Anche le banche stanno lavorando all’adeguamento al GDPR, cercando soprattutto di cogliere gli elementi di innovazione della nuova normative europea, nella prospettiva di andare oltre la risposta ai requisiti normativi e di sviluppare un approccio sempre più efficace al governo dei dati e al valore che ne può derivare per tutti gli attori coinvolti, primi fra tutti per i clienti. Vediamo come si stanno muovendo.
Un cambio di approccio di gestione dei dati personali
Nella visione della Commissione Europea, la Data Economy rappresenta un tassello importante nel percorso strategico verso un mercato unico digitale, nella consapevolezza di come i dati siano ormai diventati una risorsa essenziale per la crescita economica, la creazione di posti di lavoro e il progresso della società.
Negli ultimi anni, la crescente domanda di digitalizzazione da parte degli utenti, l’integrazione economica e sociale nonché il cambiamento guidato dall’innovazione tecnologica stanno comportando la necessità di un cambio di approccio di gestione dei dati personali, anche considerando che le nuove tecnologie consentono di svolgere trattamenti di dati personali più complessi e pervasivi ed erogare servizi sempre più personalizzati.
In quest’ottica, il regolamento europeo relativo alla protezione dei dati personali, la General Data Protection Regulation (GDPR), rappresenta un importante punto di svolta che oltre a rafforzare e unificare le regole inerenti alla protezione dei dati personali, potrà favorire un aumento del livello di fiducia dei consumatori, con potenziali ricadute positive sulle relazioni con le imprese, le istituzioni e verso il mondo digitale.
Il Regolamento è focalizzato sugli aspetti relativi alla tutela delle persone fisiche, alla libera circolazione dei dati ed alla protezione dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali.
In termini realizzativi, è opinione condivisa che i percorsi di implementazione del nuovo Regolamento GDPR potrebbero comportare un sensibile incremento di attenzione e impegno sulle prassi di gestione delle informazioni aziendali, con ricadute da non sottovalutare sui processi, sulle architetture e sul governo del patrimonio informativo.
GDPR nelle banche, gli snodi chiave
Nel ragionare sui percorsi implementativi, è possibile identificare alcuni aspetti che potrebbero essere considerati come gli “snodi chiave” per l’implementazione del GDPR nelle banche.
Un primo elemento riguarda il rafforzamento delle buone pratiche nel governo dei dati (Data Governance), che non solo possono aiutare a rispondere efficacemente alle esigenze di protezione, ma possono anche rappresentare il punto di partenza per sviluppare una sempre maggiore consapevolezza del valore dei dati trattati, aprendo la strada a nuove opportunità di valorizzazione della conoscenza e rafforzamento delle relazioni di fiducia tra la banca, i propri clienti e gli altri stakeholder rilevanti.
In ottica implementativa potrebbe essere utile intraprendere un percorso che promuova logiche di solidità e coerenza del modello dati aziendale rispetto alle esigenze di protezione, considerando anche la possibilità di costituire un metamodello complessivo per un governo strutturato dei dati.
Nello specifico, si stanno realizzando piani di azione che agiscono su quattro aree di lavoro:
- sulla classificazione dei dati in termini di rilevanza e sensibilità ai requisiti di protezione,
- sulla comprensione delle interazioni tra dati e processi di trattamento,
- sulla qualità delle informazioni e dei processi di governo,
- sul monitoraggio delle informazioni nelle varie fasi del loro ciclo di vita.
Un approccio proattivo alla gestione della privacy
È opportuno considerare che i dati personali costituiscono solo una parte del patrimonio informativo di una azienda; le linee di azione sull’Information governance si stanno dunque orientando verso l’obiettivo di cogliere le possibili opportunità di sinergia operando lungo due distinte direttrici di intervento: una più tattica, finalizzata ad ottenere risultati in grado di mitigare i rischi di non conformità in tempi compatibili con le esigenze cogenti, una di più ampio respiro che punta a capitalizzare le tecniche e i modelli di funzionamento, in una visione sempre più matura delle informazioni aziendali come elemento di valore per la banca.
