Il GDPR e i settori speciali: l’impatto sul mondo bancario

Nell’era digitale in cui viviamo, la protezione dei dati è diventata una questione sempre più rilevante e critica, specialmente nel settore bancario. Le banche raccolgono e trattano una vasta quantità di informazioni personali sensibili relative ai propri clienti: dalle informazioni finanziarie a quelle personali. In questo contesto, garantire la sicurezza e la riservatezza dei dati è essenziale non solo per rispettare le normative vigenti, ma anche per mantenere la fiducia dei clienti e preservare l’integrità del sistema finanziario.

Bilanciare le necessità di protezione dei dati personali con le normative di un settore specifico può risultare complesso, specialmente in contesti come quello bancario. Questo settore è caratterizzato dall’intersezione di numerose fonti e dall’implementazione di nuovi strumenti di trattamento che influenzano grandi quantità di dati.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea stabilisce una serie di principi fondamentali per il trattamento dei dati personali. Tra questi, il principio di liceità costituisce uno dei pilastri centrali, previsto dall’art. 5, paragrafo 1, lettera a) del GDPR, stabilendo che i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.

Con riferimento alla normativa italiana, nel T.U.B., quando si parla di principio di liceità ci si riferisce alla conformità delle attività bancarie e creditizie con le leggi e le regolamentazioni vigenti. Le banche devono operare nel rispetto delle norme di trasparenza e correttezza, garantendo che le informazioni fornite ai clienti siano chiare, accurate e complete. Questo include anche il trattamento dei dati personali dei clienti, che deve avvenire nel rispetto delle leggi sulla protezione dei dati, come il GDPR.

La raccolta dei dati deve inoltre rispettare tutti i principi connessi agli obblighi legali. In tali circostanze, l’informativa è essenziale: non è necessario ottenere il consenso al trattamento dei dati quando questi sono trattati in base ad un obbligo legale, contrattuale, o per adempiere specifiche richieste dell’interessato. Questo approccio garantisce che il trattamento dei dati sia sempre giustificato e proporzionato rispetto agli scopi legittimi per cui sono raccolti.

È necessario, inoltre, rispettare il principio della trasparenza, che deve essere garantita fin dall’inizio, anche nei rapporti basati su condizioni contrattuali o obblighi di legge.

Il trattamento dei dati personali degli individui deve essere sempre accompagnato da una chiara e completa informazione sui diritti degli interessati e sulle modalità con cui possono esercitare il controllo sui propri dati. Questo principio fondamentale è sancito dall’articolo 12 del GDPR, che delinea le informazioni che il titolare del trattamento è tenuto a fornire all’interessato, le comunicazioni necessarie e le modalità da adottare per garantire la trasparenza.

Le informazioni devono essere fornite sia quando i dati personali sono raccolti direttamente dall’interessato, sia quando sono ottenuti attraverso altre fonti. Per esempio, quando una persona si rivolge a una banca per aprire un conto corrente, ottenere una carta di credito o richiedere un finanziamento, la banca ha l’obbligo di fornire tutte le informazioni e comunicazioni previste dal GDPR e dal Decreto Legislativo n. 101/2018, che ha adeguato la normativa italiana al Regolamento (UE) 2016/679.

In questo scenario, il Responsabile della Protezione dei Dati (D.P.O.) svolge un ruolo determinante nel garantire che le operazioni quotidiane delle banche e degli istituti di credito rispettino i diritti e le libertà degli individui i cui dati vengono trattati.

Introdotta con il Regolamento Europeo sulla Protezione dei Dati Personali (GDPR), la figura del D.P.O. ha l’obiettivo di garantire che il trattamento dei dati personali da parte degli istituti di credito avvenga in conformità alle normative vigenti e nel rispetto dei diritti degli interessati.

In considerazione della specificità del settore bancario, il Garante per la protezione dei dati personali e l’Associazione Bancaria Italiana (ABI) hanno elaborato delle Linee Guida dedicate al ruolo del D.P.O., queste forniscono indicazioni utili per le banche in merito all’organizzazione della funzione D.P.O., alle competenze e alle responsabilità dello stesso, nonché alle modalità di interazione.

Questa collaborazione riflette l’importanza strategica che la protezione dei dati ha assunto nel contesto finanziario ed il desiderio di creare un ambiente normativo chiaro e coerente.

Secondo le Linee Guida fornite da ABI e dal Garante, il DPO all’interno di una banca ha il compito di garantire il rispetto delle disposizioni normative in materia di protezione dei dati personali, sia quella prevista dall’Unione Europea e che quella nazionale. Il DPO agisce come un consulente indipendente all’interno dell’istituto finanziario, fornendo consulenza in materia di protezione dei dati fin dalla fase di progettazione dei sistemi e dei processi (cd. privacy by design ).

Una delle principali responsabilità del DPO, oltre a monitorare e valutare costantemente la conformità alle normative sulla privacy, è quella di identificare ed analizzare eventuali rischi per la sicurezza dei dati; ciò include la gestione delle richieste dei titolari dei dati relativi ai loro diritti, come il diritto all’accesso, alla rettifica e alla cancellazione dei propri dati personali.

Inoltre, il DPO ha il compito di promuovere una cultura della privacy all’interno dell’istituto finanziario, sensibilizzando i dipendenti sulle best practices per la gestione dei dati personali e organizzando regolarmente corsi di formazione sull’argomento.

