Diritto al digitale

Nuovo regolamento privacy: obblighi e vantaggi per banche e assicurazioni

Non c’è dubbio che la compliance è stata considerata finora un “cumulo di carta” fatto di informative, procedure e consensi che venivano ignorate dai più. Ma se da una parte le sanzioni aumentano fino al 4% del fatturato mondiale, allo stesso tempo è possibile ottenere un vantaggio competitivo dalla conformità con la normativa sul trattamento dei dati personali e la prospettiva cambia un po’ per tutti.

Il Regolamento privacy europeo 2016/679 (o ) è stato approvato un anno fa ed entrerà in vigore il 25 maggio 2018. Un anno sembra lungo, ma se la propria azienda non sa quali dati tratta, dove si trovano, come vengono utilizzati e se l’effettivo utilizzo è lecito, lo scenario muta e di parecchio.

Questa è la situazione non solo per piccole startup, ma anche , finanziarie di grandi dimensioni e compagnie assicurative. Quante infatti sono in grado di “controllare” i dati utilizzati dalla propria società, dai propri agenti, fornitori e società del gruppo?

Quello che spesso manca è un sistema di data governance, ovvero la capacità di categorizzare i dati nei propri sistemi informatici e poterli mappare e controllare in modo tale che, ad esempio, in caso di cyber attacco (il cosiddetto data breach) sia possibile identificare i dati coinvolti e adottare le misure volte a minimizzare gli effetti negativi dell’attacco.

E la questione è tanto più rilevante perché ai sensi del GDPR un data breach dovrà essere notificato al Garante e agli individui i cui dati personali sono stati oggetto dell’attacco. Ma se il proprio sistema è strutturato in modo da evitare possibili danni per questi individui tramite soluzioni di segregazione dei dati, è possibile evitare entrambe le comunicazioni.

Poiché non esiste software senza bug e quindi il rischio di cyber attacco non può essere evitato al 100%, un sistema di controllo dei dati personali impedirebbe di subire una sanzione che sarà, ai sensi del GDPR, fino al 4% del fatturato, in aggiunta alle azioni da parte dei clienti e degli azionisti e a possibili danni reputazionali.

Ma non è tutto. Il vantaggio competitivo derivante da un sistema di data governance consiste non solo nell’abilità di conformarsi agli obblighi del GDPR, ma anche nella possibilità di “sfruttare” i dati come un asset economico.

Banche, istituzioni finanziarie, assicurazioni e qualsiasi azienda possiedono quantità enormi di dati personali dei propri clienti e negli ultimi anni operazioni di M&A (e successivi procedimenti di contestazione) hanno avuto come proprio driver la possibilità di aggregare una quantità di dati personali sempre maggiore.

Si sta creando una maggiore consapevolezza che i dati rappresentano un enorme valore da sfruttare al fine di realizzare offerte e servizi maggiormente personalizzati e di poter mettere a disposizione tali dati a favore dei propri partner/clienti. Anche grazie alla prossima implementazione della Payment Services Directive 2, ad esempio, le banche stanno diventando dei marketplace per servizi propri e di terzi.

L’offerta “standard” non è quindi più sufficiente. È necessario profilare i propri clienti per offrire quello che potrebbe davvero interessarli. E qui riemerge il problema della data governance e della compliance al GDPR. Senza un sistema di controllo dei dati che comporta non solo l’esigenza di ottenere un consenso specifico alla profilazione e allo svolgimento di attività di marketing da parte di terzi, ma anche la possibilità di “tracciare” i dati e i consensi nei propri sistemi informatici, non è possibile sfruttare appieno le potenzialità dei dati personali.

Quanto indicato in precedenza è il risultato di un’analisi “critica” del GDPR. Non è sufficiente adottare delle policy e procedure che siano conformi ai dettami del Regolamento privacy europeo. Bisogna introdurre un impianto di misure tecniche ed organizzative che permetta di minimizzare i rischi di contestazioni e poter trarre tutti i benefici derivanti dai dati in modo trasparente nei confronti dei clienti e delle autorità.

Ciò passa anche attraverso un cambiamento “culturale” dei propri dipendenti ed incaricati che non dovranno più vedere la privacy come un cumulo di carta, ma come un’opportunità.

Giulio Coraggio

Giulio Coraggio

Avvocato in Italia ed Inghilterra specializzato in diritto delle nuove tecnologie, privacy, giochi e diritto commerciale, lavora nel dipartimento di Proprietà Intellettuale e Tecnologie dello studio legale internazionale DLA Piper. Riconosciuto da alcune delle più importanti directory legali internazionali è spesso relatore a conferenze e webinar sulle nuove tecnologie e i giochi. Ha il grande privilegio di lavorare nel settore delle tecnologie che sono la sua passione (insieme al Napoli…) e trasmette questa passione ai propri clienti immedesimandosi nel loro business.

Facebook Twitter LinkedIn Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This