La protezione dei dati personali è un tema di cruciale importanza per gli operatori del settore bancario/finanziario dal momento che garantire la riservatezza e la sicurezza dei dati, inclusi i dati personali, oltre a evitare di incorrere nelle sanzioni previste dal Gdpr, può divenire un elemento competitivo.
Con la crescente digitalizzazione delle operazioni e gli impatti sempre più devastanti dei data breach, per gli intermediari del settore economico/finanziario è infatti cruciale evitare debolezze che possano portare a una perdita di fiducia da parte degli utenti. Perdita generata a seguito di una scelta negativa o di un errore operativo, allorquando la notizia dell’avvenuta violazione giunge, anche attraverso i sempre più attenti organi di stampa, all’attenzione di clienti, soci e, non ultimi, i competitors che possono utilizzare tale debolezza quale strumento di rafforzamento della propria immagine e quindi migliorare la propria capacità di attirare clienti.
Il rischio reputazionale
Inoltre non si deve dimenticare che gli operatori del settore bancario/finanziario devono porre un’attenzione particolare al rischio reputazionale che può derivare da disfunzioni operative, inadempimenti legali e regolamentari e che viene inteso, secondo l’approccio della Vigilanza, come:
• la possibilità che la diffusione di notizie negative, veritiere o meno, concernenti le modalità di gestione o le connessioni di una banca/intermediario, intacchino la fiducia nella sua integrità;
• il rischio attuale o prospettico di flessione degli utili o del capitale derivante da una percezione negativa dell’immagine della banca/intermediario da parte dei clienti, soci, controparti, investitori o Autorità di Vigilanza (Banca d’Italia 2006);
• un aumento dei rischi operativi che incide negativamente sul rapporto patrimonio di vigilanza/impegni dell’Intermediario.
Il rischio di furto di identità
In sintesi, quindi, possiamo affermare che in caso di violazione delle norme poste a tutela del trattamento dei dati personali, anche a seguito di attacchi cyber, il rischio reputazionale dovrà essere considerato come rischio di secondo livello in quanto derivante da eventi sfavorevoli che dobbiamo necessariamente ricondurre ad altre tipologie di rischio, che possono interessare altre aree (legale, compliance, operativa etc.).
In questo ambito, dovendo considerare la tipologia dei dati e della documentazione che un Intermediario deve raccogliere, e conseguentemente trattare e conservare, per l’esecuzione di un contratto, è doveroso accennare al fenomeno del “furto d’identità”.
Nell’ottica della protezione dei dati personali, infatti, il furto d’identità emerge come conseguenza di un data breach e, quindi, deve essere considerato come ipotesi di rischio.
A tal proposito il Regolamento Europeo fa esplicitamente riferimento al furto d’identità nei Considerando, tra i quali il n. 85 specifica:
“Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
In questi casi è ovviamente riconosciuta la possibilità agli interessati di fare ricorso nei confronti del titolare del trattamento o del responsabile onde ottenere un risarcimento, così come previsto dall’articolo 82 del Regolamento che disciplina nello specifico il risarcimento del danno per violazione della privacy.
Esso sancisce, al primo paragrafo, che chiunque subisca un danno materiale o immateriale (patrimoniale o non patrimoniale) causato da una violazione del regolamento, ha diritto ad ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.
Da questo punto di vista sussiste l’inversione dell’onere probatorio, ovvero spetta al titolare o responsabile del trattamento dei dati dimostrare che l’evento dannoso non è imputabile alla sua persona o di aver adottato tutte le misure idonee per evitarlo.
La corretta gestione dell’adeguamento alla normativa privacy
Possiamo quindi immaginare il notevole danno economico, inteso quale risarcimento danni agli interessati, a cui può andare incontro un Intermediario nel caso in cui il furto d’identità dovesse coinvolgere un potenziale numero di clienti e lo stesso Intermediario non fosse in grado di dimostrare di aver adottato tutte le misure necessarie ad evitare o attenuare il data breach.
La corretta gestione dell’adeguamento alla normativa privacy, non può che avere quindi quale punto di partenza l’esatta interpretazione e applicazione del principio di accountability[1] inteso, non solo quale responsabilizzazione del titolare del trattamento, bensì come la capacità di rendere conto delle scelte effettuate.
E’ quindi innegabile che non sarà sufficiente limitare il proprio intervento con la predisposizione di documentazione più o meno compliance, ma la stessa dovrà essere, studiata, strutturata e correttamente divulgata[2], in base alla propria realtà operativa e organizzativa allo scopo di rispettare i due concetti fondamentali della privacy by design e della privacy by default, introdotti dal GDPR all’articolo 25, che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali che si intende trattare.
