Gdpr: per le sgr l'ombrello di Assogestioni

Livia Caivano
Livia Caivano
28.6.2018
Tempo di lettura: 3'
Banche e assicurazioni in prima fila nei preparativi alle nuove regole sulla protezione dei dati personali. In arrivo il codice di condotta dell'associazione dei gestori, in attesa del via libera da parte del garante della privacy

Il Codice di condotta di Assogestioni per sgr è l'unico esempio in Europa

Con l'approvazione del Garante della Privacy, sarà una guida per le società






Le aziende italiane si presentano in ordine sparso all'appuntamento con il Gdpr. Secondo una ricerca dell'Osservatorio Information Security & Privacy del Politecnico di Milano, relativa al 2017, da un anno all'altro è calata dal 23 all'8 per cento la quota delle imprese che dichiaravano una scarsa conoscenza delle nuove regole sulla privacy.

Tuttavia mentre il 65% delle aziende bancarie (e l'80% di quelle assicurative) hanno stanziato un budget per fronteggiare i nuovi obblighi, la stessa percentuale scende al 47% nelle imprese manifatturiere e si riduce al 12% per quelle che hanno messo in bilancio stanziamenti pluriennali.

Nell'universo dell'industria finanziaria, poi, si distingue in positivo il segmento dell'asset management dove per altro la privacy assume una significativa rilevanza a causa del gran numero di dati sensibili trattati dagli intermediari. Com'è noto il Gdpr incoraggia i singoli Paesi a creare meccanismi di certificazione, di sigilli e marchi di protezione, per dimostrare conformità alle disposizioni. Ebbene nel caso italiano il compito è affidato alle associazioni di categoria, sotto lo sguardo vigile del garante della privacy. E proprio Assogestioni, l'associazione degli asset manager, è stata la più lesta a rispondere alla chiamata stilando un Codice di Condotta, ora in attesa del via libera da parte del Garante.

Il codice di condotta di Assogestioni


Pensato per rispondere alle esigenze di titolari e responsabili del trattamento dei dati e per risolvere a monte eventuali problemi di compliance, il Codice una volta approvato darà garanzia alle società che decidessero di adottarlo, di assoluto rispetto del complesso Gdpr: si tratta dell'unico esempio in Europa.

Teresa Pisanti, senior legal counsel per Invesco Asset Management SA, pensa al Codice anche come una soluzione alle problematiche delle società che gestiscono dati anche di clienti esteri: “L'intermediario deve trovare un approccio che vada bene in diverse giurisdizioni. Grazie ad Assogestioni abbiamo un codice approvato dall'autorità che ci permette di dormire sonni tranquilli ed essere allo stesso tempo opinion leader in Europa”.

Entrando nel merito del Codice di Condotta, come si devono muovere le società del risparmio gestito?

Secondo Daniele De Paoli, garante per la protezione dei dati personali del Dipartimento realtà economiche e produttive, momento chiave sarà la scelta del Dpo, il data protection officer. Supervisore indipendente, l'officer supporterà il titolare nel controllo del rispetto della normativa; non sarà investito di responsabilità dirette ma solo indirette, in caso di colpa grave o inadempimento. Si tratta di un'assoluta novità per l'ordinamento italiano: un cane da guardia interno alla società che stimoli i vertici aziendali a stanziare i fondi necessari e stimolare la formazione del personale. Il regolamento lascia piena libertà di scelta riguardo la scelta di selezionare un dipendente interno, che faccia già parte della struttura aziendale o di privilegiare piuttosto un esperto esterno. Il Garante suggerisce alle Sgr di medio - grandi dimensioni l'individuazione di una risorsa interna, che possa conoscere e muoversi al meglio all'interno dell'azienda. Nel caso delle piccole realtà propone invece la ricerca di una figura professionale esterna, formata e preparata sul tema da mettere nelle condizioni di interfacciarsi con il resto del personale. Nel caso specifico, diventa altresì indispensabile che l'officer abbia già confidenza con il mondo del risparmio gestito e che sappia quindi muoversi con adeguata cautela nella gestione dei dati della clientela.

Un altro passaggio fondamentale è poi quello dell'istituzione del Registro dei Trattamenti: nonostante il Regolamento esoneri da quest'obbligo imprese o organizzazioni con meno di 250 dipendenti, è preferibile secondo il Garante costituire il registro a prescindere e comportarsi come se l'ipotesi di esenzioni non esistessero affatto. Diventa fondamentale quindi il censimento di dati per categorie di appartenenza: clienti, impiegati, fornitori; ragioni per le quali queste informazioni sono nelle mani dell'azienda, come vi sono arrivate e come verranno eventualmente comunicate all'interno e all'esterno dell'azienda stessa. Ennesima novità portata dal Gdpr nel mondo della data protection è infatti l'introduzione del Diritto alla portabilità, il diritto cioè di richiedere e ricevere dati propri, forniti in precedenza a un dato titolare, a una data azienda, per conservarli in vista di un nuovo ulteriore utilizzo. I dati personali richiesti dovranno quindi essere forniti in un formato cosiddetto ‘strutturato', leggibile da dispositivo automatico e eventualmente trasmessi a un altro titolare del trattamento, senza impedimenti. Nelle intenzioni del regolatore, la volontà di migliorare il controllo degli interessati sui propri dati, facilitandone la trasmissione. Per i gestori di fondi diventa quindi importantissimo pensare e strutturare non solo la gestione di questi dati in uscita ma anche in entrata.







Per le Sgr, sarà infine indispensabile rivedere e adeguare le misure di sicurezza del sistema informatico, provvedere per tempo all'analisi dei rischi di perdita o distruzione dei dati già in possesso, e strutturare in anticipo un protocollo da adottare in caso di difficoltà.





 



Cosa vorresti fare?

X
I Cookies aiutano a migliorare l'esperienza sul sito.
Utilizzando il nostro sito, accetti le condizioni.
Consenti