Un valore da proteggere: i dati personali, i fondi e il GDPR
Il prossimo 25 maggio il Regolamento generale per la protezione dei dati dell’UE avrà piena efficacia. Anche i fondi pensione e i fondi sanitari sono chiamati a trovare misure di adeguamento, in virtù di un cambio di prospettiva e liberi da inutili allarmismi
Con l’avvicinarsi del giorno 25 maggio, avrà sempre più spazio nel discorso pubblico l’entrata in vigore del regolamento europeo sulla protezione dei dati (il cosiddetto GDPR, acronimo per General Data Protection Regulation) che richiede da parte di tutte le imprese, enti e istituzioni - il cui core business contempli l’uso di dati personali su larga scala . un adeguamento alle nuove direttive.
Il GDPR era in realtà già entrato in vigore il 24 maggio 2016 (Regolamento UE 679/2016); tuttavia, trattandosi di un regolamento a “applicazione differita”, sarà appunto dal prossimo 25 maggio che l’autorità di riferimento avrà il potere di effettuare controlli. I due anni di differita erano stati previsti al fine di concedere alle società europee il giusto tempo di organizzarsi e raggiungere la compliance alle nuove norme. Molte società italiane (ma con esse anche la grande maggioranza delle colleghe europee) non avranno però raggiunto un profilo di compliance entro la fatidica data. Una ricerca dell’Osservatorio Information & Security della School of Management del Politecnico di Milano rileva che in Italia nel 2017 il 51% delle imprese stava già gestendo un piano di adeguamento (un grande incremento rispetto al 9% del 2016) e il 34% ha mosso i primi passi per avviare un piano e il 58% ha definito un budget.
Tra le società interessate, che dunque devono e dovranno compiere un sforzo in questa direzione, ci sono anche i fondi pensione e i fondi sanitari. Un’anomalia solo apparente, poiché per i fondi, che pur non raccolgono i dati al fine di “vendere” prodotti in senso tradizionale, la raccolta del dato personale è essenziale per lo svolgimento dell’attività principale e si può dunque considerare parte del loro core business. Non solo, l’effettiva validità del GDPR rappresenta per i fondi pensionistici un tema di grande delicatezza poiché a partire dall’iscrizione del soggetto, sommando la fase di contribuzione, la fase di erogazione, la gestione dell’estinzione del trattamento e di eventuali eredità, i dati personali (informatici e cartacei) arrivano facilmente a coprire un arco temporale di oltre 50 anni. Inoltre, in un tempo così lungo, può accadere che il fondo si estingua, confluisca in altri, cambi service provider o deleghi la gestione dell’archivio, ponendo così un problema di accumulo e stratificazione dei dati e richiedendo dunque una gestione pronta a fronteggiare esigenze di lungo termine.
L’imminenza del 25 maggio e la mole di lavoro da svolgere hanno offerto il fianco a allarmismi, che rischiano di spingere le società (e con esse anche i fondi) a affrettare pratiche che richiederebbero decisioni ben ponderate. Il GDPR però funge solo da normativa cornice, cui seguiranno indicazioni specifiche per i vari settori, sia a livello europeo che locale: si attendono infatti i decreti delegati senza cui non è possibile per l’autorità applicare sanzioni.
Lo spirito ispiratore della normativa rappresenta un cambio di registro nel modo in cui le istituzioni e la società europea hanno approcciato le questioni sollevate dalla privacy. Le direttive recepite dall’Italia con il codice della privacy (d.lgs.196/2003), emanate nella congiuntura storica che ha visto internet conquistare prepotentemente il modo di fare business, partivano da una forte idea di protezione dell’individuo e si muovevano in una direzione di restrizione e prevenzione dell’abuso del dato personale. Con il GDPR arriva una svolta importante che invita le società e le istituzioni a mettere i dati al centro e considerarli un modo di acquisire e produrre valore. Il regolamento non va dunque guardato con lo scetticismo riservato agli oneri tecnici e burocratici o come l’ennesima ingerenza che affanna gli imprenditori con misure esasperate di sicurezza informatica. Piuttosto, in una realtà come quella presente, dove il dato è generato in maniera rapida, automatica e fluida, i big data vanno considerati il “petrolio” della nuova economia (come li aveva definiti Neelie Kroes, commissaria europea per l’agenda digitale dal 2010 al 2014).
/**/
È vero che i dati sottratti o usati in modo improprio generano conseguenze dal punto di vista sia reputazionale che patrimoniale, ma al cuore della normativa è l’idea che i dati valgono e chi saprà raccoglierli e gestirli bene potrà trarne un vantaggio competitivo enorme. L’ispirazione del processo di adeguamento, dunque, deve essere guidata dall’idea della privacy by design, ossia la trasformazione del processo di accumulo e gestione da adempimento a creazione di asset.
Concretamente, il primo passo da fare è la nomina di un data protection officer (in breve, DPO), i cui compiti (descritti dall’art. 37 del GDPR) consistono nell’assistenza e consulenza in riferimento al regolamento. Un importante punto interrogativo riguarda i fondi di piccole dimensioni. Mentre infatti i grandi fondi avranno certamente il budget e le capacità gestionali per dotarsi di un DPO (che può anche passare dalla nomina di una risorsa interna), i fondi minori (nell’attesa delle normative di settore e di indicazioni dalle autorità di vigilanza) potranno, almeno in linea di principio, impegnarsi a nominare un DPO dedicato oppure riferirsi al DPO del gruppo cui afferiscono. Qualunque sia la direzione presa, la nomina del DPO è parte del processo di adeguamento che sarebbe opportuno, specialmente per i fondi che gestiscono una grandissima mole di dati per ogni iscritto, architettare creando buone interazioni tra il livello di gestione, i servizi IT e i servizi di sistema. Il principio segnalato dal regolamento è l’essenzialità del dato; in altri termini, gli operatori devono poter accedere solo a quei dati soggettivi, ad esempio del lavoratore iscritto o del pensionato, che sono essenziali allo svolgimento del loro lavoro.
In linea generale, dunque, il compito più urgente dei fondi pensione sarà quello di iniziare a darsi delle regole, partendo anche dai documenti interni già esistenti e stilando linee operative in un documento (un master policy privacy), che riporti la volontà di governance interna, i frameworks di categoria applicati, normativa tecnica e le prassi settore interne e esterne esistenti e applicate.
Un esempio pratico di immediata rilevanza per i fondi riguarda la cancellazione e la criptatura dei dati personali: in che modalità è legittimo conservarli anche dopo il decesso del soggetto pensionato o assicurato? E per quanto tempo la conservazione a fini statistici è giustificabile? Sono queste e altre simili le domande cui i fondi dovranno trovare risposta nei prossimi mesi, tendo conto che l’autorità garante avrà il compito di verificare l’accountability del fondo o della società in esame, che dovrà dimostrare non di aver eseguito compiti specifici, bensì di aver operato secondo regole interne congrue ai principi del regolamento.
In questo senso, la risposta dei fondi al GDPR dovrà consistere in un’evoluzione delle dinamiche di gestione dei dati mostrando responsabilità e consapevolezza del valore che per loro possono rappresentare.
Irene Vanini, Itinerari Previdenziali
11/5/2018