Trattamento dei dati personali e impresa bancaria (Reg. UE 679/2016)
1. Dati personali e attività bancaria/finanziaria. 2. Trattamento dati e attività di impresa nel RGPD. 3. «Diritti e libertà delle parsone fisiche» vs. «tutela del risparmio»?. 4. Il trattamento dei dati ed i rischi di impresa. 5. Trattamento dei dati personali, Responsabile protezione dati (DPO) e governance dell’impresa bancaria.
Il trattamento dei dati personali pervade in termini incisivi l’universo dell’impresa bancaria, dall’attività in senso stretto fino alla governance della stessa. Affinché risulti “lecito, corretto e trasparente” si è notato come il legislatore europeo, attraverso il Reg. 679/2016/UE, abbia cercato di garantire una corretta ponderazione tra l’attività d’impresa bancaria e i singoli clienti, rispetto ai quali viene effettuata la profilazione al fine della distribuzione di prodotti e servizi bancari. A questo fine viene rilevato quanto sia importante la stesura della c.d. valutazione d’impatto, documento in cui devono essere contenuti: la descrizione dei trattamenti e delle loro finalità; la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; la valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare tali rischi. Emerge vibrante perciò la questione del bilanciamento tra l’interesse del titolare del trattamento e dell’interessato, richiedendosi al titolare le misure idonee per trattare i dati in relazione alla natura, al contesto e alle finalità del trattamento, oltre che adeguate misure tecniche e organizzative.
L’autore infine non manca di avanzare ipotesi ricostruttive riguardo al responsabile della protezione dei dati e alla sua collocazione nella governance bancaria, giungendo alla conclusione di considerarlo appartenente alle strutture interne di conformità e controllo, pur non dipanando definitivamente i dubbi rispetto al proprio inquadramento contrattuale
Personal data processing strongly permeates banking firm as a whole, from the activity to the banking governance. In order that data processing is “lawful, correct and transparent”, it is underlined that European legislator, thanks to Regulation EU/2016/ 679, have tried to guarantee a right balancing between banking firm’s activity and each client, for which profiling is executed. For this purpose, it is noted how important is the data protection impact assessment, a document in which various contents have to be included: treatments and their aims’ description; necessity and proportionality’s valuation of treatments, with regard to their aims; valuation of risks for rights and freedom of who has interest in the treatment; planned measures in order to address these risks. Thus, the issue of balancing the interests of controller and of who is interested emerges strongly, so the controller has to take the right measures for treating data in relation to the nature, the context and processing’s purposes.
Finally, the author proposes some critical assumptions about data processor and his placement in banking governance, concluding that data processor is included in compliance and checking internal structures. The author is not able to dispel doubts on his contractual classification anyway.