Skip to main content

L'impatto del GDPR sugli istituti finanziari

Appian Contributor
April 4, 2018

Nell'ultimo blog di questa serie abbiamo esaminato la preparazione degli istituti finanziari all'entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR). Nel post di oggi entreremo pi˘ nel dettaglio e vedremo perchÈ gli istituti finanziari di tutto il mondo hanno bisogno di concentrarsi a livello dell'intera organizzazione sulla conformit‡ al GDPR. Esaminiamo alcuni degli elementi chiave della normativa europea, rilevanti per gli istituti finanziari: dalla comunicazione delle violazioni dei dati (data breach), alle richieste per far valere il diritto all'oblio sino alla gestione delle esigenze dei fornitori esterni.

GDPR: un cambiamento significativo

Il GDPR " stato concepito per armonizzare le normative vigenti all'interno dell'Unione europea in materia di data privacy, per proteggere e rafforzare il diritto alla riservatezza di tutti i cittadini dell'UE e ridefinire l'approccio alla data privacy da parte delle organizzazioni."Il GDPR rappresenta un cambiamento significativo in termini di requisiti di riservatezza dei dati che regolano il modo in cui gli istituti finanziari e altre organizzazioni gestiscono e proteggono i dati personali, dovuto principalmente all'estesa competenza giurisdizionale che si evince dalla definizione stessa di TUTTI I CITTADINI DELL'UE.

Le norme del GDPR si applicano a tutte le societ‡ che trattano i dati personali di soggetti residenti nell'Unione Europea, indipendentemente dalla loro ubicazione, dal metodo utilizzato per la raccolta dei dati, per l'archiviazione, la sicurezza o da quello per il trattamento e l'utilizzo di tali dati. Il regolamento stato approvato dal Parlamento Europeo il 14 aprile 2016 e la fine del periodo di transizione ormai vicina: il regolamento entrer‡ in vigore il 25 maggio 2018.

Obbligo di notifica dei data breach

Un cambiamento fondamentale che la conformit‡ a GDPR porter‡ agli istituti finanziari riguarda l'obbligo di segnalare entro 72 ore i data breach. Scoprire una violazione dei dati, le persone coinvolte, la portata della violazione e il modo in cui avvenuta, tutto nell'arco di 72 ore, richiede un'azione coordinata all'interno dell'organizzazione. Tradizionalmente, durante il periodo critico immediatamente successivo a un caso di violazione, le istituzioni finanziarie si preoccupano principalmente di rimediare ai danni provocati dalla violazione. Il rispetto dell'obbligo di segnalazione ai sensi del GDPR richieder‡ trasparenza e coordinamento a livello aziendale e coinvolger‡ gli architetti dell'infrastruttura, i responsabili della sicurezza dei dati, il dipartimento legale e il marketing. Ossia, tutti i dipendenti, la linea dirigenziale e gli investitori. Per avere un'idea pi˘ chiara su questo aspetto del regolamento: secondo Ponemon Research, lo scorso anno il tempo medio necessario per rilevare una violazione (Mean time to identify a breach, MTTI) era di 191 giorni, mentre il tempo medio di contenimento (Mean time to contain, MTTC) era stimato a 66 giorni.

Diritto all'oblio

Il GDPR, in definitiva, finalizzato a conferire ai cittadini dell'UE un maggiore controllo sui propri dati, pertanto riconosce ai consumatori il diritto di richiedere l'accesso o la cancellazione delle informazioni personali in mano agli istituti finanziari, senza la necessit‡ di autorizzazioni esterne. Tali richieste rientrano nel "diritto alla portabilit‡ dei dati personali" che consente agli istituti finanziari di conservare parte dei dati se necessario a garantire la conformit‡ ad altre normative. Nel caso in cui non vi siano giustificazioni valide, il diritto all'oblio ha valenza. La realt‡ che sugli istituti finanziari spesso grava il peso di silos di dati non collegati tra di loro, pertanto diventa difficile attuare le procedure di gestione dei dati necessarie a preservare il "diritto all'oblio" senza trasparenza e coordinamento a livello aziendale.

Responsabili e incaricati del trattamento dei dati: fornitori di servizi in cloud (CSP)

Gli istituti finanziari che scelgono un CSP devono assicurarsi che tale fornitore abbia adottato misure di salvaguardia e sicurezza che rispettino gli standard stabiliti dal GDPR per rimanere conformi alle disposizioni del regolamento. I dati rappresentano la linfa vitale per ogni istituto finanziario e possono essere condivisi tra diverse applicazioni, alcuni possono essere archiviati internamente, altri invece possono essere passati a fornitori esterni di servizi. » responsabilit‡ dell'istituto finanziario garantire procedure e processi chiari all'interno della propria azienda e assicurarsi che anche i venditori esterni che gestiscono i dati dei loro clienti dispongano di tali procedure.

GDPR Conseguenze

Gli istituti finanziari dovranno conformarsi o rischiano multe significative sino a 20 milioni di euro o fino al 4% del fatturato globale annuo, a seconda di quale cifra sia maggiore. La mancata osservanza della normativa potrebbe tradursi in azioni severe per richiedere la conformit‡, in danni alla reputazione e nella perdita di fiducia dei clienti.

La soluzione per gli istituti finanziari sta nell'adozione di un approccio olistico al GDPR, a prova di futuro e abbastanza flessibile da poter adeguarsi e rispettare eventuali nuove disposizioni normative, ad hoc o programmate. Un approccio olistico garantisce la visibilit‡ necessaria a definire un quadro chiaro dei dati personali in loro possesso e la possibilit‡ di rispondere rapidamente alle richieste di cancellazione dei dati quando questi non sono pi˘ indispensabili.

Scopri di pi˘ su questo episodio diAppianLIVE Expert Cut

Per saperne di pi˘ sulla conformit‡ e sulla sfida rappresentata dal GDPR, sintonizzati sull'ultimo episodio di AppianLIVE Expert Cut. In questa intervista, i leader di Appian nel settore dei servizi finanziari spiegano come la piattaforma di sviluppo low-code di Appian fornisce loro tutto ciÚ che serve a livello di Case Management e di Intelligent Automation, incluso la Robotic Process Automation (RPA) e l'intelligenza artificiale (IA), per la preparazione all'entrata in vigore del GDPR e per ottenere una trasformazione digitale di successo.

Guida alla preparazione per l'entrata in vigore del GDPR