Matteo Colombo, presidente Asso Dpo: “Data protection, le novità al congresso 2023. Come gestire ia e lead generation nel mondo del credito”

Matteo Colombo, presidente Asso DPOAlla vigilia del IX congresso annuale dell’Asso Dpo (Associazione data protection officer) abbiamo raggiunto telefonicamente il presidente Matteo Colombo per conoscere le novità che interessano il settore della protezione dei dati e parlare dell’impatto del Gdpr sulla mediazione creditizia.

Con lui ci siamo soffermati sui rischi che corre chi non si adegua alla normativa, sull’importanza del trattamento dei dati personali quando si ricorre alla lead generation e molto altro.

Tradizionalmente il convegno annuale di Asso Dpo rappresenta un momento di formazione per i data protection officer e di confronto sulle tematiche relative alla normativa in materia di privacy e alla sua applicazione, interpretazione ed evoluzione, con l’obiettivo di rendere sempre più consapevoli e affidabili i consulenti della privacy, i responsabili della protezione dei dati (DPO).

Quali sono gli elementi di novità di questa rispetto alle passate edizioni del congresso?
Quest’anno abbiamo deciso di dedicare la prima giornata del convegno all’uso dell’intelligenza artificiale (ia, ndr) nella gestione del trattamento dei dati personali. L’ia ha infatti un forte impatto in quattro settori: marketing, cybersecurity, hr e sanità. Abbiamo quindi previsto una prima tavola rotonda dedicata a ia e cybersecurity; e una seconda dal titolo “Miracle cure? Can synthetic data fix generative ai – the generative ai revolution, technical solutions & legal approaches?” (Cura miracolosa? I dati sintetici possono riparare l’intelligenza artificiale generativa: la rivoluzione dell’intelligenza artificiale generativa, soluzioni tecniche e approcci legali?).
Nella seconda giornata si terrà il nostro congresso internazionale, nel quale prenderanno la parola alcuni rappresentanti delle autorità privacy nazionale ed europee. Nello specifico si affronteranno temi tradizionali, come l’agenda del dpo, nonché argomenti di stretta attualità, quali la monetizzazione del consenso, la sicurezza informatica nel metaverso e un tavolo tematico con alcune DPO di multinazionali. Parleremo infine di Esg e privacy, cioè del modo in cui i temi legati alla sostenibilità interagiscono con la protezione dei dati.

In che modo verrà trattato il tema della cybersecurity?
Il dibattito non si concentrerà solo sulla protezione del dato e sulla minimizzazione del trattamento dati ma anche su termini di giuslavoro e potenziale controllo dell’attività dei dipendenti.

Non tutte le aziende hanno ancora previsto la figura del dpo. Nel mondo del credito ritiene sia obbligatoria o facoltativa?
In questo settore il data protection officer è particolarmente importante, perché ormai i sistemi con i quali lavorano gli intermediari del credito fanno scelte di natura automatizzata. Non solo, spesso i sistemi raccolgono da fonti differenti i dati sui clienti, in quanto soggetti interessati. Questo comporta, ad esempio, che si vada ad analizzare l’affidabilità delle persone su sistemi di informazioni creditizie. In questo caso, la legge prevede che se l’intermediario utilizza un sistema che fa scelte automatizzate, allora debba dare all’utente la possibilità di richiedere l’intervento umano.
In particolare, il Regolamento (Ue) 2016/679 del 27 aprile 2016 (Gdpr) stabilisce che il dpo sia obbligatorio quando le attività principali dell’organizzazione consistono in trattamenti che richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”. In questo settore, anche se il monitoraggio non avviene su larga scala, mi aspetto di trovare un dpo che sia un garante interno. Il data protection officer infatti viene recepito dal cliente come una figura di garanzia in caso di necessità e dal mercato come un elemento che trasmette fiducia. Le aziende devono quindi considerarlo come un investimento che avrà un ritorno in termini di maggiore affidabilità sia sul mercato che verso i clienti.

Una sana gestione della privacy può rappresentare dunque un vantaggio competitivo?
Sì. Un esempio lampante è offerto dalle operazioni di m&a (mergers and acquisition, cioè fusioni e acquisizioni), per le quali i primi audit, e quindi le valutazioni nelle fasi preliminari, riguardano proprio la compliance. Se prima l’argomento non era fra quelli presi in esame, ora è dirimente. La correttezza del sistema di trattamento dei dati è infatti uno degli aspetti essenziali nella filiera del credito e la disponibilità di data base (CRM) correttamente formati è ai primi posti nella check list iniziale. Senza contare il fatto che permette alla società di evitare sanzioni pesanti.

Cosa rischia chi non si adegua?
Le società che non si adeguano rischiano sanzioni fino a 20 milioni di euro o fino al 4% del fatturato. Ci sono aziende che hanno ricevuto sanzioni pari allo 0,8%-0,9% del fatturato, per importi milionari. Multe che hanno poi una ripercussione sotto il profilo reputazionale. Le sanzioni infatti vengono pubblicate sul sito dell’Autorità Garante e sugli organi di stampa, con un contraccolpo sulla fiducia del mercato.

Che impatto ha avuto il nuovo sistema regolatorio della privacy sulla mediazione creditizia?
Ritengo che l’impatto sia stato importante. Per gli intermediari del credito la protezione dei dati è ormai una conditio sine qua non per poter lavorare. Fa parte dei requisiti richiesti dalla filiera del credito per concedere il bollino verde per avviare una partneship.

Molti mediatori creditizi e agenti in attività finanziaria contattano i clienti tramite campagne di lead generation. Vi aspettate una stretta in questo settore?
L’attività dei call center è nel mirino sia del Garante della privacy che dell’Agcm (Autorità per le garanzie nelle comunicazioni), che comminano sanzioni milionarie a chi utilizza numeri di telefono non autorizzati. E l’attenzione sarà sempre più alta, perché anche i consumatori sono sempre più consapevoli e fanno segnalazioni al Registro delle opposizioni e ai Garanti.
Bisogna dunque stare molto attenti e rivolgersi a soggetti qualificati, che lavorano con registri telefonici puliti, oppure raccogliere in proprio i dati in maniera corretta e chiedere all’utente il consenso al marketing telefonico.