Un altro pilastro fondamentale nell’applicazione del GDPR riguarda la concretizzazione del principio della responsabilizzazione (Accountability), che potrebbe essere interpretato come il substrato su cui poggiano le logiche implementative della protezione dei dati. Il disegno di un modello centrato sul principio di responsabilizzazione implica infatti la necessità di muoversi contemporaneamente lungo diverse direttrici, mantenendo saldi i meccanismi di presidio e controllo.
L’attuazione del principio di responsabilizzazione significa soprattutto sviluppare un approccio proattivo, sistematico e continuo per la protezione dei dati attraverso l’attuazione di misure di protezione dati appropriati e di programmi di gestione della privacy.
Ad esempio, potrà essere utile istituire politiche e meccanismi di controllo appropriati, oltre a strutturare processi per la revisione periodica e la valutazione dell’efficacia delle politiche di protezione dei dati.
Allo stesso modo, potrà essere valutata l’opportunità di documentare le azioni intraprese per essere in grado di attestare oggettivamente che le attività sono realizzate in modo organizzato ed efficace. Infine, si evidenzia l’utilità di accertare la presenza in azienda del giusto mix di competenze, eventualmente realizzando programmi di formazione sui temi della protezione dei dati;
Parallelamente, meritano particolare attenzione i principi della Protezione dei dati fin dalla progettazione e per impostazione predefinita (Privacy by Design e by Default), che comportano l’esigenza di una riflessione ulteriore su tutte le attività di gestione delle informazioni da un lato stimolando il riesame dei paradigmi alla base dei meccanismi di gestione corrente (Run), dall’altro impattando sulle dimensioni connesse ai percorsi di gestione del cambiamento (Change).
In questa direzione i lavori sviluppati hanno portato all’adozione di misure tecniche e organizzative adeguate ad attuare in modo efficace i principi di protezione dei dati. Si tratta in sostanza di integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del regolamento e tutelare i diritti degli interessati, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento.
Diviene utile, in questo contesto, sviluppare un approccio basato sul rischio, che implica comprendere quali sono i maggiori pericoli che l’impresa dovrà affrontare, per stabilire le priorità e gli investimenti in tecnologie, servizi ICT e sicurezza che permettono di costituire adeguati presidi alla tutela dei dati personali, anche in considerazione dell’attenzione verso il raggiungimento dei risultati di business.
Un ulteriore snodo chiave riguarda gli aspetti connessi al disegno organizzativo. In particolare, può essere importante riflettere sul quadro dei ruoli e delle responsabilità, anche nell’ottica di ricercare un equilibrio tra le esigenze di separazione dei compiti (segregation of duties) e di sinergia organizzativa.
Quale approccio al governo dei temi di privacy
La costruzione di meccanismi di raccordo e sinergia tra i diversi attori che, a vario titolo, entrano nei processi di gestione della Privacy, rappresenta un elemento di significativa attenzione. Sin dai primi confronti, sono infatti emersi diversi possibili approcci nel costruire un modello per il governo dei temi di Privacy che possa essere considerato adeguato.
In alcuni casi ci si sta orientando su logiche di governance maggiormente accentrate, con una maggiore concentrazione delle competenze sui temi Privacy all’interno della banca in un presidio specifico, in questi contesti assumono particolare rilevanza da un lato la capacità di coinvolgere questi presidi nelle diverse iniziative che vengono realizzate, dall’altro la possibilità da parte del presidio di rispondere in maniera tempestiva ed efficace alle diverse richieste pervenute.
Altre realtà si stanno orientando verso modelli più distribuiti, in cui si cerca di disseminare maggiormente le competenze sui temi Privacy all’interno dell’azienda attraverso iniziative di formazione e responsabilizzazione, mantenendo comunque una cabina di regia in grado di garantire una coerenza complessiva rispetto alle policy, monitorare le evoluzioni del contesto e tener conto delle esigenze generali.
DPO e registro dei trattamenti
Nel disegno del modello dei ruoli, merita sottolineare la rilevanza del responsabile della protezione dei dati (Data Protection Officer, DPO): una figura con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno dell’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. L’indipendenza del DPO rappresenta un elemento da considerare nelle scelte di impostazione del modello, nello specifico può essere opportuno che il DPO non intervenga né nella definizione delle modalità di trattamento, né nella definizione delle finalità del trattamento.
Tenuto conto di come il GDPR spinga a guardare in maniera sinergica dati e processi di gestione, si sta in molti casi ragionando sull’opportunità di adeguamento delle architetture tecnologiche. In questo percorso si sottolinea soprattutto il ruolo del registro dei trattamenti, che da molti punti di vista può essere interpretato come una componente cardine dell’impianto di protezione dei dati. Non soltanto un adempimento normativo, ma un vero e proprio strumento di gestione, comprensione e autoanalisi.
Dal punto di vista operativo, la realizzazione di un registro di trattamenti potrebbe essere perseguita anche attraverso strumenti non completamente integrati. Tuttavia, molte banche, soprattutto di dimensioni medio-grandi, stanno approfonditamente valutando l’opportunità di dotarsi di piattaforme più strutturate, che possano rappresentare il motore dell’intero sistema di data protection della banca.
La sfida che si sta affrontando nelle realtà più complesse riguarda dunque il rafforzamento di un modello sempre più integrato, che preveda la possibilità di interpretare il registro dei trattamenti come elemento tecnico di raccordo tra i vari livelli dell’architettura bancaria (infrastrutture, applicativi, dati, processi, unità organizzative).
Sicurezza a tutto tondo
Un ulteriore aspetto trattato riguarda la centralità dei temi legati a una gestione a tutto tondo delle componenti di sicurezza. Emerge in particolare un sostanziale accento sul rafforzamento di logiche incentrate sulla valutazione dei rischi e sulla valutazione degli impatti.
In coerenza al principio di responsabilizzazione, il Regolamento non richiede l’adozione di specifiche misure di sicurezza, ma sottolinea l’esigenza di mettere in atto misure tecniche e organizzative “adeguate”, che consentano di garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio che si verifichino con un determinato livello di probabilità eventi di una certa gravità per i diritti e le libertà delle persone fisiche.
Si mette in luce, dunque, la centralità dell’analisi dei rischi, e conseguentemente della valutazione di adeguatezza dei presidi in essere, sia per nuovi trattamenti, che per trattamenti esistenti, da ripetersi ad esempio ogni qualvolta si verifichi un cambiamento di natura organizzativa, tecnologica o di processo che possa incidere sul livello di rischio del trattamento stesso.
Per i trattamenti valutati a rischio significativo, subentra in taluni casi l’evenienza di procedere con un’analisi di impatto (Data Protection Impact Assessment, DPIA) e nel caso in cui la valutazione di impatto sulla protezione dei dati presenti un rischio residuo elevato, potrà essere necessario consultare preventivamente l’Autorità Garante che potrà indicare ulteriori misure adeguate di protezione prima di avviare le operazioni di trattamento.
Come emerge da queste prime considerazioni, le novità introdotte dal Regolamento in tema di sicurezza riguardano in larga parte il mantenimento e la formalizzazione dei processi di analisi del rischio, valutazione degli impatti e implementazione di modelli di presidio. Si tratta in ogni caso di aspetti su cui le banche possono far leva su prassi fortemente consolidate e già da tempo calate nell’operatività degli istituti.
L’elemento di miglioramento continuo che si sta introducendo riguarda soprattutto l’arricchimento del possibile ventaglio di misure tecniche e organizzative che possono essere combinate tra loro per raggiungere un opportuno livello di adeguatezza.
Nello specifico, tra le misure tecniche si identificano le possibili soluzioni di pseudonimizzazione, cifratura, mascheramento e anonimizzazione dei dati, così come le impostazioni di riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano dati personali. Tra le misure organizzative, invece, si evidenziano le impostazioni contrattuali verso i vari responsabili dei trattamenti o la formalizzazione di policy e norme.
Si sottolinea, infine, l’opportunità di affiancare alle necessarie implementazioni operative anche una graduale trasformazione culturale: la consapevolezza diffusa è che ci si trovi di fronte a un punto di svolta nelle modalità di governo, presidio e protezione delle informazioni, con impatti significativi sia sul mondo IT che sulle dimensioni di natura organizzativa e gestionale.
