L’avvento del digitale ha modificato il trattamento dei dati personali operato dagli Istituti di Credito dal momento che il modello bancario tradizionale è stato superato dal diffondersi delle nuove tecnologie che hanno portato l’ingresso di nuovi soggetti nel mercato.
Evoluzione della Banca nell’era digitale
Le nuove Banche sono specializzate e consentono ai propri clienti di accedere a prodotti e a servizi forniti da terzi che altrimenti non rientrerebbero tra le loro possibili offerte. La Banca diventa quindi una sorta di piattaforma virtuale attraverso la quale il cliente viene messo in contatto con il soggetto terzo che può garantirgli il servizio migliore.
La Banca ha sviluppato così il concetto di data driven, e ha costruito e formato le proprie procedure di trattamento intorno al dato, che costituisce il perno del nuovo soggetto creditizio.
L’arrivo di nuovi soggetti quali startup, big tech, automotive, retail; di nuovi attori che dettano nuove regole nel settore della finanza con i quali interfacciarsi e dialogare anche attraverso lo scambio dei dati personali dei clienti obbliga la Banca ad un nuovo approccio in materia di trattamento dei dati.
In questa ottica diventa fondamentale l’avvio di un progetto che preveda sin dall’origine della formazione del dato la messa in campo di tutti gli strumenti e le corrette impostazioni a tutela dei dati personali: siamo di fronte al concetto di privacy by design e by default previsto dal Regolamento (UE) 2016/679 entrato in vigore il 25 maggio 2018.
L’ambito di applicazione del GDPR: profilo soggettivo e oggettivo
Le Banche, nella loro veste di titolari del trattamento, sono chiamate a proteggere i dati personali dei loro clienti persone fisiche, ma più in generale di tutte quelle persone che entrano in contatto con il mondo bancario e i cui dati personali vengono, a vario titolo e finalità, trattati. Per comprendere appieno tale concetto bisogna rifarsi alla definizione di interessato offerta dal GDPR che intende tale soggetto come una persona fisica identificata o identificabile.
Un elenco di persone che risultano clienti della Banca è naturalmente identificato attraverso il nome e cognome, mentre sono identificabili se il nome e cognome viene sostituito, nel medesimo elenco, da una sigla alfanumerica. La Banca si doterà di un database per cui ad ogni singola sigla alfanumerica corrisponderà il nominativo del cliente.
Gdpr, Abi: “Che fanno le banche per adeguarsi alla nuova privacy”
Procedure e informazioni chiare e trasparenti
In questa ottica, la Banca dovrà sempre garantire all’interessato il pieno controllo dei dati personali che lo riguardano ponendo in essere una serie di accorgimenti e di procedure semplici, snelle, chiare e trasparenti che possano consentire all’interessato, in qualsiasi momento, di controllare il trattamento dei propri dati e la rispondenza di tale trattamento alle finalità e ai mezzi utilizzati.
La Banca, quindi, deve fornire all’interessato tutta una serie di informazioni che consentano il libero e consapevole esercizio del controllo dei propri dati personali; ciò attraverso una adeguata informativa.
Sotto il profilo soggettivo, infine, particolare attenzione va riservata alla categoria dei destinatari dei dati personali. Questi possono essere persone fisiche o giuridiche, autorità pubbliche e comunque qualsiasi soggetto che riceve comunicazioni di dati personali. Si pensi alla trasmissione di dati tra filiali o sedi bancarie, alle Società di servizi che collaborano con la Banca, all’Autorità Giudiziaria, alle Autorità di Vigilanza, alle altre Banche.
L’interessato dovrà necessariamente essere messo al corrente sia della esistenza di tali soggetti che della possibilità per la Banca di trasferire a essi i suoi dati personali in modo da avere una visione chiara e trasparente della filiera di trasmissione dei dati personali da parte della Banca a cui si è rivolto.
L’interessato deve sapere in partenza, ancora prima di diventare un cliente, quando i suoi dati vengono trattati, per quali finalità, con quali mezzi, chi sono i possibili destinatari. Analogamente il dipendente o il collaboratore deve acquisire tali informazioni prima di decidere se formalizzare il proprio rapporto di lavoro con la parte datoriale.
Trattamento dei dati
Sotto il profilo oggettivo è innegabile che il protagonista del Regolamento (UE) 2016/679 sia il dato personale inteso come qualsiasi informazione riguardante una persona fisica che va tutelato nella sua integrità ed interezza.
La Banca può trattare i dati personali sia singolarmente che in maniera aggregata, utilizzando cioè un insieme di dati molto spesso presenti all’interno di data base sia digitali che analogici.
