Il GDPR oggi: protezione dei dati nel settore finanziario tra compliance, Pubblica Amministrazione, tecnologia e nuove sfide regolatorie.

La giornata formativa “Il GDPR oggi: protezione dei dati nel settore finanziario tra compliance, Pubblica Amministrazione, tecnologia e nuove sfide regolatorie” è stata interamente tenuta e scientificamente programmata dall’Avv. Alessandro del Ninno. In qualità di unico docente l’Avv. Del Ninno ha sviluppato un percorso strutturato e completo sul quadro normativo attuale relativo al trattamento dei dati personali nel settore finanziario, con specifico riferimento a Finlombarda S.p.A. e all’intero ecosistema della finanza pubblica.

 

L’intervento introduttivo ha offerto un’analisi operativa dei processi di data protection compliance e di governance dei dati alla luce del GDPR, collocandoli nell’evoluzione della regolazione europea: Data Governance Act, Data Act, strategia europea per la finanza digitale (FIDA) e, più in generale, nel contesto delle leggi della UE del Decennio Digitale. L’Avv. Del Ninno ha illustrato il ruolo strategico della protezione dei dati per la gestione del rischio regolatorio nelle società finanziarie pubbliche.

 

Una sezione ampia della giornata è stata dedicata alla governance privacy nelle società finanziarie: corretta individuazione dei ruoli privacy tra Finlombarda, Regione Lombardia e altri soggetti della filiera; responsabilizzazione e funzioni del DPO, anche alla luce dell’indagine 2024 del Garante; coordinamento con l’RPCT; gestione delle istruzioni agli autorizzati; e adempiimenti contrattuali verso i Responsabili del trattamento, inclusa la redazione dei data processing agreements.

 

La parte operativa ha approfondito gli adempimenti chiave nel ciclo di vita dei dati: mappatura dei trattamenti e registro, criteri per la conduzione delle DPIA nel settore finanziario, redazione delle informative interne ed esterne secondo le Linee guida EDPB sulla trasparenza, e applicazione delle norme nazionali, come l’art. 3-ter del Codice Privacy.

 

Ulteriori moduli hanno riguardato:

– l’applicazione dei Codici di deontologia e buona condotta (centrali rischi, informazioni commerciali),
– gli obblighi di sicurezza IT e l’attuazione dell’art. 32 GDPR, incluse le indicazioni delle Linee guida EDPB 4/2019, la gestione del data breach e l’integrazione con i quadri DORA e NIS2,
– il trattamento di categorie particolari di dati e dati giudiziari nei procedimenti di finanza agevolata,
– i vincoli dell’art. 22 GDPR in materia di decisioni automatizzate e profilazione, richiamando la sentenza CGUE del 7 dicembre 2023 e lo Statement 2/2024 dell’EDPB.

Una parte specialistica è stata dedicata all’intersezione tra GDPR e Regolamento europeo sull’Intelligenza Artificiale (Reg. UE 2024/1689): obblighi di governance dei dati per provider e deployer di sistemi di IA, verifiche contrattuali sulle soluzioni AI-based, e adempimenti richiesti dai sistemi AI ad alto rischio quando utilizzati per la valutazione del merito creditizio.

La chiusura della giornata ha riguardato il tema delle responsabilità dirigenziali e dell’apparato sanzionatorio per violazioni del GDPR, con indicazioni pratiche sulle responsabilità amministrative, civili e penali e sulle regole di risarcimento del danno da trattamento illecito.