In un settore complesso come quello bancario il ruolo del DPO deve essere valorizzato e potenziato. A tal fine, il Garante sulla Protezione dei Dati Personali GPDP e ABI (l’Associazione Bancaria Italiana) hanno avviato un’indagine per verificare lo “stato di radicamento” della funzione di DPO all’interno delle banche. Dal report pubblicato a fine febbraio sono emerse utili considerazioni e spunti per il futuro.
Protezione dei dati e normativa di settore
Conciliare le esigenze di protezione dei dati personali con le norme di uno specifico settore può rappresentare un’operazione complessa, soprattutto in ambiti, come quello bancario, caratterizzati da una molteplicità di fonti che si intersecano e dall’introduzione di mezzi innovativi di trattamento che impattano su grandi basi di dati.
In tale contesto si inserisce il DPO, figura essenziale nel garantire che un’efficiente attività quotidiana di banche e istituti di credito si coniughi con i diritti e libertà delle persone i cui dati sono trattati.
Quali ostacoli per i DPO?
Effettuare un corretto bilanciamento fra le esigenze di business e i diritti degli interessati, tuttavia, non è facile, in particolare nel settore bancario, dove opera un’ampia platea di titolari del trattamento, con caratteristiche e modelli organizzativi molto diversi tra loro.
Altri fattori, inoltre, complicano l’attività svolta dai DPO, determinando potenziali rischi per la protezione dei dati personali:
- l’elevato numero di dati trattati;
- la sistematica esternalizzazione dei sistemi di gestione dei dati bancari ad outsourcer esterni;
- l’interesse alla conoscenza delle informazioni bancarie da parte di molteplici soggetti (creditori, familiari, eredi, etc.);
- l’esigenza di adempiere a obblighi normativi volti al perseguimento di rilevanti interessi pubblici (contrasto all’evasione fiscale e al riciclaggio);
- le stratificate discipline di settore (di rilevanza europea prima ancora che nazionale).
I fenomeni emergenti
Ai fattori sopra elencati si aggiunge anche la necessità di presidiare i fenomeni emergenti, derivanti dallo sfruttamento di nuove tecnologie (prima fra tutte, l’Intelligenza Artificiale):
- nuovi approcci al trattamento di grandi banche dati;
- nuove possibilità di analisi dei dati;
- nuove forme di automatizzazione dei processi, sulla base di algoritmi innovativi;
- la profilazione degli interessati.
Questi elementi, uniti ai fattori di rischio che caratterizzano i trattamenti svolti in ambito bancario, sono in grado di minare la sicurezza dei dati personali e insidiare la conformità privacy delle organizzazioni.
L’iniziativa di Garante e ABI
“Allo sviluppo crescente di sistemi sempre più avanzati di analisi ed elaborazione di dati personali nel settore bancario si deve quindi accompagnare il potenziamento del ruolo e dei compiti del RPD” ha dichiarato il Presidente del Garante Privacy, Pasquale Stanzione, in occasione della pubblicazione, lo scorso 20 febbraio, delle risultanze dell’indagine condotta con ABI, l’Associazione Bancaria Italiana.
Il report è il risultato del progetto di costituzione di una “Rete” di DPO in ambito bancario, ovvero un gruppo di lavoro permanente, in grado di favorire il confronto e interscambio informativo fra tutte le parti a vario titolo coinvolte nei trattamenti effettuati.
Antonio Patuelli, Presidente dell’ABI, ha dichiarato che la creazione della Rete rappresenta, per tutto il mondo bancario, “occasione per affrontare e approfondire tematiche su cui è sempre più indispensabile ottenere indirizzi chiari, che possano facilitare la conformità alle norme”.
Le azioni intraprese dal gruppo di lavoro
La prima attività svolta dal gruppo di lavoro è stata quella di realizzare un quadro d’insieme delle caratteristiche che connotano l’attività dei DPO in ambito bancario, mediante la diffusione di un questionario condiviso con il Garante.
