Flessibilità, installazione e implementazione in tempi rapidi, formazione sul campo, tracciabilità e trasparenza. Allineamento al GDPR più agevole grazie alla soluzione APS – Augeos Privacy System
Directa SIM è una società di trading on line fondata a Torino nel 1995, con l’obiettivo di permettere agli investitori privati di acquistare e vendere azioni in tempo reale da qualsiasi dispositivo connesso alla rete. «I nostri clienti possono accedere non solo al mercato italiano, ma anche a quelli europei e americani, operando sul mercato azionario, dei futures e delle opzioni con il supporto di tutti gli strumenti finanziari che man mano negli anni sono nati e si sono sviluppati» – ci spiega Elena Motta, direttore generale di Directa SIM. «Siamo stati i pionieri in Italia. Anche nell’utilizzo della tecnologia, del cellulare. All’epoca, non si parlava di smartphone. C’era però il Nokia Communicator con il quale i nostri clienti potevano già fare trading. Da allora, molte cose sono cambiate. Ma non il core business e neppure alcune scelte di fondo. La tecnologia per noi è sempre stata un punto di forza. Anche nella scelta dei partner. Continuiamo a sviluppare piattaforme in grado di dialogare e connettersi con il mercato, per mantenere livelli di velocità e affidabilità sempre al top». Un business che ha anche una solida presenza sul territorio. «Siamo convenzionati con una buona parte delle Banche di credito cooperativo (BCC) attive in Italia. Attualmente, sono circa 170, per via del processo di fusione in corso. Ma tra credito cooperativo e casse rurali convenzionate, il numero delle convenzioni bancarie è salito a 220. Il radicamento sul territorio, grazie alle filiali di queste banche che offrono il nostro servizio per il trading online, rimane uno dei nostri punti di forza».
Flessibilità e capacità di ascolto
Tra i pochi broker online non quotati attivi in Italia, che ogni anno comunicano i dati relativi al proprio andamento finanziario, Directa SIM dichiara oltre 20mila clienti operativi, principalmente in Italia, Francia, Germania e Repubblica Ceca. «La nostra piattaforma è in lingua francese, tedesca, inglese e ovviamente italiana. Abbiamo un ufficio per l’assistenza clienti a Praga, da cui siamo partiti per espanderci anche in est Europa». «Il GDPR ha introdotto una serie di adempimenti per aziende e organizzazioni. Molte delle procedure e dei processi esistenti sono stati adattati per poter gestire le informazioni relative al trattamento dei dati al regolamento» – spiega Motta. Un adeguamento per il quale occorreva una formazione specifica e strumenti che permettessero di integrare quanto era già stato fatto con le normative precedenti in termini di gestione delle nuove regole privacy, data breach notification, registro dei trattamenti, informazioni per diritti degli interessati, DPIA e consensi. «Con la privacy precedente eravamo già in regola. Ma i dati da trattare erano tanti. Inoltre, per la grande quantità di adempimenti richiesti occorreva un supporto tecnologico adeguato» – spiega Elena Motta. Con Augeos –
«abbiamo trovato un partner che ha dato una risposta a queste esigenze. Dopo la fase di selection, e grazie a una comune rete di contatti, la loro flessibilità e capacità di ascolto ci hanno subito conquistato. Per noi contava molto anche la vicinanza fisica, che è sempre un plus. Per qualsiasi dubbio, se ci si confronta direttamente, i problemi si risolvono più facilmente. Su questi presupposti è partita la nostra collaborazione».