L’Istituto di credito può trattare i dati personali con o senza l’ausilio di processi automatizzati; ciò significa che siamo di fronte a trattamento sia quando l’operatore bancario agisce utilizzando la tecnologia e gli strumenti informatici di cui può disporre, sia quando il medesimo operatore raccoglie i dati, li organizza, li registra li conserva, li consulta o li estrae da un fascicolo cartaceo piuttosto che da un archivio analogico.
L’ambito di applicazione territoriale del GDPR
Per quanto concerne l’ambito di applicazione territoriale del GDPR, posto che questo si applica alla Banca quando questa ha sede decisionale nel territorio dell’Unione ed in tale territorio tratta i dati personali, altri due scenari possono essere possibili: a) la Banca ha la propria sede decisionale all’interno del territorio dell’Unione ma tratta i dati personali al di fuori dell’ambito europeo; b) la Banca ha la propria sede fuori dall’Unione e tratta i dati personali degli interessati che invece si trovano nel territorio dell’Unione.
In entrambi i casi il Regolamento (UE) 2016/679 trova piena applicazione relativamente al trattamento dei dati personali.
Per l’interessato è importantissimo sapere con certezza chi è il Titolare del trattamento dei propri dati personali anche nell’ottica dei diritti che l’interessato può fare valere nei suoi confronti avanti l’Autorità Giudiziaria o di Controllo.
La liceità del trattamento
Come tutti i titolari del trattamento anche la Banca è obbligata a trattare i dati personali degli interessati in maniera lecita.
La questione non è di poco conto se pensiamo che l’illiceità del trattamento ha come conseguenza da un lato l’inutilizzabilità di quei dati personali, e dall’altro la possibilità che l’interessato abbia subito un danno da tale illecito trattamento con conseguente possibilità di richiesta risarcitoria.
Se è vero che il divieto di utilizzare dati personali trattati illecitamente non è direttamente collegato ad alcuna sanzione, è altrettanto vero che l’interessato potrebbe richiedere alla Banca la limitazione del trattamento di tali dati ai sensi dell’art. 18 § 1 lettera b) del Regolamento (UE) 2016/679.
GDPR e PSD2, il nodo del consenso: ecco le sfide per il settore bancario
Il trattamento di categorie particolari di dati personali
Il Regolamento (UE) 2016/679 supera la classica definizione di dato comune e dato sensibile contenuta nel Codice Privacy introducendo il concetto più ampio di dato personale.
L’art. 4 paragrafo 1 del GDPR definisce il dato personale come qualsiasi informazione riguardante una persona fisica identificata o identificabile. All’interno della categoria di dato personale vi è poi quella del dato personale particolare che il Codice Privacy definiva dato sensibile.
Parliamo di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici e biometrici, quelli relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.
Il Regolamento (UE) 2016/679 prevede espressamente una specifica protezione per questi dati che, per loro natura, vengono definiti sensibili sotto il profilo dei diritti e delle libertà fondamentali: il loro trattamento, infatti, potrebbe creare rischi significativi per i diritti e le libertà dell’individuo.
In ambito bancario pensiamo per esempio al conto corrente intestato ad un partito politico e le relative movimentazioni effettuate dal tesoriere, a mutui o finanziamenti erogati a persone politicamente esposte, a movimentazioni di denaro da o verso associazioni sindacali, a pagamenti effettuati per prestazioni sanitarie, ad elargizioni di denaro verso movimenti religiosi o verso associazioni a difesa dei diritti di categorie di persone o alla concessione verso i dipendenti dei benefici di cui alla L. n. 104/92.
In linea generale il GDPR vieta il trattamento di tali dati a tutela e a salvaguardia dell’interessato i cui diritti e le cui libertà fondamentali vanno protetti. Poiché però uno degli obiettivi perseguiti dal GDPR è quello di contribuire all’unione economica, al suo progresso e al rafforzamento delle economie dell’Unione, il legislatore ha previsto per il Titolare del trattamento la possibilità di trattare i dati personali particolari in alcuni casi tassativamente elencati dall’art. 9.
Il trattamento di dati sensibili nel contesto bancario
Concentriamoci sui casi per cui è concesso il trattamento dei dati personali particolari dell’interessato nella realtà della Banca.
In primo luogo, tale possibilità viene riconosciuta quando l’interessato ha prestato il proprio consenso. La base giuridica del trattamento di tali dati è quindi quella prevista dall’art. 6 paragrafo 1 lettera a).
Il consenso deve essere informato, vale a dire, deve essere espresso in modo esplicito, chiaro e trasparente e non può essere generalizzato ma deve essere reso per una o più finalità specifiche.
In altre parole, la Banca per poter trattare tale categoria di dati deve fornire, di volta in volta, all’interessato tutta una serie di informazioni sulla finalità del trattamento: e tante saranno le finalità quante dovranno essere le informazioni rese e i consensi raccolti.
