GDPR: con il Codice Assogestioni SGR pronte al nuovo Regolamento sulla privacy

Pubblicato il 14/6/2018

Il 25 maggio 2018 ha segnato l’avvio della piena efficacia, in tutti gli Stati membri dell’Unione europea, del GDPR (General Data Protection Regulation)(1), il Regolamento generale sulla protezione dei dati personali. Si tratta di una novità importante anche per gli operatori dell’industria del risparmio gestito. Nel 2016, infatti, a pochi mesi dalla pubblicazione del GDPR nella Gazzetta Ufficiale dell’Unione europea, la Assogestioni ha istituito la Task Force Privacy che da subito si è posta l’obiettivo di evidenziare le peculiarità delle attività svolte dalle Società di Gestione del Risparmio (SGR) e di valutarne l’impatto in termini di protezione dei dati personali. Le analisi svolte e le valutazioni effettuate sono confluite in un progetto di Codice di condotta per il settore del risparmio gestito che è stato presentato al Garante per la protezione dei dati personali.

Il Regolamento, infatti, se da un lato ha il vantaggio di disciplinare la protezione dei dati personali in modo diretto e uniforme, dall’altro lato, rivolgendosi a una platea estremamente variegata di soggetti, certamente risente di una doverosa generalizzazione delle disposizioni non tenendo conto delle caratteristiche operative specifiche di ciascun soggetto.

Per contribuire alla corretta applicazione delle disposizioni, quindi, il GDPR stesso ha previsto che gli Stati membri, le autorità di controllo, il comitato e la Commissione europea incoraggino l’elaborazione di codici di condotta. Questi ultimi hanno proprio il compito di calare le disposizioni contenute nel Regolamento europeo nella realtà operativa degli specifici settori di trattamento, anche tenendo conto delle peculiarità delle micro, piccole e medie imprese.

Il GDPR(2) assegna alle Associazioni, e agli altri organismi che rappresentano le categorie di titolari o responsabili del trattamento, il compito di elaborare, modificare e prorogare questi codici di condotta, allo scopo di precisare l’applicazione del Regolamento, almeno con riferimento alle materie individuate dallo stesso GDPR.

L’attività della Task Force istituita da Assogestioni si è concentrata proprio nell’interpretazione delle disposizioni regolamentari alla luce dell’operatività delle SGR e nell’individuazione delle specifiche misure da attivare per garantire il rispetto dei principi di protezione dei dati personali. Le analisi svolte e le valutazioni effettuate sono, quindi, confluite nel progetto di codice di condotta per il settore del risparmio gestito.

Il progetto di Codice si pone l’obiettivo di agevolare le SGR nella corretta interpretazione e implementazione degli obblighi che derivano dal GDPR, fornendo indicazioni sulla definizione e concreta attuazione dei presidi da disporre per assicurare la tutela dei diritti degli interessati per tutto ciò che concerne il trattamento dei dati personali.

Ad esempio, tra gli aspetti di maggior rilievo affrontati nel corso dei lavori, rientra certamente l’inquadramento della figura del responsabile della protezione dei dati, il DPO (Data Protection Officer). Si tratta di una figura di nuova introduzione che deve avere conoscenze specifiche anche della concreta operatività delle SGR, affinché sia in grado di valutare gli impatti in termini di protezione dei dati personali. È fondamentale individuare la giusta collocazione che tale figura dovrebbe avere all’interno dell’organigramma aziendale, anche tenendo conto di eventuali strutture di gruppo.

Oltre a questo aspetto, il lavoro svolto dalla Assogestioni ha inteso fornire indicazioni sulla corretta attuazione delle disposizioni contenute nel GDPR anche relativamente a tutte le altre questioni organizzative e procedurali che in qualche modo sono state impattate dall’entrata in vigore del Regolamento europeo.

Il progetto di Codice è stato presentato al Garante per la protezione dei dati personali che esprimerà un parere sulla sua conformità alle disposizioni del GDPR e potrà approvarlo, oltre a poter proporre modifiche o proroghe, prima della sua registrazione e pubblicazione da parte della stessa Autorità Garante. L’approvazione da parte del Garante del progetto di Codice di condotta è un passaggio fondamentale affinché possa acquisire pieno valore.

I codici di condotta sono richiamati in diversi passaggi del GDPR e assumono rilevanza per dimostrare il rispetto degli obblighi relativi alla protezione dei dati personali. Per questa ragione, infatti, l’adesione a un Codice di condotta approvato potrà essere utilizzata da parte del titolare del trattamento quale elemento per attestare il rispetto degli obblighi e l’attuazione di misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio. Allo stesso modo, dimostrando la propria conformità ad un Codice di condotta approvato, anche il responsabile del trattamento potrà attestare di poter garantire l’attuazione di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantendo, nel contempo, la tutela dei diritti dell'interessato.

Da ultimo, l’adesione al Codice di condotta assume rilevanza anche nella determinazione della misura appropriata delle sanzioni, comprese le sanzioni amministrative pecuniarie, per le violazioni del GDPR.

È opportuno evidenziare come, anche in attesa di una pronuncia da parte del Garante, il progetto di Codice elaborato dalla Task Force dell’Associazione si ponga come guida per le SGR nell’individuazione delle più corrette modalità di adeguamento al Regolamento europeo. Il progetto di Codice contiene, infatti, indicazioni utili per l’interpretazione delle disposizioni del GDPR e, conseguentemente, per il necessario adattamento delle procedure e delle misure di sicurezza per un corretto trattamento dei dati personali.

 

1) Regolamento (UE) 2016/679

2) Articolo 40

Leggi Anche
SdR25 | Il Salone del Risparmio 2025 rilancia l’educazione finanziaria
24/3/2025

La terza giornata dell’evento come da tradizione sarà dedicata a formazione ed educazione finanziaria, grazie alle numerose iniziative dell’EduCorner, alla collaborazione Assogestioni-Censis e al coinvolgimento dei finfluencer
Addio a Guido Cammarano, fondatore di Assogestioni e pioniere dei fondi comuni in Italia
19/3/2025

Con il suo impegno e passione ha contribuito in modo determinante a fare di Assogestioni un punto di riferimento per gli operatori del mercato e per le Istituzioni
SdR25 | Aperte dal 24 febbraio le iscrizioni alla 15^ edizione
24/2/2025

La XV edizione, in programma dal 15 al 17 aprile, metterà al centro capitale paziente, progresso e longevità per disegnare il futuro del risparmio
Corporate Governance, presentato a Oxford il libro “Board-shareholder dialogue”
15/10/2024

Edito dai Professori Luca Enriques della Oxford University e Giovanni Strampelli dell’Università Bocconi, e pubblicato da Cambridge University Press con il supporto di Assogestioni. Prossimo appuntamento a Roma il 20 novembre
SdR2024: l’AI conquista la vetta del concorso “Content is King”
27/6/2024

Al primo posto del contest che misura qualità e gradimento delle conferenze si piazza Fideuram ISPB con un appuntamento su nuovi scenari tecnologici e neuroscienze. Sul podio anche Schroders ed Eurizon