Dati personali in ambito bancario e finanziario

Descrizione

Nel contesto bancario, la corretta comprensione della nozione di dato personale ha assunto un ruolo sempre più centrale, in quanto l'attività quotidiana degli operatori comporta il trattamento continuo di informazioni che rientrano pienamente nell'ambito di applicazione del GDPR.
L'evoluzione della giurisprudenza e gli interventi delle Autorità di controllo, sia a livello nazionale che europeo, evidenziano un progressivo ampliamento del concetto di dato personale. In tale nozione rientrano oggi, tra gli altri, i log applicativi, le registrazioni delle comunicazioni telefoniche, i dati relativi all'utilizzo dei servizi digitali e gli indicatori elaborati nell'ambito dei sistemi di valutazione del merito creditizio.
In questo scenario, la responsabilità degli intermediari non si limita ai casi di violazione manifesta della normativa, ma si estende anche alle situazioni in cui i trattamenti risultino carenti sotto il profilo della trasparenza, della completezza o della proporzionalità rispetto alle finalità perseguite.
Il corso si propone pertanto di offrire un'analisi strutturata della disciplina, attraverso l'esame delle più recenti pronunce della Corte di Giustizia dell'Unione europea e dei principali orientamenti dell'EDPB e del Garante Privacy. L'obiettivo è approfondire l'attuale configurazione del concetto di dato personale, i presupposti di liceità del trattamento in ambito bancario e le corrette modalità di gestione dei diritti degli interessati.#

A chi si rivolge

DPO, Responsabili e referenti Privacy di Banche, Assicurazioni, Intermediari Finanziari

Programma

Dati personali e identificazione delle persone fisiche

• La nozione di dato personale nel GDPR: la centralità del concetto di identificazione/identificabilità
• Mezzi e fattori per identificare una persona fisica
• Pseudonimizzazione Vs. anonimizzazione: quando i dati pseudonimizzati si considerano dati personali
• La nuova nozione di dato personale relativa e contestuale: la sentenza Deloitte della Corte di Giustizia UE del 04 settembre 2025
• L’implementazione di misure tecniche ed organizzative che garantiscano l’impossibilità di re-identificazione:
• Il trasferimento a terzi di dati pseudonimizzati: presidi e garanzie per gli interessati

 

Il trattamento legittimo dei dati personali in ambito bancario e finanziario

• L’approccio risk based del GDPR applicato al trattamento di dati in ambito bancario
• Le “finalità legittime” del trattamento da parte delle banche
• Le modalità di trattamento dei dati nell’attività bancaria, alla luce dei principi generali del GDPR
• Gli obblighi informativi minimi sul trattamento specifico dei dati personali: il caso della registrazione delle chiamate
• Il divieto di divulgazione dei dati bancari
• Le condizioni di legittimità delle richieste di accesso ai dati dei conti correnti da parte dell’Autorità giudiziaria (Corte di Giustizia UE, cause riunite C-313/23, C-316/23 e C-332/23 del 30/04/2025)

 

La corretta gestione dei diritti degli interessati

• La gestione delle richieste di accesso ai dati bancari da parte del cliente
• Le criticità correlate al recupero di dati da sistemi legacy ed ai tempi di risposta
• Il difficile rapporto fra normativa AML e diritto di accesso
• L’accesso alle informazioni relative ai log degli accessi ai dati personali
• Le garanzie di effettività del diritto alla cancellazione dei dati personali
• L’esercizio dei diritti di rettifica e di modifica dei consensi per marketing e profilazione