L’impatto del GDPR sugli istituti finanziari

Nell’ultimo blog di questa serie abbiamo esaminato la preparazione degli istituti finanziari all’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR). Nel post di oggi entreremo più nel dettaglio e vedremo perché gli istituti finanziari di tutto il mondo hanno bisogno di concentrarsi a livello dell’intera organizzazione sulla conformità al GDPR. Esaminiamo alcuni degli elementi chiave della normativa europea, rilevanti per gli istituti finanziari: dalla comunicazione delle violazioni dei dati (data breach), alle richieste per far valere il diritto all’oblio sino alla gestione delle esigenze dei fornitori esterni.

GDPR: un cambiamento significativo

Il GDPR “è stato concepito per armonizzare le normative vigenti all’interno dell’Unione europea in materia di data privacy, per proteggere e rafforzare il diritto alla riservatezza di tutti i cittadini dell’UE e ridefinire l’approccio alla data privacy da parte delle organizzazioni.” Il GDPR rappresenta un cambiamento significativo in termini di requisiti di riservatezza dei dati che regolano il modo in cui gli istituti finanziari e altre organizzazioni gestiscono e proteggono i dati personali, dovuto principalmente all’estesa competenza giurisdizionale che si evince dalla definizione stessa di TUTTI I CITTADINI DELL’UE.

Le norme del GDPR si applicano a tutte le società che trattano i dati personali di soggetti residenti nell’Unione Europea, indipendentemente dalla loro ubicazione, dal metodo utilizzato per la raccolta dei dati, per l’archiviazione, la sicurezza o da quello per il trattamento e l’utilizzo di tali dati. Il regolamento è stato approvato dal Parlamento Europeo il 14 aprile 2016 e la fine del periodo di transizione è ormai vicina: il regolamento entrerà in vigore il 25 maggio 2018.

Obbligo di notifica dei data breach

Un cambiamento fondamentale che la conformità a GDPR porterà agli istituti finanziari riguarda l’obbligo di segnalare entro 72 ore i data breach. Scoprire una violazione dei dati, le persone coinvolte, la portata della violazione e il modo in cui è avvenuta, tutto nell’arco di 72 ore, richiede un’azione coordinata all’interno dell’organizzazione. Tradizionalmente, durante il periodo critico immediatamente successivo a un caso di violazione, le istituzioni finanziarie si preoccupano principalmente di rimediare ai danni provocati dalla violazione. Il rispetto dell’obbligo di segnalazione ai sensi del GDPR richiederà trasparenza e coordinamento a livello aziendale e coinvolgerà gli architetti dell’infrastruttura, i responsabili della sicurezza dei dati, il dipartimento legale e il marketing. Ossia, tutti i dipendenti, la linea dirigenziale e gli investitori. Per avere un’idea più chiara su questo aspetto del regolamento: secondo Ponemon Research, lo scorso anno il tempo medio necessario per rilevare una violazione (Mean time to identify a breach, MTTI) era di 191 giorni, mentre il tempo medio di contenimento (Mean time to contain, MTTC) era stimato a 66 giorni.

Diritto all’oblio

Il GDPR, in definitiva, è finalizzato a conferire ai cittadini dell’UE un maggiore controllo sui propri dati, pertanto riconosce ai consumatori il diritto di richiedere l’accesso o la cancellazione delle informazioni personali in mano agli istituti finanziari, senza la necessità di autorizzazioni esterne. Tali richieste rientrano nel “diritto alla portabilità dei dati personali” che consente agli istituti finanziari di conservare parte dei dati se necessario a garantire la conformità ad altre normative. Nel caso in cui non vi siano giustificazioni valide, il diritto all’oblio ha valenza. La realtà è che sugli istituti finanziari spesso grava il peso di silos di dati non collegati tra di loro, pertanto diventa difficile attuare le procedure di gestione dei dati necessarie a preservare il “diritto all’oblio” senza trasparenza e coordinamento a livello aziendale.

Responsabili e incaricati del trattamento dei dati: fornitori di servizi in cloud (CSP)

Gli istituti finanziari che scelgono un CSP devono assicurarsi che tale fornitore abbia adottato misure di salvaguardia e sicurezza che rispettino gli standard stabiliti dal GDPR per rimanere conformi alle disposizioni del regolamento. I dati rappresentano la linfa vitale per ogni istituto finanziario e possono essere condivisi tra diverse applicazioni, alcuni possono essere archiviati internamente, altri invece possono essere passati a fornitori esterni di servizi. È responsabilità dell’istituto finanziario garantire procedure e processi chiari all’interno della propria azienda e assicurarsi che anche i venditori esterni che gestiscono i dati dei loro clienti dispongano di tali procedure.

GDPR — Conseguenze

Gli istituti finanziari dovranno conformarsi o rischiano multe significative sino a 20 milioni di euro o fino al 4% del fatturato globale annuo, a seconda di quale cifra sia maggiore. La mancata osservanza della normativa potrebbe tradursi in azioni severe per richiedere la conformità, in danni alla reputazione e nella perdita di fiducia dei clienti.

La soluzione per gli istituti finanziari sta nell’adozione di un approccio olistico al GDPR, a prova di futuro e abbastanza flessibile da poter adeguarsi e rispettare eventuali nuove disposizioni normative, ad hoc o programmate. Un approccio olistico garantisce la visibilità necessaria a definire un quadro chiaro dei dati personali in loro possesso e la possibilità di rispondere rapidamente alle richieste di cancellazione dei dati quando questi non sono più indispensabili.

Scopri di più su questo episodio di AppianLIVE Expert Cut

Per saperne di più sulla conformità e sulla sfida rappresentata dal GDPR, sintonizzati sull’ultimo episodio di AppianLIVE Expert Cut. In questa intervista, i leader di Appian nel settore dei servizi finanziari spiegano come la piattaforma di sviluppo low-code di Appian fornisce loro tutto ciò che serve a livello di Case Management e di Intelligent Automation, incluso la Robotic Process Automation (RPA) e l’intelligenza artificiale (IA), per la preparazione all’entrata in vigore del GDPR e per ottenere una trasformazione digitale di successo.

Guida alla preparazione per l'entrata in vigore del GDPR

ISCRIVITI a APPIAN WEEKLY!