L’indagine, della durata di un anno, ha visto il coinvolgimento di ottantasette organizzazioni rispondenti, fra banche individuali e capogruppo di gruppi bancari. Al termine sono emersi alcuni elementi particolarmente interessanti, in relazione alla posizione del DPO e agli incarichi assegnati allo stesso. Inoltre, sono state raccolte utili osservazioni e spunti che guideranno le prossime attività della rete.
Le risultanze: il posizionamento del DPO
Il corretto posizionamento del DPO, all’interno dell’organizzazione del titolare, rappresenta un elemento essenziale per garantire l’effettività dello svolgimento dei compiti assegnati dal GDPR al Responsabile della Protezione dei Dati.
A tal fine, è necessario
- che venga sempre assicurata la possibilità di un riporto diretto al vertice aziendale, senza intermediazioni da parte di altre figure interne;
- che venga definito un processo interno volto ad assicurare che il DPO sia sempre tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali e sia documentato il parere fornito.
In tal senso, le risultanze dell’indagine restituiscono un quadro positivo: tutte le banche intervistate ricevono almeno 1-2 rapporti l’anno. Inoltre, la frequenza della rendicontazione aumenta in modo direttamente proporzionale alle dimensioni della banca (nelle banche piccole il 7% riceve 3-4 rapporti l’anno, nelle banche medie il 21% riceve 3-4 rapporti l’anno, nelle banche di grandi dimensioni il 46% riceve 3-4 rapporti l’anno).
Le risultanze: gli incarichi assegnati
Anche rispetto al tema delle risorse messe a disposizione del DPO e dell’eventuale assegnazione di incarichi aggiuntivi / multipli sono emerse osservazioni interessanti. Sebbene non sia possibile determinare a priori un numero massimo di incarichi, infatti, è necessario tenere presente che all’aumentare degli incarichi e dell’eterogeneità degli stessi, occorre dotare il DPO di risorse sufficienti, che gli consentano di fornire un supporto effettivo e non limitato ad aspetti puramente formali.
Al tempo stesso, in relazione ai compiti assegnati, l’organizzazione deve adottare procedure adeguate per prevenire l’insorgere di possibili conflitti di interesse.
Conclusioni e spunti per il futuro
Come anticipato, attraverso una specifica sezione del questionario, il gruppo di lavoro ha raccolto possibili proposte sui temi privacy ritenuti più significativi per il settore bancario, che dovrebbero essere affrontati congiuntamente con il Garante per individuare soluzioni certe e condivise.
- ruolo e posizionamento del RPD e rapporti con le altre funzioni di controllo nelle banche anche in ambito di Circolare della Banca d’Italia 285/2013 “Disposizioni di vigilanza per le banche”;
- privacy e intelligenza artificiale e, in particolare, i rischi collegati con le nuove tecnologie e la gestione delle terze parti non EU. Su tale ultimo punto è stata segnalata l’opportunità di definire un framework contrattuale di settore (o di certificazione/codici di condotta) per le macro-tipologie di servizi forniti (anche per mitigare il potere contrattuale delle controparti);
- trattamento dei dati giudiziari o delle informazioni “negative” per finalità di verifica delle controparti (requisiti anticorruzione, antiriciclaggio); conservazione dei dati personali e interazione con altre normative settoriali.
Ci auguriamo che tutti questi temi vengano approfonditi nel corso del 2024. Al momento, fra le azioni proposte dall’Ufficio del Garante, vi è l’avvio di una riflessione sulle misure che consentano di migliorare la comprensibilità delle informative, attraverso modelli multilivello (stratificati) con l’utilizzo di simboli standard che facilitino la comprensione del contenuto e la consapevolezza delle scelte effettuate dagli interessati.
Per restare informato sulle prossime iniziative del gruppo di lavoro, iscriviti alla newsletter dell’Associazione: clicca qui.
Fonti: