[*] 1. La protezione dei dati personali nel settore bancario
Con l’obiettivo di assicurare il diritto alla protezione dei dati di carattere personale tutelato a livello europeo,[1] il regolamento sulla protezione dei dati personali (“GDPR”)[2] rafforza i diritti dell’interessato rispetto al titolare del trattamento e impone severe misure in caso di violazione.[3]
Come recentemente discusso nel corso di una consultazione promossa dall’ABE sugli usi innovativi dei dati dei consumatori da parte delle istituzioni finanziarie,[4] la GDPR ha particolare rilievo nel settore bancario non solo per la quantità di dati personali che gli istituti finanziari trattano, ma anche perché può rappresentare uno strumento di contenimento di taluni tra i principali rischi connessi all’attività bancaria.[5]
La GDPR, ad esempio, contiene ampi requisiti di trasparenza nei confronti degli interessati che rafforzano ulteriormente gli obblighi già imposti agli istituti finanziari rispetto ai consumatori.[6]
Secondo quanto previsto nel Regolamento i principi di trattamento corretto e trasparente “implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità”. Inoltre l’interessato“dovrebbe essere informato dell’esistenza di una profilazione e delle conseguenze della stessa”.[7]
Non solo: l’interessato ha diritto, ai sensi dell’Art. 15 GDPR, di “ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali nonchè alle informazioni relative al trattamento stesso”.
In aggiunta a quanto sopra, l’uso improprio dei dati come descritto dall’EBA nel discussion paper è direttamente interessato dai requisiti della GDPR. L’EBA individua tra le pratiche considerate come improprie: l’utilizzazione per scopi diversi da quelli per cui i dati sono stati raccolti, il trattamento di una quantità di dati non necessaria rispetto agli scopi, il trasferimento di dati a terze parti senza il consenso o salvaguardie equivalenti, il rischio che la mancata concessione di dati personali comporti l’esclusione del consumatore da certe tipologie di servizi o comporti costi più alti rispetto a coloro che decidono di fornire i dati richiesti.
Tali rischi possono essere fortemente mitigati ove si assicuri il rispetto di quanto previsto nella GDPR. Si pensi, ad esempio, all’obbligo di avere una base legittima per qualsiasi trattamento o trasferimento successivo (Art. 6), l’obbligo di raccogliere e trattare i dati per finalità determinate, esplicite e legittime [Art. 5.1 (b)], l’obbligo di raccogliere dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati [Art. 5.1 (c)]. Ancora, ulteriori disposizioni che limitano i rischi evidenziati dall’EBA concernono le condizioni imposte in caso di trasferimento dei dati al di fuori dell’area economica europea (Capo V GDPR), il diritto di opposizione al trattamento dei dati e di cancellazione concessi all’interessato (Artt. 17 e 21).
L’EBA, inoltre, evidenzia particolari rischi legati alla profilazione e all’utilizzo di dati sensibili. Anche in questo caso la GDPR contiene specifiche disposizioni. I titolari del trattamento sono tenuti ad (i) assicurare trasparenza all’interessato rispetto all’esistenza di una profilazione; (ii) svolgere una valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment) ai sensi dell’articolo 35 GDPR; (iii) dimostrare comportamenti proattivi e una concreta e non meramente formale adozione del regolamento (accountability) mediante misure di tutela e garanzia dei dati trattati (Artt. 5 (1) (f) e 32 GDPR).[8]
Il titolare potrà dimostrare il rispetto della normativa in materia di privacy mediante l’adozione di misure tecniche ed organizzative adeguate fin dalla fase di progettazione di prodotti e servizi per il cliente (Art. 24 e 32 GDPR). La valutazione sull’adeguatezza si fonda su un risk based approach: la responsabilità del titolare o del responsabile del trattamento si misura tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, della portata, del contesto e delle finalità del trattamento, della probabilità e della gravità dei rischi per i diritti e le libertà delle persone fisiche.[9]
A livello applicativo, il rispetto delle disposizioni sopra descritte è assicurato da un pesante quadro sanzionatorio. In caso di mancata osservanza della normativa GDPR le banche non solo rischiano ingenti sanzioni comminate dall’autorità di vigilanza competente, ma anche richieste di risarcimento da parte degli interessati.[10] Inoltre, data la particolarità del settore bancario che più di altri dipende fortemente dalla fiducia dei clienti e degli investitori, l’eventuale pubblicità del mancato rispetto della normativa potrebbe comportare un considerevole danno reputazionale per la banca.[11]
2. L’approccio della Banca Centrale Europea nell’ambito della supervisione bancaria: la sicurezza cibernetica e il rischio informatico
Nel contesto del sistema europeo di vigilanza bancaria la valutazione in merito al rispetto della normativa in materia di protezione dei dati personali assume connotati specifici. In particolare, gli aspetti su cui si concentra la supervisione bancaria sono la resilienza cibernetica e il rischio informatico.
Recenti incidenti informatici avvenuti presso banche importanti[12] hanno ricordato l’impatto economico debilitante che un attacco informatico può avere non solo per il singolo istituto di credito ma per l’intero sistema finanziario nel suo insieme. Secondo un recentissimo report dell’ESRB, un cyber-attacco informatico ben organizzato contro le principali istituzioni finanziarie potrebbe addirittura portare a una crisi del sistema finanziario nel suo complesso.[13] La necessità di una vigilanza, di un lavoro e di una collaborazione continui in questo campo si sono quindi imposti come imperativi.[14]
In questa medesima prospettiva la BCE, come autorità di vigilanza sul sistema bancario, ha inserito la ciber-criminalità e le carenze dei sistemi informatici tra i primi tre fattori di rischio per il sistema bancario nell’area euro[15]. Conseguentemente, la Banca Centrale:
- chiede alle più grandi banche dell’Euroarea di segnalare gli incidenti cibernetici significativi non appena siano stati rilevati – in modo da essere preparati a reagire più rapidamente a potenziali crisi innescate da episodi di tale natura – e sta elaborando linee guida riguardanti specificatamente la gestione dei rischi informatici.