Si tratta, a ben vedere, di un necessario e quanto mai urgente cambio di mentalità che deve passare da quell’approccio applicativo che imponeva la precedente normativa – la quale indicava le azioni da intraprendere – alla nuova che, invece, richiede una condotta proattiva dettando i principi fondamentali e lasciando margine di manovra imponendo, però, una maggior presa di coscienza laddove viene richiesto di dover essere in grado di documentare, ovvero comprovare, ogni decisione presa. Il titolare dovrà quindi sforzarsi di attuare, anche attraverso la sensibilizzazione e la formazione[3] di tutta la sua struttura interna, una metodologia coerente con la propria attività, posto che la corretta progettazione rappresenta la prima misura atta a garantire un livello di sicurezza adeguato al rischio del trattamento.
Gli strumenti necessari per la compliance Gdpr
Ma quali sono gli strumenti obbligatori iniziali che se impostati con attenzione, possono rappresentare un primo step verso quelle misure di sicurezza necessarie ad un buon presidio del rischio di non conformità a tutta la disciplina privacy?
Iniziamo con gli atti di informazione che sono i documenti indispensabili che necessitano di un’attenta divulgazione anche attraverso i propri siti istituzionali . È bene precisare che qualora il fondamento di liceità del trattamento sia il consenso, dovrà essere consegnata o prelevata dagli interessati un’informativa e quindi ottenere il relativo consenso, nel rispetto delle procedure interne e delle istruzioni ricevute, prima che il trattamento abbia inizio. Il consenso deve essere libero, specifico e informato, manifestato tramite un’azione positiva inequivocabile e richiesto separatamente per ogni finalità del trattamento:
- Gli atti di informazione da far sottoscrivere a soci e clienti: i contenuti dell’informativa sono elencati negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento. In particolare, il titolare dovrà sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer) la base giuridica del trattamento, i tempi di conservazione dei dati, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti;
- Gli atti di informazione al personale dipendente[4]: il documento dovrà contenere, oltre ai dati di cui al punto precedente, anche l’indicazione dell’eventuale consulente del lavoro che elabora le paghe, indicando gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali.
- Gli atti di informazione da far sottoscrivere agli esponenti aziendali.
Le lettere di nomina:
- Le lettere di nomina a responsabile esterno[5] dei fornitori, quando questi ultimi trattano i dati per conto del titolare. Il responsabile del trattamento dati è un soggetto esterno che esegue, in base a un contratto/convenzione o altro atto giuridico, dei trattamenti di dati personali per conto del titolare e ne risponde in solido in caso di inadempienze. Al Responsabile spettano tutti i compiti del Titolare all’interno del proprio organismo (valutazione impatto, registro dei trattamenti, eventuale nomina del Responsabile della Protezione Dati, ecc.)
- Le lettere di incarico al personale dipendente che dovranno essere predisposte partendo dalla mappature delle singole autorizzazioni esistenti, oltre che dall’analisi delle specifiche tipologie di dati che gli stessi sono chiamati a trattare. A tale scopo si devono considerare i vari ambiti di trattamento che competono ad ogni struttura e l’individuazione dei soggetti “incaricati” dei trattamenti secondo le rispettive mansioni e responsabilità.
L’individuazione dei soggetti autorizzati al trattamento dati è una misura di sicurezza a livello organizzativo che comunque il Titolare è tenuto ad adottare;
- La lettera di nomina del DPO (Responsabile della Protezione dei Dati);
- La lettera di nomina ad Amministratore di Sistema che descriverà in maniera dettagliata le mansioni. L’Amministratore di Sistema, solitamente coincidente con il responsabile IT, è colui che nell’espletamento di mansioni prettamente tecniche quali il salvataggio dei dati, l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione, l’installazione e l’aggiornamento di antivirus e firewall, la gestione delle credenziali e dei sistemi di autenticazione, autorizzazione e la manutenzione hardware, accede in modo privilegiato o per caso fortuito, ad una notevole quantità di informazioni aziendali che può considerarsi a tutti gli effetti un trattamento di dati personali.
In questa specifica lettera di nomina è consigliabile inserire una clausola dedicata alla reperibilità che, sebbene costosa poiché dovrà essere necessariamente remunerata, può diventare un prezioso salvagente utile ad evitare il naufragio derivante da un data breach, conseguente ad un attacco informatico – che il più delle volte avviene in orario non propriamente lavorativo i cui danni possono divenire insanabili se non affrontati nell’immediatezza e con competenza.
