Protezione dei dati: banca, assicurazioni e digitale, siamo davvero sicuri?

protezione dei dati personali online con il GDPR

Protezione dei dati: banca, assicurazioni e digitale, siamo davvero sicuri?

Dopo il GDPR e gli aggiornamenti di tutte le nostre newsletter, siamo tutti più informati sull’argomento protezione dei dati. Ma come sono trattati e conservati i nostri dati dagli Istituti finanziari e di credito? Banche e assicurazioni sono davvero sicure?

Un’indagine di Capgemini spiega come le aziende siano abbastanza consapevoli delle proprie mancanze, mentre la fiducia dei consumatori esageratamente alta. Il connubio tra Banca e digitale è ormai inscindibile. Fra qualche anno le operazioni bancarie ordinarie potranno svolgersi solo online, per cui è necessario informarsi bene.

Il sondaggio di Capgemini e la protezione dei dati

Il campione di società analizzate da Capgemini nel sondaggio The Currency of Trust: Why Banks and Insurers Must Make Customer Data Safer and More Secure offre un quadro interessante della situazione:

Meno di un terzo (29%) delle aziende offre forti politiche di privacy dei dati e un’adeguata strategia di sicurezza,

Solo un’organizzazione su cinque (21%) risulta molto fiduciosa delle proprie capacità di poter rilevare una violazione della sicurezza informatica

Quasi la metà delle istituzioni finanziarie (49%) dichiara di avere bisogno di molto tempo per affrontare e gestire le vulnerabilità: da tre mesi a un anno.

Secondo gli analisti, “le attività di rilevazione delle violazioni sarebbero significativamente migliorate se sostenute da sistemi di intelligence coordinati e automatizzati”.

Ciononostante solo 4 aziende su 10 hanno pienamente automatizzato questi processi che aiutano a identificare anche i pericoli più sofisticati.

Nella maggior parte dei casi gli strumenti di rilevamento delle minacce è manuale! E’ questa la causa dei lunghi tempi di risposta e, di conseguenza, dell’aumenttata possibilità di essere esposti a rischi.

La normativa europea sulla protezione dei dati

Nel modo digitalizzato gli approcci manuali di intelligence non sono più sufficienti. Vediamo a che punto è il quadro normativo di riferimento e cosa prevede.

Norme di riferimento vigenti:

  • Direttiva 95/46/CE (General Data Protection Directive)
  • Direttiva 2002/58/CE (ePrivacy Directive) – Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) Dal 24 maggio 2018
  • Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, pubblicata sulla G.U. dell’Unione europea del 4 maggio 2016 (entrata in vigore il 5 maggio, che era da recepire entro il 5 maggio 2018).
  • General Data Protection Regulation (GDPR) Regolamento (UE) 2016/679 del 27 aprile 2016, pubblicato sulla G.U. dell’Unione europea del 4 maggio 2016 (entrato in vigore il 24 maggio 2016, efficace dal 24 maggio 2018)

Il GDPR ha l’obiettivo di creare un quadro normativo unitario pur lasciando la possibilità di specifiche regolamentazioni nazionali. Abbiamo già parlato di come mettersi in regola, ecco, in sisntesi, cosa prevede la normativa:

  • Mantiene i concetti fondamentali che regolano i ruoli di titolari e responsabili
  • Incide e accresce le responsabilità di titolari e responsabili del trattamento
  • Incide sul ruolo e i poteri delle Data Protection Authority nazionali («autorità di controllo»)

La protezione dei dati personali nel settore bancario

A proposito di come gli Istituti finanziari e di credito e le assicurazioni debbano informarci sul trattamento dei nostri dati, riportiamo il focus sull’informativa di Cosimo Comella (Dipartimento tecnologie digitali e sicurezza informatica Garante per la protezione dei dati personali https://www.finriskalert.it/wp-content/uploads/MILANO-25-ottobre-2017.pdf).

  • il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti
  • ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente” – periodo di conservazione dei dati
  • criteri seguiti per stabilire tale periodo di conservazione
  • diritto di presentare un reclamo all’autorità
  • se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice). Essa deve avere le seguenti caratteristiche:

  • forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile;
  • linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (v. anche considerando 58)
  • L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: vedi art. 12, paragrafo 1, e considerando 58)
  • sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1).
  • Il regolamento ammette, soprattutto, l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, paragrafo 7), e queste icone dovranno essere identiche in tutta l’Ue e saranno definite prossimamente dalla Commissione europea.
  • Parzialmente diversi i requisiti per l’esonero dall’informativa (vedi art. 13, paragrafo 4 e art. 14, paragrafo 5, oltre a quanto previsto dall’articolo 23, paragrafo 1), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato (v. art. 14(5), lettera b) ) – a differenza di quanto prevede l’art. 13, comma 5, lettera c) del Codice”.

Se hai ancora dei dubbi o vuoi approfondire l’argomento, contattaci o continua a seguire i nostri articoli sulla #digitaleconomy!