Un altro aspetto fondamentale del ruolo del DPO è quello di essere il punto di contatto privilegiato per il Garante e gli altri organi di controllo competenti in materia di protezione dei dati. Il DPO rappresenta l’istituto finanziario nelle comunicazioni con le autorità di regolamentazione e fornisce assistenza durante le ispezioni e le indagini relative alla protezione dei dati.

La collaborazione tra ABI e Garante ha lo scopo di fornire agli istituti finanziari una guida chiara e unificata sul ruolo e le responsabilità del DPO, garantendo al contempo un elevato standard di protezione dei dati personali dei clienti. Questo approccio proattivo alla protezione dei dati è fondamentale per mantenere la fiducia dei clienti e la reputazione dell’istituto finanziario nel lungo termine.

Recentemente, la Corte di Cassazione ha emesso sentenze di fondamentale importanza riguardanti la privacy nel settore bancario. Attraverso una serie di pronunciamenti, la Corte ha delineato i confini entro cui le istituzioni finanziarie possono raccogliere, conservare e utilizzare i dati personali dei loro clienti, garantendo allo stesso tempo il rispetto dei diritti individuali.

Una delle questioni centrali affrontate dalla Corte riguarda l’obbligo delle banche di proteggere le informazioni personali dei loro clienti. In un mondo in cui i cyber attacchi sono sempre più sofisticati, la sicurezza dei dati finanziari è diventata una preoccupazione prioritaria.

Con l’Ordinanza n. 9313 del 4 aprile 2023, la Suprema Corte si è pronunciata in merito agli obblighi, in materia di privacy, che sussistono in capo alla banca nel riscontrare il soggetto che richieda di quali dati sensibili l’istituto sia in possesso: “In materia di trattamento dei dati personali, il soggetto onerato dell’obbligo di fornire risposta in ordine al possesso (o meno) dei dati sensibili è il destinatario dell’istanza di accesso e non invece l’istante, dovendo il primo sempre riscontrare l’istanza dell’interessato, anche in termini negativi, dichiarando espressamente di essere, o meno, in possesso dei dati di cui si richiede l’ostensione.”. Questa pronuncia rappresenta un punto di svolta cruciale nel panorama giuridico italiano, specialmente per quanto concerne l’onere della prova e la gestione dei dati personali da parte delle banche e degli istituti di credito.

Uno degli aspetti salienti trattati dall’ordinanza riguarda l’onere della prova. La Corte di Cassazione ha ribadito che, in materia di trattamento dei dati personali, è compito della banca o dell’istituto di credito dimostrare di aver adottato tutte le misure necessarie e appropriate per garantire la conformità al Regolamento Generale sulla Protezione dei Dati (GDPR). Questa posizione enfatizza il principio di accountability previsto dal GDPR, secondo cui il titolare del trattamento deve essere in grado di dimostrare la conformità alle disposizioni normative in qualsiasi momento.

L’ordinanza in oggetto si concentra anche sul modo in cui le banche e gli istituti di credito devono trattare i dati personali dei loro clienti. La Corte ha chiarito che tali enti sono tenuti a garantire la massima trasparenza e correttezza nel trattamento dei dati, adempiendo agli obblighi di informazione e di richiesta del consenso in maniera chiara e comprensibile. Inoltre, la Suprema Corte con questa pronuncia vuole porre l’attenzione sulla necessità di adottare misure tecniche e organizzative adeguate per proteggere i dati da accessi non autorizzati, perdita o distruzione.

La Corte di Cassazione ha sottolineato che qualsiasi violazione della privacy può comportare gravi conseguenze legali per le istituzioni finanziarie, inclusa la responsabilità civile per eventuali danni causati ai clienti. Questo richiamo si inserisce in un contesto normativo sempre più rigoroso, dove la protezione dei dati personali non è solo un obbligo giuridico ma anche una componente essenziale della fiducia tra clienti e istituzioni finanziarie.

Per gli operatori del settore bancario e creditizio, l’ordinanza n. 9313/2023 rappresenta un monito a rafforzare le proprie pratiche di gestione dei dati personali. Le banche sono chiamate a rivedere e, se necessario, migliorare le proprie politiche di compliance e i sistemi di sicurezza informatica per garantire una protezione adeguata dei dati personali.

È di palmare evidenza che la Corte di Cassazione ha assunto un ruolo guida nel plasmare il quadro normativo che regola la privacy nel settore bancario, fornendo un chiaro orientamento alle istituzioni finanziarie su come gestire i dati personali dei propri clienti, garantendo al contempo il rispetto dei diritti individuali.

La protezione dei dati nel settore bancario non è solo una questione di conformità normativa, ma una componente fondamentale della relazione di fiducia tra le banche e i loro clienti. In un contesto dove i cyber attacchi sono sempre più sofisticati, le istituzioni finanziarie devono adottare un approccio proattivo alla protezione dei dati, migliorando costantemente le proprie pratiche di gestione e sicurezza informatica, rappresentando una sfida complessa ma indispensabile per garantire la sicurezza e la fiducia dei clienti. Le banche devono continuare a investire in tecnologie e formazione per proteggere i dati personali e mantenere un elevato standard di compliance. Solo attraverso un impegno costante e una cultura della privacy radicata è possibile affrontare efficacemente le sfide del futuro digitale e preservare l’integrità del sistema finanziario.
______

*A cura di Avv. Pietro Montella, founding partner e dott.ssa Marianna Bartolomeo – Montella Law

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più