Se la Banca intende conservare e/o comunicare a terzi soggetti, per esempio Società di servizi collegate all’Istituto di Credito, dati personali particolari l’interessato dovrà essere informato della finalità di tali trattamenti e dovrà essere libero di prestare o meno il proprio consenso che, se negato, determinerà l’impossibilità per la Banca di conservare tali dati e comunicarli a terzi, fatta eccezione per gli obblighi di legge a cui l’Istituto di Credito non può sottrarsi e che possono imporre particolari trattamenti dei dati.
Un altro caso in cui il Titolare del trattamento può trattare i dati particolari dell’interessato si verifica quando il trattamento è necessario per assolvere obblighi ed esercitare i propri diritti in materia di lavoro e di sicurezza. Pensiamo alla Banca e ai suoi dipendenti: una busta paga può contenere dati particolari sull’appartenenza sindacale (versamento mensile di quota associativa), sulla salute (godimento dei benefici di cui alla Legge n. 104/92 per l’assistenza ad un familiare ammalato o disabile). In questi casi la Banca può trattare tali dati perché chiamata ad assolvere obblighi di legge in materia di diritto del lavoro e previdenza sociale purché tali obblighi siano previsti da normative nazionali o comunitarie e dai contratti collettivi nazionali di lavoro.
La Banca può trattare i dati particolari dell’interessato quando questi siano stati resi manifestamente pubblici dallo stesso interessato. Non dimentichiamo, però, che il trattamento di tali dati è lecito solo ed esclusivamente se necessario al perseguimento delle finalità che la Banca si è posta di raggiungere e che tali finalità devono essere portate a conoscenza degli interessati che devono essere adeguatamente informati. Un altro caso di lecito trattamento di tale categoria di dati si ha quando è necessario per accertare, esercitare o difendere un diritto del Titolare del trattamento in sede giudiziaria o ogniqualvolta le Autorità Giurisdizionali esercitino le loro funzioni.
Quando la Banca si trova avanti all’Autorità Giudiziaria per tutelare un proprio diritto, indipendentemente dal fatto che abbia introitato il giudizio o sia stata chiamata a difendersi, può trattare i dati particolari sempre nel rispetto dei principi di necessità e proporzionalità, non eccedendo nel trattamento ma limitandolo alla sola finalità di tutela del proprio diritto in ambito giudiziario.
In altre parole, se il cliente della Banca cita in giudizio l’Istituto contestando un rapporto di conto corrente ove sono riscontrabili dati personali particolari, alla Banca sarà consentito il trattamento di tali dati particolari solo ed esclusivamente se funzionali al giudizio e alla tutela del proprio diritto; in caso contrario si avrà un illecito trattamento dei dati.
La Banca, inoltre, può trattare i dati particolari quando ciò si rende necessario per offrire la collaborazione richiesta dalle Autorità giurisdizionali nell’ambito di indagini svolte e più in generale nell’esercizio delle loro funzioni.
Diritti dell’interessato
Il GDPR dedica il Capo III ai diritti dell’interessato elencandoli dall’art. 12 all’art. 23. Suddiviso in 5 sezioni definisce i concetti di trasparenza e modalità delle informazioni, l’accesso ai dati personali da parte dell’interessato, la rettifica e la cancellazione dei dati personali, il diritto di opporsi al trattamento e il processo decisionale automatizzato relativo alle persone fisiche compresa la profilazione e infine le limitazioni che i diritti dell’interessato possono subire.
Non può esistere trattamento lecito dei dati personali dell’interessato senza che quest’ultimo venga adeguatamente informato sui suoi diritti e sulle varie possibilità di esercitare il controllo sui propri dati personali. L’art. 12 del GDPR fornisce un primo importante chiarimento in ordine alle informazioni che debbono essere rese dal titolare del trattamento all’interessato, alle comunicazioni che ugualmente vanno rese e alle modalità che devono essere adottate dal Titolare del trattamento nel rispetto del fondamentale principio di trasparenza. Le informazioni vanno rese sia quando i dati personali sono raccolti presso l’interessato, sia quando vengono raccolti con altre modalità. Quando l’interessato si reca presso la Banca e i suoi dati devono essere trattati per l’apertura di un conto corrente, il rilascio di una carta di credito o di debito, l’istruttoria per una pratica di finanziamento, per esempio, la Banca è obbligata a fornirgli le informazioni e le comunicazioni previste dal GDPR e dal D.lgs. n. 101/2018 che ha adeguato la normativa nazionale alla disciplina europea sulla protezione dei dati personali prevista dal Regolamento (UE) 2016/679.
Le informazioni devono essere rese prima che i dati siano trattati anche perché l’interessato deve essere messo nella condizione di poter decidere se continuare il rapporto con l’Istituto di credito consentendo, conseguentemente, il trattamento dei propri dati personali.
Privacy by design e by default
Il Regolamento (UE) 2016/679 ha imposto al Titolare del trattamento l’adozione di misure tecniche ed organizzative adeguate allo scopo di evitare il trattamento illecito dei dati personali.
