Privacy: In cosa consiste il GDPR in ambito informatico (cyber risk)
Il cyber risk rappresenta una minaccia per tutte le aziende, soprattutto per le banche: la sua crescita è dovuta essenzialmente all’evoluzione tecnologica che si sta attuando ancora oggi e che proseguirà verosimilmente anche in futuro. Per arginare gli effetti negativi di questo nuovo rischio legato alla tecnologia, si è resa necessaria una revisione del framework regolamentare esistente, imponendo regole più stringenti in tema di sicurezza bancaria.
Il GDPR costituisce la normativa di riferimento più recente in materia di protezione dei dati personali: esso nasce dall’esigenza di garantire una maggiore armonizzazione e comprensione della disciplina riguardante il trattamento dei dati personali delle persone fisiche.
Il GDPR è una risposta all’eccezionale sviluppo tecnologico che si sta realizzando attualmente: nel settore bancario infatti, l’ampliamento dei canali attraverso cui offrire prodotti e servizi ha comportato una crescita del numero e della frequenza con cui avvengono fenomeni di violazione dei dati personali dei clienti.
Il GDPR rivoluziona quindi l’approccio ai temi della sicurezza dei dati personali e della privacy, e ciò ha richiesto alle banche di apportare cambiamenti sostanziali nelle modalità di gestione della privacy. L’adeguamento alle nuove disposizioni sulla protezione dei dati personali dovrà avvenire piuttosto rapidamente, dato che il Regolamento diventerà pienamente efficace in tutti gli Stati membri il 25 Maggio 2018.
Una delle principali novità introdotte dal nuovo Regolamento Europeo sulla protezione dei dati (GDPR) è rappresentata dalla cosiddetta “valutazione d’impatto sulla privacy”. A tale processo è dedicato l’art.35 del Regolamento, che obbliga il titolare preposto al trattamento dei dati personali ad effettuare una preventiva stima dell’impatto potenziale che il trattamento stesso può avere nei confronti dei soggetti interessati, cioè degli individui a cui i dati personali si riferiscono.
La valutazione d’impatto sulla privacy costituisce un elemento di grande importanza, in quanto tramite essa si accresce la consapevolezza dei titolari riguardo ai trattamenti da questi eseguiti introducendo il principio della responsabilizzazione del titolare, dispone che quest’ultimo debba mettere in atto misure tecniche e organizzative adeguate in modo da garantire e dimostrare che il trattamento venga effettuato in conformità al Regolamento.
Dalla lettura della norma si evince che uno dei principi su cui si fonda il Regolamento è quello dell’accountability, ossia della responsabilizzazione del titolare del trattamento nei confronti dei dati che egli intende utilizzare. Si tratta di una novità nell’ambito della regolamentazione sul tema della privacy, poiché mentre in passato le responsabilità in capo al titolare erano limitate, oggi si vuole garantire una maggiore consapevolezza nel processo di trattamento dei dati personali, al fine di tutelare i diritti degli interessati e incentivare il titolare del trattamento ad operare in conformità a quanto disposto dalle nuove regole sulla privacy.
Le linee guida riguardanti la valutazione d’impatto sulla protezione dei dati chiariscono tutti i punti chiave specificando chi è il soggetto obbligato a condurre la valutazione, le situazioni in cui si rende obbligatoria la valutazione d’impatto, quando invece non è richiesta, in quale fase del trattamento deve essere effettuata, il contenuto della valutazione.
