La privacy è un valore aggiunto per il fintech, lo dice la UE

Salvatore Familiari avatar
Salvatore Familiari
Cultore della materia presso la cattedra di informatica giuridica avanzata - Università degli studi di Milano
UE

A maggio 2018 sarà operativo il nuovo GDPR, il nuovo regolamento generale sulla protezione dei dati, che aggiorna la normativa in materia di dati personali adeguandola alla nuova realtà digitale. 

Comunemente la compliance in materia di data protection viene vissuta da molte imprese solo come un costo, sia con riguardo a uno scarso interesse da parte dei soggetti titolari dei diritti su tali dati - gli utenti - sia alla difficoltà da parte dell'autorità garante della privacy a controllare tutto il mercato, in ultimo non bisogna nascondere come la tenuità alle volte delle sanzioni previste dalla vecchia normativa invogliavano molte imprese ad un approccio quantomeno svogliato.

Tutto ciò col nuovo regolamento cambia, in primo luogo perché le sanzioni previste saranno molto forti (fino al 4% del fatturato globale), in secondo luogo avendo una normativa identica in campo europeo sarà agevolato un forte traffico di dati intraeuropeo con possibile incrocio di controlli da parte di differenti autorità (a prescindere dall'elezione dell'autorità capofila). 

Premesso ciò, oggi voglio porre l'attenzione su un aspetto del nuovo regolamento, ovvero proporre un altro punto di vista, cioè vederlo sia come un'opportunità sia come mezzo di difesa nei confronti di tutto il mercato (difatti non pare peregrina l'ipotesi di segnalazioni da parte di concorrenti in caso di mancata compliance).

Detto ciò lo strumento cui bisogna affidarsi per conseguire tutto ciò si chiama Data Protection Impact Assessment, detto DPIA, in breve il documento, a volte obbligatorio e a volte consigliato per tutta una serie di trattamenti dei dati, attraverso il quale si analizzano il tipo di dati trattati, il tipo di trattamenti e la loro finalità.

Detto ciò molti già penseranno all'ennesima documentazione burocratica, tuttavia in questo caso si sbagliano perché un DPIA ben fatto è un'opportunità per un'impresa che fa del trattamento di dati digitali personali il proprio core business.

Infatti qualunque realtà legata al fintech, a prescindere dal servizio che offre (crowdfunding piuttosto che altro), che tratta dati personali in gran quantità è tenuta alla redazione di questo documento. 

Tuttavia, come accennato nel titolo, la redazione di questo documento, il DPIA, si può trasformare in un volano per la crescita di molte realtà nel fintech, in particolare per le startup del settore. 

Infatti un investitore accorto non solo farà analizzare il modello di business ma anche la sicurezza sia da eventuali sanzioni pesantissime sia da azioni risarcitorie da parte dei danneggiati in caso di data breach (dove può risultare, inoltre, molto importante anche in chiave assicurativa), ma anche la stessa capacità di produrre reddito.

Pertanto, redigere un buon DPIA permette di comprendere eventuali ulteriori possibili usi dei dati, per nuovi servizi o perché no la loro cedibilità o meno sia attraverso pacchetti sia in uno con l'impresa in caso di vendita o comunque acquisizione. 

E per gli utenti finali che impatto può avere il DPIA?

Un DPIA ben fatto è una garanzia anche per gli utenti, infatti, nulla vieta all'impresa che lo rediga di condividere alcune delle informazioni lì contenute a favore dei propri clienti. 

In altre parole un'impresa che voglia fare della trasparenza sull'uso dei dati un proprio punto distintivo potrebbe offrire ai propri clienti una quantità di informazioni maggiori rispetto a quelle minime dovute per legge, o comunque distinguersi dalla concorrenza facendo presente nelle proprie informative la presenza e la redazione di un DPIA secondo i criteri stabiliti dalle autorità di riferimento. 

In conclusione, come brevemente illustrato un DPIA ben fatto nell'ambito del fintech, come in tutte le altre realtà digitali d'altra parte, porta vantaggi non solo riguardo alla compliance dal punto di vista normativo (oltre ad un eventuale risparmio assicurativo per le polizze in materia di data breach), ma costituisce, oltre a un obbligo in molti casi, un documento aggiuntivo al modello di business che se ben fatto risulterà utile per meglio valorizzare l'impresa agli occhi di eventuali nuovi partner o investitori.

Altresì dal lato cliente la presenza di questo documento rappresenta sicuramente una garanzia di serietà dell'impresa in cui eventualmente cedere i propri dati più delicati, quali sono sicuramente quelli di natura bancaria e assicurativa. Pertanto se per le imprese è consigliabili affidarsi a un consulente esperto nella redazione di questo documento dall'altra parte si consiglia all'utente sensibile al trattamento dei propri dati di verificare se l'impresa cui decide di cedere i propri dati abbia provveduto ad effettuare un'analisi dei rischi e relative soluzioni riguardo all'uso dei suoi dati verificano la completezza delle informazioni contenute nelle informative e l'eventuale riferimento al documento oggetto di questo articolo. 

Salvatore Familiari avatar
Salvatore Familiari

Laurea magistrale in Giurisprudenza presso l’Università Cattolica di Milano, perfezionato in computer forensics e data protection all’Università degli Studi di Milano presso cui è Cultore della materia alla cattedra di Informatica Giuridica Avanzata, nonché membro del Information Society Law Research Centre. Collabora con la rivista “Ciberspazio e Diritto” e il portale “Il Quotidiano Giuridico”.