Credito, arriva una nuova stretta sulla privacy

privacy-1140x500.jpg

Arriva una nuovo fattore di cambiamento per le banche. A partire da domani entrerà in vigore il nuovo regolamento generale europeo per la protezione dei dati personali (GDPR), una rivoluzione regolamentare per tutte le aziende, a partire da quelle finanziarie.

In primo luogo, il GDPR stabilisce che i titolari e i responsabili del trattamento, tengano un registro dei trattamenti dei dati. Su questo registro devono essere contenuti i dati di contatto del titolare (o del responsabile) e le informazioni relative ai trattamenti effettuati (scopi, tipologie di dati e di interessati, destinatari dei dati). Il responsabile sarà inoltre costretto a indicare i dati del titolare per cui svolge il trattamento.

Chi dovrà tenere il registro? In base alla normativa le imprese con più di 250 dipendenti oppure in casi particolari, anche se il Garante della privacy suggerisce a tutte le aziende di farlo, per verificare i trattamenti svolte e come prova in caso di verifica da parte delle autorità. Principio fondamentale della GDPR è infatti l’accountabilty, che costringerà le imprese a operare in modo responsabile e a essere consapevoli dei rischi inerenti il trattamento dei dati.

Inoltre la nuova normativa stabilisce che i titolari e responsabili approntino misure tecniche e organizzative adeguate per garantire un adeguato livello di sicurezza. Queste misure andranno analizzate caso per caso alla luce sia dello stato dell’arte, che del rischio derivante dai trattamenti effettuati. Fra le misure indicate dal GDPR ci sono, la pseudonimizzazione e cifratura dei dati e la capacità di assicurare la riservatezza dei sistemi.

Alle aziende è poi richiesto di dotarsi di una cosiddetta procedura di data breach (ovvero di violazione dei dati). Infatti, in caso di violazione il titolare dovrà inviare una notifica all’autorità garante entro 72 ore dalla sua scoperta e comunque senza indugio. Per rispettare questo termine è importante stabilire una procedura che indichi come agire e come individuare i responsabili, per poter informare tempestivamente il Garante sul reato.
Il GDPR introduce inoltre la figura del cosiddetto DPO (data protection officer). Si tratta di un professionista che si occupa di vigilare sul rispetto della normativa sulla privacy, di tenere i rapporti fra l’azienda ed il Garante e di offrire consulenza se necessario. I dati di contatto del DPO devono essere comunicati al Garante nelle forme che ha indicato.

Rispondi