Installazione e implementazione
«Augeos ha studiato per noi un piano tramite consulenze ad hoc – mappature per il trattamento dei dati personali, interviste, l’esame dei documenti già preesistenti – e la personalizzazione del programma APS – Augeos Privacy System» – ci spiega Alessandra Viglino, data protection officer di Directa SIM. Dopo la parte sul trattamento dei dati e la creazione del registro, Directa ha utilizzato le soluzioni Augeos anche per sviluppare il DPIA (data protection impact assessment), la valutazione d’impatto sulla protezione dei dati, il documento in cui si descrive il trattamento, si valutano necessità e proporzionalità da cui si parte per gestire gli eventuali rischi. Un punto richiesto dal GDPR, per il quale Directa era alla ricerca di un valido strumento che li supportasse e che si integrasse con i loro sistemi. «Noi usiamo server AS400, i nostri programmi di trading, di invio degli ordini sul mercato e di gestione di tutte le informative sono tutti sviluppati in casa. Non avevamo bisogno di un pacchetto predefinito, ma di un programma in grado di adeguarsi alle nostre caratteristiche. L’implementazione del modulo GDPR DPIA del programma APS – Augeos Privacy System ci ha permesso di raggiungere questo obiettivo, velocemente e con il minor impatto possibile» – riprende il direttore generale di Directa SIM. «Nel giro di pochi mesi, siamo riusciti a essere pronti per il GDPR.
Il nostro non è un business complesso. Ma i dati da trattare sono tanti. Con Augeos, abbiamo trovato un partner che ha risposto a queste esigenze». Anche la formazione si è dimostrata all’altezza delle aspettative. «Per l’operatività sull’applicativo, abbiamo avuto il supporto di due persone che ci hanno formato sull’utilizzo della piattaforma. Supportandoci anche nell’importazione dei dati da Excel, programma su cui avevamo lavorato per la precedente normativa» – conferma Viglino. Ma è soprattutto nell’utilizzo giornaliero dei moduli che la soluzione ha mostrato tutti i suoi punti di forza. «Per fortuna non abbiamo avuto bisogno dell’apporto day-by-day di Augeos. Una volta impostato correttamente il trattamento dei dati, statici, sappiamo di poter procedere spediti». Il trattamento della privacy che può cambiare a seconda del mercato in cui avvengono le transazioni. «In molti mercati esiste l’obbligo di comunicare i dati del cliente, abbiamo risolto con un codice univoco abbinato all’operazione, ma in alcuni casi, per detenzione di posizioni rilevanti in titoli, è richiesta comunicazione in chiaro dei dati anagrafici del cliente finale che è consapevole di questo obbligo».
Tracciabilità e trasparenza
Tracciabilità dunque e all’occorrenza cancellazione o obbligo di segnalazione, non solo agli enti di controllo ma anche agli interessati. «I nostri clienti sono stati informati attraverso un apposito addendum contrattuale, disponibile sia on line che cartaceo» – sottolinea Motta. «Poiché non facciamo attività di profilatura, l’impatto verso i nostri clienti è stato alquanto limitato. Soprattutto è stato importante informarli circa i loro diritti: come richiedere la portabilità dei dati, fare i reclami, ottenere informazioni sui dati in nostro possesso che li riguardano, e così via. Anche da questo punto di vista, l’utilizzo del modulo GDPR DPIA si è rivelato all’altezza e prima ancora semplice da installare per i nostri tecnici, che non hanno avuto problemi anche grazie alla disponibilità e professionalità dei consulenti di Augeos». Natura, ubicazione, tipo di trattamento e valutazione dell’impatto. In altre parole – «completo controllo sui dati». Adempimenti per i quali servono strumenti che supportino fattivamente la governance aziendale. Anche in sede di audit. «La normativa ci impone di tenere sotto controllo anche tutte le nostre procedure, verificandone periodicamente l’allineamento. Oltre alla compliance, come società abbiamo anche l’obbligo del controllo interno» – spiega Elena Motta. Scelte, sistemi di controllo, contromisure, attivate in modo che ogni singola decisione sia documentabile. «Da questo punto di vista, il sistema garantisce che sia sempre possibile una ricostruzione di ogni passaggio, risalendo alla data in cui è stata presa una certa decisione. Questo è utile sia per i controlli interni che per gli organi di controllo esterni, nel caso sia necessario dimostrare tutto quel che è stato fatto».