L’art. 25 del GDPR nello specifico introduce il principio di privacy by design e privacy by default che rappresenta una delle novità concettuali introdotte dal GDPR che impone ai Titolari di trattamento un cambio di passo in ambito della protezione dei dati personali; questi ultimi infatti devono avviare sin da subito un progetto che preveda gli strumenti e le corrette impostazioni a tutela dei dati personali .
L’articolo in questione evidenzia l’approccio del legislatore europeo che è centrato sulla valutazione del rischio (risk based approach) attraverso il quale viene determinata e gradata la responsabilità del Titolare del trattamento (o del responsabile del trattamento), tenendo conto dello stato dell’arte e dei costi di attuazione, della natura, dell’ambito di applicazione del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.
La privacy by design, in sostanza, si basa sulla valutazione del rischio per cui il Titolare del trattamento dovrà necessariamente valutare il rischio inerente alla sua attività. Quando parliamo di attività in ambito GDPR ci riferiamo a quelle principali svolte dal Titolare del trattamento con esclusione di tutte le attività secondarie funzionali allo svolgimento di quella principale. Ai sensi dell’art. 10 del Testo Unico Bancario (c.d. TUB), per esempio, la Banca svolge in via esclusiva l’attività di raccolta del risparmio tra il pubblico e quella di esercizio del credito nei confronti di terzi. Queste possono certamente definirsi attività principali che possono dare vita ad altre attività connesse e strumentali all’esercizio dell’intermediazione creditizia, egualmente definibili come principali, quali i servizi di pagamento e di custodia oltre ai servizi di investimento con esclusione della gestione collettiva del risparmio. La valutazione del rischio sarà differente per una Banca d’affari che ha come attività principali quella della partecipazione al capitale delle imprese, il collocamento di azioni, obbligazioni e cartolarizzazioni, nonché l’erogazione di sevizi di consulenza alle imprese e ai governi. E differente sarà la valutazione del rischio da parte di una Banca di credito cooperativo, piuttosto che una Banca Popolare, o una Banca virtuale che si caratterizza per l’erogazione di servizi e di gestione della clientela senza il contatto fisico ma solo attraverso l’utilizzo di tecnologie digitali (c.d. phone banking, home banking e internet banking).
La Banca dovrà svolgere la valutazione del rischio al momento della progettazione del sistema cioè prima che il trattamento abbia inizio tenendo conto della tipologia dei dati trattati, e della tecnologia del momento.
Per quanto concerne il principio di privacy by default, cioè la protezione per impostazione predefinita, questo prevede per l’appunto che per impostazione predefinita il Titolare del trattamento dovrebbe trattare solamente i dati personali nella misura necessaria per la realizzazione delle finalità previste e per il periodo strettamente necessario alla realizzazione di tali finalità.
La Banca, in qualità di titolare del trattamento, dovrà pertanto dotarsi di un documento di privacy by design e by default. Attraverso tale documento, che non dovrà essere pubblico ma che la Banca ha l’obbligo di tenere a disposizione della Autorità di controllo, il Titolare del trattamento descriverà in maniera dettagliata le misure adeguate e l’organizzazione che intende mettere in campo per proteggere i dati personali dell’interessato sin dalla progettazione dei vari trattamenti e per impostazione definita. Tale documento dovrà necessariamente elencare i principi di protezione dei dati personali applicati dal Titolare del trattamento come quello della trasparenza e della minimizzazione dei dati. La Banca dovrà altresì individuare ed indicare una valida base giuridica per il trattamento dei dati personali e le misure tecniche ed organizzative scelte dal Titolare del trattamento dovranno essere capaci di garantire che per l’intero ciclo di vita del trattamento la base giuridica applicata sia corretta. A tale proposito ricordiamo l’esempio riportato dal EDPB nelle linee Guida sulla privacy by design e by default proprio sul sistema bancario.
