Garante Privacy e Abi, prima ‘fotografia’ sul Data Protection Officer in ambito bancario

Una ricerca coordinata dall’Associazione Bancaria Italiana (ABI) ha affrontato alcuni temi importanti relativi al Data Protection Officer: collocazione rispetto ai vertici aziendali, indipendenza nell’eseguire i propri compiti, autonomia e attribuzione di adeguate risorse umane e finanziarie del Responsabile della protezione dei dati personali, offrendo una prima “fotografia” sul ruolo svolto nel settore bancario di questa figura introdotta in Italia dal Regolamento (UE) 2016/679.

Un primo risultato del progetto, messo in campo da Garante e ABI, è quello di costituire  una “Rete dei Responsabili della protezione dati nel settore bancario”, un gruppo di lavoro permanente, che punta al confronto e interscambio informativo tra l’Autorità e i RPD coinvolti nella gestione di trattamenti così complessi.

“Nella prospettiva dell’intelligenza artificiale occorrono principi etici, trasparenza, responsabilità sociale per la sicurezza e la protezione dei dati – sottolinea il Presidente dell’Abi Antonio Patuelli – Le banche italiane sono fortemente impegnate in continue innovazioni tecnologiche, investendo nella creazione e diffusione di una cultura della protezione dei dati. Il progetto che ci vede coinvolti è il primo esempio della costituzione di una ‘Rete’ dei Responsabili della protezione dei dati nel settore privato e ciò rappresenta per ABI un segnale di forte riconoscimento dell’impegno delle banche. La creazione delle Rete è quindi per tutto il mondo bancario occasione per affrontare e approfondire tematiche su cui è sempre più indispensabile ottenere indirizzi chiari, che possano facilitare la conformità alle norme”.

Il pensiero del Presidente del Garante

“Iniziative simili – afferma il Presidente del Garante Privacy, Pasquale Stanzione - sono estremamente importanti non soltanto perché rappresentano un’occasione di confronto sull’importanza di una tutela effettiva dei dati personali, ma anche perché consentono di comprendere l’importanza della protezione dei dati per lo sviluppo armonico della nostra società. Il Gdpr – continua Stanzione - nel tentativo di coniugare sviluppo economico, innovazione e dignità umana detta le condizioni per il lecito trattamento dei dati, a tutela della persona ma anche per la libera circolazione dei dati stessi, necessaria per promuovere economia e innovazione. Allo sviluppo crescente di sistemi sempre più avanzati di analisi ed elaborazione di dati personali nel settore bancario- conclude Stanzione - si deve quindi accompagnare il potenziamento del ruolo e dei compiti del RPD”.

Tornando all’azione condivisa, il Garante ha suggerito al gruppo di lavoro di avviare l’attività facendo una verifica dello stato di radicamento della funzione di RPD all’interno delle banche a distanza di cinque anni dalla sua istituzione. Uno spswcifico questionario  - a cui hanno dato risposta 87 tra banche individuali e capogruppo di gruppi bancari - conteneva domande sulle modalità di designazione, sui requisiti necessari per svolgere i compiti previsti, sulle risorse assegnate, sul ruolo e posizione nell’ambito dell’organizzazione societaria. Dal questionario emerge inoltre che i RPD sono nominati con un atto di designazione, hanno un’esperienza perlopiò in area giuridica, economica e tecnica e un’esperienza tra i 3 e gli 8 anni o più.

Osservazioni e suggerimenti

Di particolare interesse la parte che il questionario dedica a osservazioni e suggerimenti, da cui emergono l’attenzione per i rischi collegati all’intelligenza artificiale e l’esigenza forte di un costante coordinamento tra le Autorità e le normative nazionali ed europee del settore finanziario.

Il Garante ha da sempre posto particolare attenzione alla funzione strategica del RPD, nel favorire l’osservanza della disciplina privacy all’interno delle organizzazioni, e sulla capacità di essere un vero e proprio valore aggiunto all’interno dell’organizzazione aziendale. L’Autorità ha, infatti, dedicato agli RPD numerose iniziative informative, a partire dal progetto T4Data, promuovendo anche la creazione di “reti di RPD” per settori omogenei, di cui l’iniziativa in ambito bancario rappresenta un esempio significativo.