Ruoli e responsabilità
L’amministratore di sistema
Sullo specifica figura dell’Amministratore di Sistema si precisa che anche il Regolamento UE 679/2016, seguendo la linea del Codice Privacy, non ne prevede la figura, limitandosi a richiamarla implicitamente in alcune norme, per le sue specifiche competenze tecniche.
Si reputa, a tal proposito importante rammentare quanto disposto dal Garante nel provvedimento del 2008[6], che non essendo stato abrogato né dal GDPR, né dal decreto di armonizzazione alla normativa europea, il D.Lgs. 101/2018, si ritiene ancora valido.
Ovviamente questi non sono che i primissimi passi verso una consapevole attuazione della disciplina Privacy all’interno della propria Organizzazione, che non potrà prescindere dalla redazione e corretta divulgazione, oltre che dagli eventuali aggiornamenti, della Policy interna e del Regolamento Operativo che dovrà dettare una chiara rappresentazione dei compiti, modalità di esecuzione e responsabilità per il corretto trattamento dei dati nello svolgimento delle singole attività caratteristiche.
Il Registro dei trattamenti
Non bisogna dimenticare, inoltre, che vi sono altre attività, come quella della redazione del Registro dei Trattamenti che deve essere tenuto costantemente aggiornato sia per un’eventuale verifica nonché per la governance e l’accountability interna, e la procedura per la gestione del data breach che deve prevedere in maniera chiara, tutto l’iter comunicativo e le azioni da adottare.
Non da ultimo si ritiene utile ricordare il presidio interno effettuato dagli Organi societari, oltre che dalle funzioni di controllo e, a tale scopo, si riassume il ruolo che ciascuno deve svolgere con estrema attenzione, soprattutto con riguardo ai flussi informativi interni che devono necessariamente devono intercorrere tra le funzioni/organi di controllo.
Il DPO
Partiamo dal DPO (Responsabile della Protezione dei Dati – RPD), che è una funzione di controllo di secondo livello e che agisce in autonomia e funge da collegamento fra Titolare/Responsabile, gli interessati e l’autorità di controllo. Al RPD deve essere dato ampio accesso alle informazioni e deve essere interpellato per ogni problematica inerente alla protezione dei dati e per ogni attività che implica un trattamento dati, fin dalla sua progettazione.
Il RPD ha il compito di coadiuvare il Titolare/Responsabile nella valutazione d’impatto e nella redazione del Registro dei Trattamenti, oltre nella sorveglianza del rispetto del GDPR all’interno della società, anche attraverso degli audit relativi alla corretta applicazione della normativa interna.
Informa e fornisce consulenza al Titolare/Responsabile e al personale interno coinvolto nel trattamento dati sull’applicazione del GDPR. Si occupa delle comunicazioni con l’autorità di controllo e con gli interessati.
Le eventuali osservazioni del RPD sull’applicazione del GDPR possono essere non accolte dal Titolare/Responsabile, specificandone i motivi. La responsabilità di eventuali mancanze è comunque a carico del solo Titolare/Responsabile.
Il Collegio Sindacale: è chiamato a vigilare sull’osservanza della Legge e alla valutazione dell’assetto amministrativo e la collocazione indipendente del DPO;
L’ Organismo di Vigilanza, eventualmente istituito ai sensi del Decreto Legislativo 231/2001: il DPO deve informare periodicamente l’Organismo sui trattamenti in essere e sulla prevenzione di eventuali reati informatici;
La Funzione Compliance: è la codestinataria delle attività svolte dal DPO riguardo l’obbligo di informare il Titolare, di presidiare il rischio e di fornire pareri;
La Funzione Internal Audit: tra le sue funzioni anche quella di verificare che il DPO svolga tutti i compiti attribuiti e formalizzati, controllando anche i reporting redatti dallo stesso e che deve inviare periodicamente, o almeno annualmente, al Consiglio di Amministrazione.
___________________________________________________________________
- Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). ↑
- Il principio della trasparenza nell’ottica del GDPR (art. 12) impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro. ↑
- La normativa vigente impone in maniera esplicita e a più riprese di fornire un’adeguata preparazione ai soggetti attivi nel trattamento, a seconda del preciso ruolo da questi ricoperto. ↑
- È importante ricordare che nel rapporto di lavoro, la raccolta di dati personali è indispensabile allo svolgimento del rapporto stesso e che quindi la base giuridica è l’esecuzione e la gestione del contratto di lavoro tra l’azienda e il dipendente ↑
- Il GDPR definisce all’art. 4 il Responsabile del trattamento quale “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” e ne descrive le funzioni all’art.28. ↑
- 6 Provvedimento del 27 novembre 2008 recante le “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” ↑