Una Banca intende offrire un servizio alla clientela per migliorare l’efficienza nella gestione delle richieste di prestito. L’idea è quella di richiedere il consenso al cliente per poter accedere alla banca dati delle autorità fiscali e lì trovare i dati personali del cliente necessari per offrire il servizio. Se è vero che i dati personali sulla situazione finanziaria dell’interessato sono necessari per poter effettuare tutta una attività di istruttoria prodromica alla stipula di un contratto di prestito, è altrettanto vero che la raccolta di dati personali direttamente dall’amministrazione fiscale non può essere considerata necessaria poiché il cliente può stipulare un contratto fornendo lui stesso le informazioni che la Banca avrebbe potuto ottenere dalle Autorità fiscali. Sebbene la Banca possa avere un legittimo interesse ad acquisire la documentazione direttamente dalle Autorità fiscali, ad esempio per garantire l’efficienza nell’elaborazione del prestito, l’accesso diretto che la Baca avrebbe presso i data base delle Autorità fiscali presenterebbe un rischio legato all’uso o al potenziale abuso di tale diritto. Ecco, quindi, che nell’attuare il principio di liceità il Titolare del trattamento non può in quel contesto utilizzare la base giuridica del contratto per quella parte del trattamento che prevede la raccolta di dati personali direttamente dalle autorità fiscali. Ciò perché in questo caso il trattamento dei dati presenta il forte rischio che l’interessato sia meno coinvolto nel trattamento dei proprio dati personali e che pertanto venga tradito proprio il principio di liceità. Per quel trattamento legato alla finalità di quel servizio la Banca deve affidarsi ad un’altra base giuridica che potrà essere quella del consenso informato qualora, per esempio, nello Stato membro presso cui ha la sede la Banca esistono norme nazionali che consento alla Banca di raccogliere informazioni direttamente dalle autorità fiscali pubbliche previso consenso anticipato dell’interessato.
Il documento dovrà inoltre prevedere l’applicazione del principio di equità, che richiede che i dati personali non debbano essere trattati in modo da recare danno, nonché quello della limitazione dello scopo.
Data Breach
Il GDPR ha introdotto l’obbligo nei confronti del Titolare del trattamento di notificare una violazione dei dati personali all’autorità di controllo competente ai sensi dell’art. 55 ed in alcuni casi di comunicare la violazione alle singole persone fisiche i cui dati personali sono stati interessati dalla violazione.
In ambito bancario siamo in presenza di perdita di dati personali quando vi è un furto di un database contenente dati dei clienti. Oppure quando l’unica copia di un insieme di dati personali venga crittografata da un ransomware o da altro soggetto non autorizzato.
La conseguenza immediata della violazione è che il Titolare del trattamento non è più in grado di garantire l’osservanza dei principi relativi al trattamento dei dati personali di cui all’articolo 5 del regolamento. Le violazioni possono essere classificate in base a tre principi: a) violazione della riservatezza; b) violazione dell’integrità; c) violazione della disponibilità.
Ogni qualvolta ci si trova di fronte ad una violazione dei dati personali il Regolamento (UE) 2016/679 impone al Titolare del trattamento di notificare la violazione all’Autorità di controllo tranne il caso in cui risulti improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.
Appare di fondamentale importanza che il Titolare del trattamento sia in grado di identificare la violazione, valutare il rischio per le persone fisiche e, conseguentemente, effettuare la notifica.
L’omessa notifica comporterà che l’Autorità di controllo si troverà ad effettuare una scelta e a prendere in considerazione tutte le misure correttive adeguate a sua disposizione, tra cui l’imposizione di una sanzione amministrativa pecuniaria appropriata, in associazione a una misura correttiva ai sensi dell’articolo 58, paragrafo 2, oppure come sanzione indipendente. Quando il Titolare del trattamento viene a conoscenza di una violazione dei dati personali l’art. 33, paragrafo 1 del GDPR impone allo stesso Titolare di notificare tale violazione senza ingiustificato ritardo e, ove possibile, entro le 72 ore dal momento della conoscenza di tale violazione.
La procedura da adottare è la seguente: applicazione delle misure tecniche ed organizzative adeguate a proteggere i dati personali e stabilire immediatamente se si è verificata una violazione; in caso affermativo tempestiva notifica all’Autorità di controllo ed eventuale comunicazione agli interessati. Non solo ma il Titolare del trattamento deve anche applicare tutte le misure necessarie per assicurarsi di venire “a conoscenza” di eventuali violazioni in maniera tempestiva in modo da poter adottare le misure appropriate.
La Banca, in quanto Titolare del trattamento, dovrebbe disporre di procedure interne per poter rilevare una violazione e porvi rimedio. Tali meccanismi di segnalazioni dovrebbero essere dettagliati ed inseriti nei piani di intervento della Banca e nei documenti di governance. La Banca deve poi sottoscrivere precisi e stringenti accordi con i responsabili del trattamento ai quali ricorre abitualmente (per es. Società di servizi) i quali, a loro volta, hanno l’obbligo di notificare al Titolare del tratta-mento eventuali violazioni.
La notifica all’Autorità di controllo deve prevedere almeno quattro informazioni essenziali e cioè una descrizione della natura della violazione, l’indicazione del nome e dei dati di contatto del Responsabile della protezione dei dati (DPO), la descrizione delle probabili conseguenze e delle misure adottate e di quelle di cui si propone l’adozione per rimediare alla violazione dei dati personali.
Se è vero che il GDPR non definisce le categorie di interessati né le registrazioni di dati personali, il Gruppo dei 29 precisa che le categorie di interessati si riferiscono ai vari tipi di persone fisiche i cui dati personali sono stati oggetto di violazione e che le categorie di registrazioni dei dati personali fanno riferimento ai diversi tipi che il titolare del trattamento può trattare tra cui i numeri conti bancari.
