L’adeguamento al GDPR nelle banche può essere occasione per migliorare la governance dei dati? La risposta è sì, anche nel caso di un grande istituto bancario dove l’attenzione alla corretta gestione dei dati e alla tutela della privacy dei clienti non sono fattori recenti. Il progetto della Banca Popolare di Sondrio è partito nell’aprile 2016, a breve distanza dall’emanazione del regolamento europeo: “Siamo partiti con la formazione del personale – ci spiega Alessandro Crepaldi, referente Presidio Operativo per la protezione dati della Banca – non solo nell’ambito tecnico, ma anche dei capi ufficio e capi servizio per rendere tutti consapevoli degli impatti della normativa sul sistema di gestione dei dati aziendali”.
Who's Who
Alessandro Crepaldi
Un approccio al cambiamento che è prima di tutto culturale e che richiede strumenti di conoscenza appropriati per il gran numero di persone che coinvolge.
La roadmap del progetto GDPR
Il progetto di adeguamento è entrato in fase operativa tra la fine del 2016 e l’inizio del 2017 grazie alla collaborazione di più soggetti. “Dapprima con il coinvolgimento del team deputato alla sicurezza ICT e di consulenti esterni – spiega Crepaldi -; si sono quindi aggiunti i team che, sempre nell’ambito ICT, si occupano di data quality, governo dei dati e del sistema informativo”.
Il progetto di adeguamento GDPR è stato guidato dall’ICT della Banca, “solo successivamente ha coinvolto l’ufficio deputato all’effettuazione delle verifiche di conformità con le normative sulla privacy”. Il 2017 è iniziato con la redazione del Registro dei Trattamenti, attività realizzata attraverso interviste frontali con i capi servizio e i capi ufficio. Sulla base del contenuto del Registro è stata condotta l’analisi del rischio, “calcolando gli impatti sugli specifici trattamenti dei dati e quindi raccogliendo i risultati sul registro stesso – continua Crepaldi -. Il rischio complessivo di ogni trattamento dipende dalla probabilità che accada qualcosa di imprevisto e dall’effetto di mitigazione dello specifico framework messo a punto dal team della sicurezza ICT. Ci si è quindi dedicati ai contratti con i fornitori, assicurandoci che nei rinnovi fossero comprese le clausole di conformità utili al GDPR; è stato così rivisto tutto ciò che riguardava le responsabilità dei trattamenti dati”.
Nella fase terminale del progetto, dal febbraio all’aprile del 2018, sono state aggiornate le informative sulla privacy per la clientela e i dipendenti. Nel maggio del 2018, infine, la Banca ha emanato il nuovo regolamento aziendale sulla protezione dati personale comprensivo degli allegati che riguardano la parte operativa, di controllo e organizzativa.
L’importanza di assegnare correttamente responsabilità e ruoli
Un aspetto centrale nel progetto GDPR di Banca Popolare di Sondrio è la definizione delle responsabilità e dei ruoli in seno all’organizzazione aziendale: “Un compito che ha investito direttamente il CDA della Banca – spiega Crepaldi – che nel dicembre del 2017 ha tracciato il nuovo organigramma prevedendo sia il DPO, come figura di controllo e consulenza rispetto al trattamento dei dati, sia il Presidio Operativo per la protezione dei dati personali che svolge le analisi di rischio, redige le informative sui contratti e in generale gestisce tutta l’operatività collegata con il GDPR”. La Banca ha inoltre istituito la figura del “referente interno” del trattamento, “identificata nei vari capi servizio e ufficio che, limitatamente ai dati di loro competenza, si occupano dell’esecuzione del modello di privacy emanato dal Presidio Operativo e controllato dal DPO”.
La Banca ha in questo modo trovato un modello organizzativo conforme al regolamento GDPR e nel contempo compatibile con la propria struttura. Le valutazioni del rischio sono state condotte dal Presidio Operativo in stretta collaborazione con il team della sicurezza ICT. Il cambiamento più significativo verso la maturità nella gestione dei dati è consistito “nel far confluire le attività del Presidio Operativo per la protezione dei dati personali nel nuovo Ufficio Gestione e Protezione dei dati, che unisce anche le competenze su data quality e data governance – precisa Crepaldi -. La convenienza di riunire insieme GDPR, data quality e data governance era emersa molto chiaramente sui tavoli di discussione dell’ABI a cui abbiamo partecipato a fine 2017 per la definizione delle linee guida”.
