RELAZIONE FINALE

1. Promuovere le nuove tecnologie nell’ambito dell’operatività bancaria e finanziaria, mantenendo un punto di equilibrio tra le opportunità offerte dall’innovazione dei servizi e il rispetto del diritto alla «privacy» dei cittadini.

L’ innovazione tecnologica rappresenta una leva importante per il settore finanziario perché in grado di stimolare la continua evoluzione dei processi interni e dei servizi offerti alla clientela. I big data, i data analytics, il machine learning, sono strumenti ampiamente diffusi all’interno del settore bancario e finanziario, che attraggono ingenti investimenti da parte degli operatori, poiché possono migliorare sensibilmente, non solo i processi di business ma anche la gestione dei rischi specifici del settore (es. rischi di credito); Il loro utilizzo non può prescindere naturalmente dalla conformità delle soluzioni scelte alle normative applicabili a questi ambiti e ai meccanismi di assurance necessari per garantire il rispetto dei diritti e delle libertà dei soggetti coinvolti. In questo senso, le riflessioni sulla conformità devono procedere di pari passo con la “dinamicità” e l’evoluzione delle nuove tecnologie. Il settore, dunque, sembra spingersi verso un modello di banca sempre più “data-driven”. Tutto ciò pone nuove sfide di compliance, in particolare nell’ambito del rispetto del principio di minimizzazione del dato e dell’adeguata responsabilizzazione del titolare del trattamento nello svolgimento di procedure e analisi anche automatizzate. Per quanto rappresentato, potrà essere opportuno:

• avviare ogni iniziativa utile per assicurare un confronto costante con l’Industry bancaria, delle Fintech e le Autorità Garanti Privacy e di vigilanza del mondo bancario al fine diaumentare la consapevolezza delle specificità dell’attività bancaria e dei benefici derivanti dal potenziale utilizzo di tecnologie innovative, se correttamente bilanciato con la tutela della privacy dei propri clienti;
• creare nuove competenze per comprendere e gestire la complessità delle nuove tecnologie e la loro velocità di evoluzione in ottica data-protection;
• rafforzare la relazione tra titolari del trattamento e tutte le parti coinvolte nella gestione dei dati;
• innescare un processo di “pedagogia digitale” al fine di offrire alla clientela strumenti pratici per comprendere il valore dei dati personali e finanziari e le logiche poste alla base degli algoritmi di analisi, cercando di aumentare la trasparenza di questi ultimi.

2. Abilitare un eco-sistema di scambio di dati (Open Data) che garantisca il rispetto della normativa privacy e faciliti le procedure di trasferimento dei dati in tutta sicurezza.

Il tema del trasferimento dei dati personali in Paesi Extra UE risulta essere di grande attualità anche all’interno del settore bancario e finanziario, soprattutto a seguito della decisione della Corte di Giustizia Europea (cd. “Schremes II”) e dei recenti Provvedimenti che hanno riguardato l’utilizzo di Google Analytics. In questo contesto, deve essere gestita l’esigenza che può verificarsi nell’operatività, tra gli altri, degli operatori finanziari di dover trasferire dati al di fuori dello Spazio Economico Europeo; tutto ciò avviene, quasi sempre, con modalità del tutto similari tra i diversi istituti, sfruttando flussi di dati rilevabili e comporta la necessità di un numero estremamente elevato di TIA (Transfert Impact Analysis) che, nella maggior parte dei casi, si avvalgono anche di ricostruzioni della normativa, da parte di soggetti terzi il cui consulto non ha un valore “legale”. Allo stato attuale, dunque, non è possibile avvalersi di un valido strumento, anche di assunzione del rischio, che possa essere fornito come evidenza di accountability. D’altro canto, si ritiene che una maggiore valorizzazione dei cosiddetti “dati aperti” o “Open Data” potrebbe facilitare le procedure di trasferimento dei dati in paesi terzi, tra società dello stesso gruppo bancario/finanziario e con le terze parti, sempre mantenendo un adeguato grado di sicurezza. Tale approccio, potrebbe anche facilitare le attività svolte nell’ambito della sicurezza dei servizi finanziari. Per quanto rappresentato, potrà essere opportuno:

• rappresentare nelle sedi europee la necessità di decisioni di adeguatezza della Commissione UE, almeno rispetto agli Stati Uniti e ad alcuni Paesi di rilevanza in ambito Extra UE;
• creare un contesto normativo che sia in grado di fornire strumenti pratici che aiutino il titolare del trattamento a condurre le TIA, contribuendo così a fornire un orientamento comune e certezza sulla tenuta e sulla solidità giuridica degli strumenti di trasferimento e che aiuti la valorizzazione, anche nel contesto bancario/finanziario degli Open Data;
• rafforzare la possibilità che un dato personale possa essere condiviso in ambito cybersecurity e antifrode al fine di garantire una maggiore tutela della clientela.

3. Garantire un maggior coordinamento tra le normative, di rango nazionale ed europeo, applicabili al settore bancario e finanziario e la normativa sul trattamento dei dati.

La normativa sul trattamento dei dati personali (si consideri, ad esempio, il General Data Protection Regulation e il Codice Privacy italiano) è caratterizzata da un ambito di applicazione trasversale. Questa particolarità, nell’ambito del settore bancario e finanziario, è stata oggetto di contemperamento con altre normative che recano disposizioni ad hoc quanto alla legittimità o meno del trattamento dei dati personali. Si pensi, come esempi pratici, all’interazione tra:

• GDPR e normativa Antiriciclaggio (AML): se, da un lato, si riconosce il diritto di accesso ai propri dati personali da parte dell’interessato, imponendo una disclosure di informazioni, dall’altro lato la legge stessa riconosce delle limitazioni a tale diritto proprio per evitare la compromissione delle indagini in corso e per salvaguardare in generale gli interessi tutelati dalla normativa AML (imponendo una non disclosure di talune informazioni invece richiedibili con il diritto di accesso).Tuttavia, in alcuni casi “il confine” può essere labile;
• GDPR e PSD2, ove, oltre ai temi già noti, trattati dalle Linee Guida 06/2020 dell’EDPB, restano al centro del dibattito altre questioni di rilevanza come, ad esempio, la verifica dell’identità digitale degli utenti e gli aspetti privacy collegati.

Per quanto rappresentato, potrebbe essere opportuno:

avviare ogni iniziativa utile per garantire un maggiore coordinamento tra le discipline e un confronto costante con l’Autorità Garante nazionale per illustrare la specificità di alcune discipline rispetto al GDPR e segnalare, in ambito europeo, la necessità di una maggiore “coerenza” delle regole.