L’art. 34 del Regolamento (UE) 2016/679 prevede che in alcuni casi, oltre ad effettuare la notifica all’Autorità di controllo, il Titolare del trattamento debba comunicare la violazione alle persone fisiche interessate: ciò quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà personali delle persone fisiche.
Tale comunicazione deve avvenire senza ingiustificato ritardo in modo che gli interessati possano applicare tutte le misure necessarie per la protezione dei loro dati personali.
La comunicazione deve avvenire con un linguaggio semplice e chiaro e deve contenere almeno quattro informazioni: nome e dati di contatto del responsabile della protezione dei dati (DPO) o di altro punto di contatto, descrizione della natura della violazione, delle probabili conseguenze della violazione e delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione.
La violazione deve essere comunicata direttamente agli interessati coinvolti a meno che ciò richieda uno sforzo sproporzionato. In questo caso si procede ad una comunicazione pubblica o a una misura simile che permetta di informare gli interessati con eguale efficacia.
Tale situazione è frequente nel mondo bancario che, spesso, si trova a dover fare fronte all’obbligo di comunicazione ad un numero imponente di clienti. In questo caso il GDPR consente alla Banca di valutare la possibilità di una procedura di comunicazione massiva che contemperi esigenza degli interessati di essere informati dell’avvenuta data breach e della Banca di non perdersi dietro rivoli di raccomanda-te, pec o indirizzi mail.
L’art. 34, paragrafo 3, elenca tre condizioni al verificarsi delle quali il Titolare del trattamento non deve invece procedere alla comunicazione agli interessati e precisamente: 1) il Titolare del trattamento ha applicato misure tecniche e organizzative adeguate per proteggere i dati personali prima della violazione, in particolare misure adeguate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi; 2) immediatamente dopo una violazione, il titolare del trattamento ha adottato misure destinate a garantire che non sia più probabile che si concretizzi l’elevato rischio posto ai diritti e alle libertà delle persone fisiche; 3) contattare gli interessati richiederebbe uno sforzo sproporzionato.
Indipendentemente dal fatto che una violazione debba o meno essere notificata, il Titolare del trattamento deve conservare la documentazione di tutte le violazioni.
Il Responsabile della Protezione dei dati (DPO)
Il DPO è il soggetto designato dal Titolare del trattamento o dal Responsabile del trattamento che deve affiancare e supportare tali soggetti nel delicato compito dell’osservanza del Regolamento (UE) 2016/679.
È indubbio che la Banca svolga operazioni di trattamento dei dati personali su larga scala per esempio quando tratta dati relativi alla propria clientela nell’ambito della ordinaria attività. Del resto, se è vero che il GDPR non fornisce una definizione di larga scala è altrettanto vero che il considerando n. 91 fornisce chiare indicazioni specificando che sono trattamenti su larga scala quelli “che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.
È altrettanto evidente che la Banca svolge anche attività di monitoraggio regolare e sistematico, per esempio, quando tratta dati personali per la profilazione e lo scoring dei clienti per valutare il rischio creditizio, piuttosto che per la prevenzione di frodi o accertamento di fattispecie di riciclaggio.
La Banca è quindi obbligata alla nomina del Responsabile della Protezione dei dati. L’art. 39 del GDPR elenca una serie di compiti minimi che il Responsabile della protezione dei dati è chiamato ad assolvere. Innanzitutto, il DPO deve informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati sugli obblighi previsti dal GDPR, nonché dalla normativa Europea e dei singoli Stati membri, in ordine alla protezione dei da-ti. Inoltre deve sorvegliare l’osservanza del GDPR affiancando Titolare e Responsabile.
Per poter controllare l’applicazione del GDPR, il DPO deve poter raccogliere le informazioni per individuare i vari trattamenti svolti e verificare la conformità al GDPR di tali trattamenti e svolgere periodica attivi.
Il controllo non significa responsabilità in capo al DPO in caso di inosservanza delle norme del Regolamento. L’art. 24, paragrafo 1 del GDPR chiarisce che spetta al Titolare del trattamento (e non al DPO) mettere in atto tutte quelle misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrare che il tratta-mento è effettuato conformemente al Regolamento (UE) 2016/679.
Il GDPR attribuisce al DPO un ruolo importantissimo nella valutazione di impatto sulla protezione dei dati. L’art. 35, paragrafo 1, stabilisce che il Titolare del trattamento, quando necessario, conduce una valutazione di impatto sulla protezione dei dati personali (c.d. DPIA acronimo inglese di Data Protection Impact Assessment). Il DPO assiste il Titolare nella realizzazione della DPIA tanto che, in ossequio al principio di “protezione dei dati fin dalla fase di progettazione” (data protection by design), l’articolo 35, paragrafo 2, prevede in modo specifico che il titolare “si consulta” con il DPO quando svolge una DPIA. A sua volta, l’articolo 39, paragrafo 1, lettera c) affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.