Le best practice per avvantaggiarsi del GDPR nelle banche
Nel progetto della Banca è stato vincente partire con il piede giusto nell’identificazione dei trattamenti: “Non avevamo un foglio in bianco, ma la classificazione fatta da ABI Lab dei processi tipici della banca – spiega Crepaldi -. Abbiamo quindi identificato gli uffici che gestivano i processi riuscendo a raccogliere in breve tempo la maggiore quantità possibile di informazioni sui trattamenti. Poiché già disponiamo di un CMDB per la catalogazione degli asset informativi e la loro correlazione con processi, reparti e applicazioni sottostanti, non è stato difficile creare l’ulteriore legame con i trattamenti per facilitare le classificazioni ai fini governance e della privacy”. C’è un vantaggio nel mettere insieme la protezione dei dati personali con il governo dei dati: “Ci consente di integrare le classificazioni dei dati ai sensi del GDPR con quelle di governance; abbiamo cominciato dai partitari della banca, successivamente faremo lo stesso con i dati e-mail, file Word, Excel e archivi dati non strutturati”.
Terminato il lavoro per il GDPR, la Banca ha organizzato un masterplan pluriennale sotto la diretta supervisione del Responsabile dell’intera struttura Gestione e Protezione dati, Ing. Andrea Bandera, allo scopo di integrare la privacy nei processi aziendali e di ottenere valore per il business.
Formazione e cultura sono aspetti fondamentali nella tutela dei dati: “Il GDPR ci ha messo in relazione con persone che hanno culture e competenze diverse in tema di privacy – prosegue Crepaldi -. Il fatto di non parlare la stessa lingua è una sfida da affrontare, non diversa da quella che oggi pongono tecnologie come blockchain o analisi su big data, dove l’utilizzo ai fini del business non può prescindere dalle conoscenze informatiche”. Al di là degli obiettivi GDPR è stata importante l’attività di formazione continua fatta a responsabili, capi ufficio e capi servizio sul tema del trattamento dei dati: “Pensiamo di completarla con la formazione verticale – precisa Crepaldi -, per esempio negli ambiti data breach e del registro dei trattamenti”.
Sul fronte della difesa dai data breach, Banca Popolare di Sondrio ha trovato vantaggioso integrare il processo di valutazione e segnalazione degli incidenti GDPR con le attività previste dalla circolare 285 della Banca d’Italia: “Ogni incidente che coinvolga dati personali non solo è ‘potenzialmente grave’ nella classificazione di Banca d’Italia, ma è anche analizzato dal team di specialisti con il coinvolgimento del Presidio operativo e del DPO per l’eventuale segnalazione al Garante”. La Banca ha inoltre predisposto un’e-mail aziendale per raccogliere le segnalazioni degli incidenti non rilevabili a livello informatico ed egualmente pericolosi per le perdite di dati, come lo smarrimento di faldoni cartacei, archivi di file ecc. Le segnalazioni sono raccordate nell’unico processo di valutazione e gestione degli incidenti della Banca.
Gli spazi di miglioramento
Tra le novità del Regolamento c’è l’introduzione del diritto alla portabilità dei dati: “Un aspetto poco esercitato dalla clientela e sul quale il GDPR lascia ampi spazi d’interpretazione – spiega Crepaldi -. Già prima del GDPR i clienti avevano la possibilità di scaricare dall’internet banking dati anagrafici e movimentazioni di conto in formati aperti, come Csv. Ci aspettiamo che queste funzioni abbiano un ulteriore sviluppo sotto la spinta delle richieste dei clienti e dell’evoluzione delle API bancarie per la conformità alla normativa PSD2 [che abilitando l’open banking dovrebbero semplificare il trasferimento dati tra soggetti diversi, ndr]”.
Come già detto è vantaggioso per la Banca poter integrare il trattamento della privacy con il più generale governo dei dati. “È importante che la privacy non venga gestita sulla base di controlli, ma sempre più integrata nei processi di business – precisa Crepaldi -. Serve la privacy-by-design, l’integrazione con i processi di demand, di change e in ogni iniziativa che approda al service manager [la figura deputata a tradurre le richieste in soluzioni informatiche, ndr]”.
Tra i desideri c’è la semplificazione del Registro dei Trattamenti: “C’è oggi un’eccessiva granularità nelle descrizioni – lamenta Crepaldi -. Razionalizzare il Registro consentirebbe di renderlo più fruibile, per esempio per il supporto decisionale o come strumento di gestione a cui collegare le informative e i consensi necessari per il supporto di ogni trattamento”. Per Crepaldi è inoltre importante che le informative sui trattamenti dati siano meno formali e più sostanziali: “Ci rendiamo conto dell’importanza di una redazione che renda più comprensibile l’informativa per i clienti come per i fornitori”.
La Banca sta identificando gli elementi standard applicabili alle diverse tipologie di fornitori tenendo conto del linguaggio impiegato per indicare le misure tecniche e organizzative: “Sappiamo che può essere lo stesso per un fornitore IT e per un avvocato professionista. Anche quest’ultimo usa l’IT, ma certamente non conosce i termini tecnici della sicurezza. Cerchiamo di sfruttare la base giuridica offerta dal GDPR per bilanciare tutti gli interessi e garantirci più trasparenza oltre che sicurezza”, conclude Crepaldi.
