Banca e Fintech: cosa fare in ambito Data Protection

23 Febbraio 2021 in DPO as a Service

data-protection-banca

Quali sono i principali adempimenti per la banca in ambito data protection? Il GDPR prevede specifici obblighi e responsabilità per il titolare del trattamento, da adattare alle necessità proprie del settore in cui quest’ultimo opera.

Vediamo, nel seguito, alcuni dei principali adempimenti in ambito data protection richiesti ad una banca per essere compliant:

Qualificazione dei rapporti: è di primaria importanza comprendere i casi nei quali la Banca si qualifica come titolare o, invece, come responsabile ex art. 28 GDPR (si pensi al caso in cui si offrono servizi direttamente all’interessato o, invece, si fornisce un servizio di intermediazione, come il POS). Non solo: occorre che le nomine dei responsabili del trattamento degli istituti di credito, spesso orali o ridotte a una pagina, siano adeguatamente formalizzate.
Selezione dei fornitori: è opportuno che le banche adottino un processo di selezione e qualifica dei fornitori. In tal modo, si garantisce il rispetto delle prescrizioni del GDPR lungo tutta la catena dei fornitori e dei sub-fornitori, specialmente alla luce della recente sentenza Schrems II. La sentenza ha ritenuto illegittimo il trasferimento dei dati in USA basato sul “Privacy Shield” e introdotto l’obbligo di un assessment per qualsiasi trasferimento di dati verso Paesi extra UE, in generale, non coperti da decisione di adeguatezza.
Nomina del DPO: tale adempimento è un obbligo ove sussista almeno una delle condizioni di cui alle lett. a), b) o c) dell’art. 37 GDPR, come il trattamento di dati comuni su larga scala o di dati c.d. particolari (come quelli giudiziari, richiesti dalla normativa antiriciclaggio). Si consiglia comunque di valutare la nomina di un DPO anche se su base volontaria.
Coordinamento con le norme di settore: è importante comprendere come armonizzare le novità previste dal GDPR con quanto previsto, in primis, dai regolamenti di Banca d’Italia (i quali già prevedevano il rispetto dei principi del risk based approach e della privacy by design). Di particolare rilevanza anche la Direttiva dei Sistemi di Pagamento (PSD2), che fa espresso richiamo del GDPR e suggerisce di utilizzare meccanismi di strong authentication per proteggere i dati in materia di servizi di pagamento. Inoltre, il regolamento delegato 2018/389, che integra la Direttiva PSD2 e riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri, all’art. 3, da armonizzarsi con l’art. 32 GDPR, elenca le misure di sicurezza da applicare ai servizi di pagamento elettronico per ridurre il rischio di frode (ad es. il monitoraggio delle operazioni, per identificare quelle fraudolente o non autorizzate).
Gestione del consenso: nella gestione del rapporto con l’interessato, la Banca deve distinguere i consensi previsti dalle normative di settore (ad es. il consenso al pagamento elettronico) quali condizioni per la fornitura del servizio e che consiste di fatto in un’autorizzazione, dal consenso di cui al GDPR, inteso come base giuridica del trattamento. Come affermato da EDPB nelle linee guida 6/2020, la base giuridica del trattamento, in casi simili, è l’esecuzione del contratto, sebbene quest’ultimo sia subordinato all’espressione di un consenso da parte del cliente.
Gestione dei data breach: l’intrusione nei sistemi informatici è catalogata nelle banche come data breach e, conseguentemente, gestita come tale; tuttavia, permangono alcuni dubbi, nella prassi, quando ad esempio l’intrusione riguarda il singolo rapporto con l’interessato, nel catalogarla come data breach con la conseguente necessità di adottare le misure previste dal GDPR, come la notifica della violazione all’interessato.
Informativa: spesso le informative fornite all’interessato sono poco chiare e trasparenti e non rispondenti ai principi del GDPR. La necessità di renderle più chiare è stata espressa anche in numerosi regolamenti di Banca d’Italia.
Minimizzazione dei dati: essendo soggetti a numerose normative, gli istituti di credito sono spesso obbligati a trattare più dati rispetto ad altri titolari, sia dei dipendenti (dei quali, ai sensi di legge, la banca deve raccogliere anche i dati giudiziari) che dei clienti. Tuttavia, non devono richiedersi dati ulteriori a quelli strettamente necessari (vedasi, ad esempio, con riferimento alla normativa antiriciclaggio il provvedimento del Garante del 27 ottobre 2005, titolato “Quando identificare e fotocopiare i documenti di riconoscimento dei clienti”, rivolto agli istituti bancari e agli uffici postali, nel quale si esplicita che la carta d’identità può essere richiesta al cliente solo quando si acquista una SIM, a seguito di una richiesta della PA o di gestori di pubblici servizi, e al fine di adempiere agli obblighi di cui al D.P.R. 445/2000).

Flavia Terenzi – Senior Legal Consultant presso P$I – Partners4Innovation

Clicca qui e richiedi subito una Demo!