Il DPO deve anche cooperare con l’Autorità di controllo e fungere da punto di contatto per la stessa Autorità per tutte le questioni connesse al trattamento dei dati, tra cui la consultazione preventiva prevista dall’art. 36.
Il trasferimento di dati personali verso paesi terzi
La Banca, quale Titolare del trattamento, può trovarsi nella necessità di voler o dover trasferire i dati personali degli interessati verso Paesi terzi o organizzazioni internazionali.
Tali trasferimenti possono avere come oggetto sia dati personali che sono già stati trattati (si pensi alla lista dei titolari di conto corrente e dei relativi documenti necessari all’apertura di tali conti), sia dati personali che successivamente al trasferimento saranno oggetto di trattamento (per esempio dati di contatto di possibili clienti trasmessi ad una sede della Banca sita in un paese terzo al fine di compiere operazioni di marketing o di profilazione) e possono avere luogo solo se Titolare e Responsabile del trattamento rispettano tutte le norme previste dal GDPR .
Il Regolamento (UE) 2016/679 non offre una definizione di trasferimento di dati né la Corte di Giustizia europea ha sopperito a tale lacuna; tuttavia, è opinione comune che un flusso transfrontaliero è costituito da un trasferimento di dati verso un destinatario soggetto ad una giurisdizione straniera.
La giurisprudenza europea ha chiarito che non può considerarsi trasferimento all’estero la semplice pubblicazione di dati personali su un sito internet; ciò perché nel momento in cui vengono pubblicati dati sulla rete non si è più in presenza di un trasferimento verso un singolo Paese ma verso il mondo intero e pertanto il regime normativo speciale previsto dal GDPR per il trasferimento verso il singolo Stato diventerebbe un regime normativo generale perdendo le sue peculiarità. In definitiva, quindi, si è in presenza di un flusso transfrontaliero di dati quando questi vengono comunicati direttamente a specifici destinatari.
Se la Banca vuole operare un trasferimento di dati all’estero deve applicare una corretta base giuridica e deve ottemperare alle disposizioni previste dal Capo V del GDPR.
In linea generale mentre la circolazione dei dati personali all’interno del territorio dell’Unione è sempre consentita, al di fuori di tale ambito i trasferimenti sono generalmente vietati a meno che non intervengano determinate garanzie a sostegno di tali trasferimenti.
L’art. 44 del GDPR stabilisce che tali trasferimenti sono consentiti solo in determinate circostanze e solo verso due categorie di destinatari: a) altri Paesi; b) Organizzazioni internazionali (Banca Mondiale, Ocse, ONU, FAO, WTO ecc.).
L’art. 45 del GDPR introduce il requisito dell’adeguatezza che consente di verificare quando un Paese terzo garantisce un livello di protezione dei dati personali adeguato a quello europeo; in tale caso il trasferimento è consentito.
Il primo caso in cui viene consentito il trasferimento di dati all’estero si ha quando la Commissione europea decide che il Pese terzo o l’Organismo Internazionale, garantisce un livello di protezione adeguato. In questo caso il trasferimento non necessita di autorizzazioni specifiche.
La Commissione effettua tale valutazione sulla base di alcuni parametri che vengono considerati e studiati quali il rispetto dei diritti umani e delle libertà fondamentali, lo stato di diritto, la legislazione dello Stato estero in materia di sicurezza pubblica e difesa, le norme in materia di protezione dei dati personali, l’esistenza di una Autorità di controllo e al sua indipendenza, l’esistenza di convenzioni internazionali o di altri accordi in materia di protezione dei dati personali che riguardano lo Stato estero.
In sostanza il cliente della Banca deve essere informato della possibilità del trasferimento dei propri dati personali all’estero, delle finalità di tale trasferimento, del trattamento dei propri dati e dei Paesi verso i quali il trasferimento può avvenire. Deve quindi essere portato a conoscenza della esistenza o meno di una decisione di adeguatezza verso ciascuno dei Paesi terzi e, in assenza di tale decisione, deve essere adeguatamente informato circa le garanzie offerte per la protezione dei propri dati personali verso quel Paese terzo e deve essere messo nella condizione di conoscere quali sono i diritti che può far valere nel Paese terzo e con quali modalità; inoltre dovrà essere portato a conoscenza dell’eventuale parere reso alla Commissione europea dal Gruppo dei 29, oggi EDPB
Solo dopo avere ricevuto tutte le informazioni che abbiamo elencato sarà in grado di prestare un valido consenso informato che potrà consentire alla Banca il trasferimento dei suoi dati personali verso l’estero.
