Data protection nel banking: il tool GRC360 di P4I per CreVal
30 Novembre 2020 in Governance Risk & Compliance As a Service - GRC360
A seguito dell’introduzione del regolamento europeo GDPR anche Creval, come tutte le realtà italiane, ha trasformato la gestione dei dati personali da una logica prevalentemente di tipo normativo ad un’impostazione completamente nuova.
“Il regolamento GDPR che prevede un ruolo attivo e propositivo delle aziende nella tutela dei dati ha reso inadeguate le misure di sicurezza minime, previste dal precedente regolamento Privacy”, sottolinea Enrico Maria Rossi, Responsabile della Divisione Sicurezza di Creval, struttura in cui confluiscono tutte le funzioni di protezione degli asset aziendali (logici, fisici, di safety e di continuità operativa) compreso, da luglio 2019, il Servizio Data Protection di cui è responsabile Filippo Maria Conte.
“Oggi la sicurezza, anche dei dati, assume in Creval un ruolo primario necessario alla protezione del nostro business, a quello dei nostri Clienti e Dipendenti. Siamo tutti consapevoli – ricorda Rossi- che la reputazione di un’azienda è sempre più fondata anche su un’adeguata protezione dei propri asset, soprattutto quando parliamo di gestione dei rischi Cyber e di data protection che, anche quest’anno, si collocano rispettivamente al 5° e 4° posto nella classifica dei primi rischi al livello mondiale (WEF). Creval punta su un unico presidio di protezione dei propri asset, gestendo sinergicamente, in una logica completamente integrata, i vari rischi di sicurezza”. Rossi, che ha assunto il ruolo di Chief Security Officer e di Business Continuity Manager della Banca, aggiunge che: “Alla luce di questa configurazione organizzativa non è sufficiente limitarsi ad implementare le novità introdotte dal GDPR, come il processo di privacy by design o il principio dell’accountability, ma diventa essenziale essere consapevoli che la tutela dei dati personali possa essere sempre più un processo culturale maggiormente ampio e diffuso”. Un approccio, questo, che la Divisione Sicurezza di Creval persegue da tempo: “Per noi fare sicurezza – evidenzia Rossi – non significa semplicemente adempiere a una prescrizione normativa, ovvero implementare una misura tecnologica innovativa, bensì adottare un approccio più ampio e olistico, che comprenda sempre più anche attività di risk management, di intelligence delle minacce, di info-sharing e relazionali, specialmente con le competenti Autorità interessate”. Questo approccio è stato trasposto anche nella nuova struttura di data protection e, per questa sfidante mission, Creval si è avvalsa del supporto specialistico di P4I.
Progetto GDPR: quale impostazione organizzativa e tecnologica
Creval ha costituito una task force al fine di guidare il progetto atto a definire i processi e i ruoli necessari per realizzare quanto richiesto dal Regolamento UE 679/2016. Il principale risultato prodotto è stata la definizione e l’assunzione del modello per la protezione dei dati personali i cui aspetti fondamentali sono, tra gli altri, la diffusione all’interno dell’azienda di una cultura volta alla protezione dei dati personali trattati, la definizione delle figure degli Owner dei trattamenti e la creazione, a luglio 2019, del servizio Data Protection, inserito all’interno della Divisione sicurezza
“Creval da sempre è attenta a proteggere e tutelare i diritti dei clienti e i loro dati – precisa Conte – oltre ad essere tempestiva nell’accogliere e nel declinare processi aziendali come richiesto dal GDPR”.
GRC360, una soluzione a supporto
Tra le numerose misure adottate per garantire un elevato livello di protezione dei dati personali trattati, Creval ha individuato, come supporto tecnologico, la soluzione GRC360 di P4I, rivelatasi ideale per facilitare l’attività di governance dei trattamenti di pertinenza da parte dei relativi owner.
La realizzazione di GRC360, durata circa 8 mesi, è uno dei cantieri sviluppati da Creval all’interno del progetto volto a garantire un elevato livello di protezione dei dati personali trattati.
Le attività propedeutiche al rispetto di quanto disciplinato per la corretta tutela dei dati personali non possono mai ritenersi concluse. A questo proposito, Conte aggiunge: “Le attività da realizzare e gli aspetti da affinare per garantire un elevato e adeguato livello di tutela dei dati personali trattati, essendo in costante evoluzione, non si esauriscono mai e necessitano di una sistematica attività di studio della normativa accompagnata dalla capacità di declinare quanto richiesto in processi strutturati atti a proteggere i dati personali trattati”.
Criticità sperimentate e benefici attesi
“La nuova sfida imposta dal GDPR va oltre la definizione di un set minimo di misure di sicurezza, si tratta a questo punto di analizzare di volta in volta il singolo trattamento definendo le misure di sicurezza, in accordo con il servizio Security Business Continuity (servizio a cui fa capo la sicurezza IT in Creval), ritenute più idonee per limitare il livello di rischio individuato”, ricorda Conte.
La soluzione GRC360 viene considerata un importante supporto per governare i trattamenti della banca, mediante il coinvolgimento diretto degli owner, verso cui è stata effettuata, prima del rilascio del tool, la formazione come da richiesta dal DPO. “Ci aspettiamo di ricevere dall’introduzione del tool un aiuto in ambito operativo”, sottolinea Conte.
“Ci tengo a ringraziare P4I che ci ha seguiti e supportati, i risultati della collaborazione mostrano che la soluzione GRC360 è in grado di rispondere al meglio alla richiesta in tema di tutela dei dati personali”, ha concluso Conte.
P4I – Partners4Innovation
Filippo Maria Conte
Head Data Protection presso Creval S.P.A.
Enrico Maria Rossi
Chief Security Officer presso Creval S.P.A