Il 25 maggio 2018 il 'GDPR' (Regolamento Generale per la Protezione dei Dati Personali UE n. 2016/679, in inglese 'General Data Protection Regulation') è diventato applicabile in tutti gli Stati membri dell’Unione europea. L’obiettivo del GDPR è favorire l’armonizzazione della regolamentazione in materia di protezione dei dati personali delle persone fisiche all’interno dell’Unione europea, attraverso l’introduzione di cambiamenti di particolare impatto anche per le società di gestione del risparmio (di seguito 'SGR').
D’ora in avanti, l’approccio al trattamento dei dati personali dei clienti dovrà essere basato sulla valutazione del rischio (che potremmo definire 'risk based thinking') e sul cosiddetto principio di responsabilizzazione.
La valutazione 'risk based' richiede che ogni SGR (i) conosca e sappia gestire i rischi a cui i dati personali dei clienti che tratta sono esposti e che (ii) sia in grado di identificare le relazioni con l’esterno causative di rischi. L’approccio deve, quindi, essere multidisciplinare e considerare tutti i possibili danni a cui l’azienda (e i dati dei clienti) è esposta.
Il cosiddetto principio di responsabilizzazione ('accountability', ossia “dover rendere conto del proprio operato”) richiede che ciascuna azienda si attivi prontamente e autonomamente decidendo le modalità e i limiti del trattamento dei dati, nonché le misure di tutela e garanzia da adottare. Ciascuna impresa dovrà, inoltre, essere in grado di dimostrare di aver concretamente compiuto quanto necessario ai fini del corretto adeguamento alle disposizioni del GDPR.
Tra le novità, riveste un ruolo rilevante la figura del DPO ('Data Protection Officer'): un esperto nella protezione dei dati, dotato di una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, di competenze tecnico-informatiche e di spiccate doti relazionali, strategiche e di problem solving.
In alcuni casi, la nomina del DPO è obbligatoria, specie nel caso di trattamento massivo dei dati dei clienti, che di norma sussiste quando si usano sistemi di business intelligence. Tuttavia, la nomina del DPO deve essere attentamente considerata anche qualora non sia obbligatoria, poiché tale figura garantisce una maggiore tutela e un maggior controllo sui trattamenti dei dati. In tal senso, la sfida principale per l’impresa è individuare il soggetto più idoneo a ricoprire il ruolo di supervisore interno imparziale, facilitatore e comunicatore sia verso il vertice dell’azienda sia verso l’esterno.
Altra rilevante novità è rappresentata dal diritto dell’interessato alla portabilità dei dati che, laddove possa essere esercitato, deve consentire all’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i suoi dati personali e di poterli trasmettere a un altro soggetto titolare del trattamento. Questa novità implica l’adozione da parte di ciascuna SGR di sistemi informatici adeguati che consentano la messa a disposizione all’interessato dei suoi dati quanto prima possibile, “senza giustificato ritardo” e in un formato immediatamente fruibile.
In questo nuovo quadro, le aree di attività delle SGR interessate dal GDPR sono molte e spaziano dai processi di transfer agent a quelli di compliance e reporting, dalla gestione patrimoniale ai rapporti con le banche corrispondenti e con le autorità giudiziarie e la GdF. In queste aree, occorrerà per esempio analizzare i livelli di sicurezza dei flussi di dati in entrata e in uscita e le modalità di interscambio, oltreché verificare i livelli di segregazione dei dati. Il GDPR avrà un impatto anche su ulteriori aree quali i sistemi di business intelligence, di IT e di marketing per le quali occorrerà compiere, a titolo esemplificativo, valutazioni sulle misure in essere, sviluppare processi e controlli aggiornati, valutare l’obbligatorietà di nomina di un DPO, verificare tutte le misure tecnologiche di difesa verso l’esterno, le policy di sicurezza e di crittografia.
Più le aziende hanno avuto cura del trattamento dei dati personali in passato, meno oneroso sarà ora l’adeguamento al GDPR. Occorre, tuttavia, ricordare che sussiste comunque un obbligo di dimostrazione di aver adottato tutte le necessarie misure di sicurezza tecnico-organizzative secondo le disposizioni introdotte dal GDPR. È, pertanto, consigliabile che ciascuna SGR tenga sempre traccia di ogni valutazione e decisione compiuta in materia di protezione dei dati personali.