Le misure di sicurezza
L’art. 5 §1 lettera f) del GDPR, stabilisce che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.
Sono i c.d. principi di integrità e di riservatezza per cui è il trattamento nella sua interezza che deve essere sicuro e non solo i singoli dati come risultato finale.
Ecco, quindi, che per ogni tipologia di trattamento la Banca dovrà svolgere valutazioni sulla sicurezza e dovrà mettere in campo le misure adeguate a quella tipologia di trattamento. Tutta la filiera del trattamento va garantita e protetta.
L’art. 32 del Regolamento (UE) 2016/679 si occupa di specificare le misure di sicurezza che devono essere approntate sulla base dello stato dell’arte, dei costi di attuazione, della natura, oggetto, contesto e finalità del trattamento nonché della probabilità e della gravità del rischio.
I quattro tipi di rischio che la Banca deve valutare
E proprio a proposito del rischio, la Banca dovrà effettuare la stima del rischio complessivo che grava sui vari trattamenti valutando sostanzialmente quattro tipi di rischi:
- quello connesso alla tipologia di dati trattati (e quelli bancari sono dati personali molto importanti e come tali molto “ambiti” dalla criminalità);
- quello dovuto agli strumenti impiegati per il trattamento dei dati (dove è allocata la strumentazione, chi è autorizzato ad accedere in quei luoghi, guasti tecnici delle apparecchiature, errori o difetti nei sistemi operativi, penetrabilità delle reti di comunicazione, possibilità di sabotaggi o errori umani, gestione delle risorse dei dati);
- quello relativo agli operatori (sottrazione delle credenziali di autenticazione, carenza di formazione, slealtà, possibilità di errore materiale;
- quello derivante dal contesto nel quale vengono tratti i dati (vetustà dell’immobile ove vengono trattati i dati, mancata vigilanza sull’accesso all’immobile e agli uffici).
Il GDPR divide le misure di sicurezza in due categorie: le misure organizzative e quelle tecniche e a proposito di queste ultime vi ricomprende: 1) la pseudonimizzazione e la cifratura dei dati personali; 2) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei ser-vizi di trattamento; 3) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; 4) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Per ogni rischio la Banca deve saper individuare la probabilità che si verifichi e la sua gravità in modo da poter applicare le misure di sicurezza adeguate a mitigare il rischio.
Il GDPR guarda alla sicurezza anche sotto il profilo organizzativo, e non solamente informatico, per cui la Banca deve organizzare i propri uffici in modo da limitare al massimo il rischio di sottrazione o perdita di documenti.
Dovrà quindi adottare misure di sicurezza che dovranno garantire l’accesso ai dati personali solo a soggetti autorizzati, la completezza e l’accuratezza dei dati personali trattati per la specifica finalità e l’accessibilità nonché l’utilizzabilità di tali dati personali fornendo prova di essere in grado di recuperare e ripristinate in tempi rapidi tali dati in caso di perdita, modifica o distruzione limitando al massimo i danni alle persone.
Per approntare misure di sicurezza fisiche è necessario valutare alcuni importanti fattorie quali, ad esempio, la qualità delle porte e delle serrature e la protezione dei locali con allarmi, illuminazione di sicurezza o telecamere, l’accesso ai locali e il controllo dei visitatori, il corretto smaltimento dei rifiuti cartacei ed elettronici, la sicurezza delle apparecchiature informatiche con particolare attenzione ai dispositivi mobili.
Per quanto riguarda la sicurezza informatica si rende necessario almeno valutare la sicurezza della rete e dei sistemi di informazione (c.d. sistemi di autenticazione), la sicurezza dei dati conservati nel sistema (c.d. controlli di accesso, la sicurezza online [sito web e/o applicazioni online]), nonché la sicurezza dei dispositivi, in particolare quelli personali se usati per motivi aziendali.
La Banca dovrà procedere alla configurazione dei sistemi di autenticazione in modo da poter controllare gli accessi ai dispositivi e agli applicativi tramite credenziali (username e password).
Le regole applicate dalla Banca in tema di password devono essere chiare e definite in un documento con indicazione della lunghezza minima e dei criteri per la scelta di tale password.
Vi sono poi una serie di misure particolari che la Banca adotta proprio in considerazione dei trattamenti specifici svolti e delle relative finalità perseguite, al fine di garantire la protezione delle aree e dei locali dove si svolge il trattamento dei dati personali, la corretta archiviazione e la custodia di atti, documenti e supporti contenenti dati personali, la sicurezza logica dei dati e degli strumenti di trattamento nell’ambito degli strumenti elettronici.
La Banca deve poi prevedere un piano di verifica periodico delle misure di sicurezza adottate che, visto anche il veloce progresso tecnologico che attraversa la nostra società, non potrà avere cadenza temporale superiore a dodici mesi.