali (estremi e recapiti del cliente), devono rispettare gli articoli del Codice Civile (es artt. 1175, 1374, 1375) che richiamano gli attori di un contratto alle regole della correttezza, della buona fede e del Neminem laedere (dovere di non ledere l’altrui sfera giuridica).
Se aggiungiamo, infine, le norme sull’antiriciclaggio e le indagini della magistratura possiamo comprendere che la conservazione dei dati è un obbligo di legge e quindi la banca, non sempre, può dar seguito all’esercizio del diritto di oblio formulato da un Interessato, nel caso specifico il cliente.
Conservazione dati per le banche
Quando si parla di cancellazione dei dati, la mente va subito alle soluzioni informatiche predisposte da una banca per l’erogazione dei propri servizi, si pensa quindi agli archivi elettronici, ai database, ai prodotti di office automation. Si avviano quindi progetti per capire dove sono custoditi i Dati Personali e ci si accorge che, fino ad oggi, non c’è mai stata attenzione alla definizione di una data di scadenza.
Il costo contenuto dell’archiviazione, o dei sistemi di storage, come si dice in gergo, non ha mai giustificato una ottimizzazione dei processi di gestione. Invece, adesso, è indispensabile prestare attenzione al periodo di conservazione dei dati.
Il GDPR prevede sanzioni molto pesanti, nel caso di data breach di dati conservati senza il supporto di una finalità, ad esempio dati riferiti a prospect, dati rinvenienti da incorporazioni più vecchie di 10 anni, dati di consulenti finanziari usciti dalla rete della banca da più di 5 anni. La perdita di dati conservati inutilmente può costare cara e quindi occorre affrontare il tema della data di scadenza.
Banche, la “data di scadenza” dei dati
La data di scadenza è in stretto legame con la finalità per la quale i Dati Personali sono stati raccolti e quindi fintantoché la finalità è valida il Trattamento dei dati è lecito. È il caso di un contratto di conto corrente attivo, per il quale i dispositivi normativi sopra citati impediscono alla banca di onorare una richiesta di cancellazione.
Ma quando il contratto è chiuso? Per almeno 10 anni i dati devono essere conservati e messi a disposizione se l’ex-cliente ne fa richiesta. Trascorsi 10 anni dalla chiusura del contratto, fatte salve eventuali indagini della magistratura, sembrerebbe possibile procedere con la cancellazione.
Sulla base di quanto espresso dal GDPR art.17 comma 2 lettera e, è possibile conservare i dati per una finalità accessoria a quella per la quale i Dati Personali erano stati raccolti, o comunque per un legittimo interesse del Titolare. Rientrano in questa fattispecie, la gestione dei reclami, le indagini della magistratura, gli obblighi di legge in genere. In ultima analisi il GDPR osserva che un trattamento è lecito se sussiste una finalità dichiarata, se l’interessato ha espresso un consenso consapevole, se esiste un obbligo di legge, o se il Titolare (la Banca) ha un legittimo interesse che non prevarica quello dell’interessato.
Quindi cosa possono fare le banche per mantenere la conformità ai dispositivi normativi, salvaguardando i propri interessi e garantendo i diritti e le libertà delle persone?
Diritto all’oblio, la soluzione per le banche
Una soluzione potrebbe essere questa: suddividere il tempo del trattamento in tre periodi principali. Il primo vede origine dal primo contatto della persona con la banca, fase in cui il soggetto viene convenzionalmente indicato come prospect, fino alla conclusione dell’apertura del contratto di acquisto di un servizio. Il secondo inizia con l’esecuzione del contratto e termina con la sua chiusura, periodo nel quale la persona è identificata come Cliente. Il terzo inizia con la chiusura del contratto e la fine è abbastanza sfumata.
Se colleghiamo questi tre periodi alle finalità del Trattamento possiamo categorizzarli in due tipologie: i primi due rispondono alle finalità commerciali della banca, per il terzo, invece, la finalità ha un’accezione legale. Durante i primi due periodi il Trattamento dei Dati Personali avviene in conseguenza a richieste del cliente (disposizioni di pagamento, compravendita titoli, finanziamenti), in un certo senso il consenso è funzionale alle operazioni richieste.
In altri casi, invece, il Trattamento avviene in base al consenso esplicito del cliente, ad esempio la richiesta di una carta di credito è necessariamente preceduta da una richiesta di un consenso per il Trattamento dei Dati Personali relativi al merito creditizio, in base al quale verrà poi concessa o meno la carta. Un altro esempio è l’invio di proposte di acquisto di prodotti/servizi, che può essere fatto soltanto nel caso in cui il cliente abbia dato il consenso alla ricezione di tali proposte.
Riassumendo, durante l’esecuzione del contratto le normative che regolano il sistema bancario impediscono di fatto la cancellazione dei Dati Personali; è possibile soltanto dare al cliente la possibilità di esercitare altri diritti, citiamo ad esempio la rettifica, la modifica dei consensi alle iniziative commerciali e alla profilazione. Quando si arriva alla chiusura del contratto il cliente passa allo stato di ex-cliente. Questa è la fase legale nella quale il Trattamento dei dati degli ex-clienti dovrebbe essere limitato alle sole funzioni della banca che seguono gli eventuali reclami, le indagini della magistratura, i ricorsi in giudizio.
Banche e GDPR, come limitare la visibilità dei dati
Quindi, una soluzione strutturale al tema della cancellazione dei dati vede la sua trasformazione in una limitazione della visibilità dei Dati Personali restringendo il perimetro degli operatori autorizzati in base alle finalità del Trattamento.
Il GDPR all’art. 32 suggerisce l’adozione di idonee misure di sicurezza tecnico-organizzative, attraverso le quali suddetta limitazione è raggiungibile. Limitare la visibilità dei dati alle funzioni “commerciali” (filiali tradizionali e uffici commerciali della direzione) durante l’esecuzione del contratto e alle sole funzioni “legali” (reclami, indagini magistratura) dopo la chiusura del contratto.
Parliamo adesso del prospect che non diventa cliente, in questo caso entrano in gioco due attori in antitesi: il GDPR e la Direzione Commerciale della banca. In base al primo, se la persona non conclude il contratto i dati andrebbero distrutti immediatamente (mancanza della finalità), in base al secondo ogni “contatto” vale oro e quindi non dovrebbe essere cancellato o comunque dovrebbe essere conservato il più possibile.
La soluzione ipotizzabile cerca di dare “un colpo al cerchio e uno alla botte” definendo un breve periodo (es. 2 /3 mesi) entro il quale la Direzione Commerciale farà i salti mortali per trasformare il prospect in Cliente, dopodiché i dati saranno inevitabilmente cancellati.
Il consenso per finalità commerciali
Esiste un’altra soluzione applicabile nel caso in cui, durante il processo di apertura del contratto, vengano assegnate delle credenziali personalizzate al prospect. In questo caso, una chiara e comprensibile formulazione del consenso per finalità commerciali, corredata dalle istruzioni per la gestione autonoma di tale consenso, può consentire alla banca il Trattamento dei dati per suddette finalità, fintantoché il prospect non neghi il consenso.
Diritto all’oblio per archivi cartacei
Fino ad ora abbiamo parlato di processi aziendali supportati da un adeguato sistema informatico. Passiamo adesso ad uno scenario più vecchio ma non obsoleto né in fase di prossima dismissione: la carta, il cartaceo, foreste intere racchiuse in scatoloni nei magazzini, negli armadi e sulle scrivanie. Qui i problemi sono decisamente maggiori e la banca può intervenire soltanto con disposizioni organizzative. Ad esempio, se pensiamo ai documenti di cassa di una giornata lavorativa che, generalmente, vengono raccolti in una scatola, archiviati per data e inviati ad un magazzino, l’unica soluzione percorribile è, trascorsi 10 anni, distruggere l’intera scatola, infatti, l’ipotesi di aprire ogni scatola per distruggere le sole contabili relative ai contratti chiusi sarebbe eccessivamente costosa e inverosimile.
Rimane adesso l’ultimo scenario, meno strutturato, presente in banca, ovvero la diffusione di strumenti di office automation (word, excel), che, quotidianamente, tutte le funzioni organizzative utilizzano. Quanti archivi contenenti dati di prospect, clienti, ex-clienti sono “dispersi” sulle postazioni di lavoro di ogni impiegato? In questo caso solo delle adeguate misure di sicurezza tecnico-organizzative possono aiutare la banca a raggiungere l’obiettivo della conformità. Quindi la predisposizione di strutture tecnologiche accentrate (es. NAS), processi di archiviazione, anche automatizzati, e istruzioni normative stringenti per il personale dipendente, che limitino la conservazione sul “proprio” pc di archivi “temporanei”, possono contribuire a garantire una più agevole gestione del diritto all’oblio.
Diritto all’oblio, tutti gli obblighi per le banche
- durante l’esecuzione del contratto non possono onorare l’esercizio del diritto di oblìo;
- successivamente alla chiusura del contratto, per almeno 10 anni, non possono onorare l’esercizio del diritto di oblìo, possono soltanto limitare la visibilità dei Dati Personali a funzioni specifiche;
- in assenza di contratto, ovvero per i prospect, possono ipotizzare un breve periodo nel quale effettuare alcuni trattamenti per finalità commerciali, ma, trascorso tale periodo, devono cancellare i dati;
- devono predisporre misure tecnico-organizzative per garantire l’esercizio del diritto di oblìo nei casi di utilizzo di strumenti cartacei e di office automation.