- ha inclusoil rischio IT-cibernetico tra i componenti di rischio operativo nelle metodologie utilizzate nel processo di revisione e valutazione prudenziale (ad es. sicurezza informatica, outsourcing IT, qualità dei dati).
- conduce periodiche ispezioni mirate in loco (sulle aree a rischio IT in generale, ma anche sulla sicurezza IT e sul rischio informatico).
- ha inserito il rischio IT-cibernetico tra i criteri utilizzati nella valutazione delle domande di autorizzazione all’esercizio dell’attività bancaria.[16]
Per completezza merita segnalare che l’Eurosistema ha elaborato varie misure non solo nell’ambito della propria attività di vigilanza, ma anche nel contesto delle infrastrutture dei mercati finanziari. Nel contesto del FMI oversight, ad esempio, la BCE ha emanato il quadro europeo per il Threat Intelligence-based Ethical Red Teaming (TIBER-EU) che permette alle autorità di lavorare con gli enti sotto la loro responsabilità così da mettere in atto un programma per testare e migliorare la loro resilienza contro i sofisticati attacchi informatici.
3. Conclusioni
Gli istituti bancari hanno tradizionalmente considerato la protezione dei dati come un mero costo di conformità piuttosto che un’opportunità.
Al contrario, la nuova normativa in materia di protezione dei dati personali dovrebbe rappresentare “an opportunity for banks to build even stronger customer relationships, based at its core on trust”[17] posto che i consumatori hanno già da tempo affidato alle banche i propri dati personali. Allo stesso modo, come sopra evidenziato, il rispetto della disciplina in materia di data protection può rappresentare uno strumento di contenimento di taluni dei principali rischi connessi all’attività bancaria, ciò anche in ragione degli ingenti costi – sia dal punto di vista economico che da quello reputazionale – in caso di mancato rispetto.
A livello di vigilanza, è importante continuare a monitorare la ciber-resilienza bancaria, la sicurezza IT ed il rischio informatico. D’altro lato, una maggiore attenzione al rispetto della normativa in materia di protezione dei dati personali da parte delle banche potrebbe garantire un maggiore controllo sulla trasparenza bancaria e sul livello di fiducia dei consumatori, sull’esistenza di adeguate misure di sicurezza per contenere il rischio informatico, nonché di sistemi di risposta ad eventuali cyber-attacchi e data breaches.
[*] Il presente articolo non può considerarsi come rappresentativo della posizione della Banca Centrale Europea (BCE). Le opinioni qui espresse sono quelle dell’autore e non riflettono necessariamente il pensiero della BCE.
[1] Articolo 8 della Carta dei diritti fondamentali dell’Unione europea e Articolo 16 del Trattato sul Funzionamento dell’Unione Europea.
[2] Normativa di riferimento: Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196); Regolamento (UE) 2016/679 (GDPR).
[3] Per una lista aggiornata delle multe irrogate a livello globale dall’entrata in vigore della GDPR si veda https://www.enforcementtracker.com/.
[4] European Banking Authority, Discussion paper on innovative uses of consumer data (Maggio 2016).
[5] European Banking Authority, Discussion paper on innovative uses of consumer data, Submission no. 30, available at https://eba.europa.eu/node/82031/submission/62869.
[6] Si veda adesempio Banca d’Italia, Provvedimento in materia di trasparenza delle operazioni e dei servizi bancari e finanziari correttezza delle relazioni tra intermediari e clienti (18 giugno 2019), Direttiva MiFID II (2014/65/EU).
[7] Considerando 60, Artt. 13-14 GDPR.
[8] Per un approfondimento sul tema si veda European Data Protection Supervisor, Guidelines on data protection in EU financial services regulation (25 Novembre 2014); Malta Bankers Association, Maltese Information and Data Protection Commissioner, Data protection guidelines for banks (Maggio 2018).
[9] Art. 32 GDPR.
[10] Articoli 82-84 GDPR.
[11] Per un’analisi sul punto si veda Ponemon Istitute, The Fourth Annual Study on the Cyber Resilient Organisation (Aprile 2019).
[12] Si veda l’attacco cibernetico sulla Banca della Valletta avvenuto nel febbraio 2019, o il data breach avvenuto in Banca Unicredit di ottobre 2019.
[13] European Systemic Risk Board, Systemic cyber risk report (February 2020); Davey Winder, $645 Billion Cyber Risk Could Trigger Liquidity Crisis, ECB’s Lagarde Warns (8 Febbraio 2020).
[14] Fabio Panetta, Introductory remarks at the fourth meeting of the Euro Cyber Resilience Board for pan-European Financial Infrastructures (27 February 2020).
[15] Banca Centrale Europea, Vigilanza bancaria della BCE: valutazione dei rischi per il 2020 (7 ottobre 2019).
[16] Banca Centrale Europea, Newsletter – IT and cyber risk – the SSM perspective (13 Febbraio 2019). Si veda anche EBA, Orientamenti sulla valutazione dei rischi relativi alle tecnologie dell’informazione e della comunicazione (Information and Communication Technology – ICT) a norma del processo di revisione e valutazione prudenziale (SREP) (11 settembre 2017).
[17] European Banking Federation Board, Communiqué – Keep momentum to support banks fuelling growth (Maggio 2018) disponibile su https://www.ebf.eu/ebf-media-centre/keep-momentum-to-support-banks-fuelling-growth-ebf-board-communique/.
