I CEO delle banche stanno contattando le migliori menti legali, allertando i loro team di conformità e discutendo tra loro per individuare le insidie del Digital Personal Data Protection Act (DPDPA), uno statuto in base al quale centinaia di milioni di multe possono essere imposte alle organizzazioni in caso di violazioni.
La legge entrata in vigore quest’anno stabilisce che i dati possono essere raccolti solo nella misura in cui sono necessari, utilizzati solo per lo scopo per il quale sono stati raccolti e non possono essere conservati oltre un certo punto.
La scorsa settimana più di 500 banchieri si sono uniti a un incontro virtuale con avvocati senior per comprendere le cose da fare e da non fare della legge che li costringerebbe a scansionare i moduli di apertura di conti bancari esistenti e i documenti di richiesta di prestito, hanno detto a ET due persone del settore bancario. Questo è avvenuto poco dopo che i capi di alcune delle principali banche si sono incontrati per discutere la questione. Le banche, a quanto pare, ora esamineranno attentamente se hanno bisogno di tutte le informazioni che pescano dai nuovi clienti che aprono conti di risparmio o richiedono prestiti e carte di credito.
“Le banche, i servizi finanziari e le compagnie assicurative conservano i dati per scopi quali mitigazione del rischio, prevenzione delle frodi, offerta di servizi gratuiti, ecc., conservano i dati per periodi più lunghi e li condividono all’interno del loro gruppo. Sebbene necessari in questo settore, i consensi sono spesso non chiari e i requisiti normativi potrebbero essere poco chiari o addirittura contraddittori. Le entità devono effettuare la mappatura dei dati e rivedere i formati esistenti per identificare quanto sopra. Laddove il consenso non sia possibile, ottenere un requisito normativo o adottare standard di settore prima che entri in vigore il DPDPA È consigliabile l’uso della forza. Le entità BFSI possono anche essere importanti fiduciari dei dati, il che comporterà requisiti di conformità più elevati”, ha affermato Arun Prabhu, partner e responsabile del settore tecnologia e telecomunicazioni presso lo studio legale Cyril Amarchand Mangaldas.
Essendo custodi dei risparmi, della natura indebitata del business e della loro importanza sistemica, le banche possono avere un margine di manovra per archiviare dati per salvaguardare il sistema finanziario. Ma si dovrebbe fare i conti con regole contrastanti: mentre la Reserve Bank of India (RBI) potrebbe volere che le banche conservino le informazioni sui clienti per anni, la nuova legge imporrebbe alla banca di distruggere i dati delle persone che cessano di essere clienti.
Al momento la maggior parte delle banche non ha idea di come orientarsi nella nuova legge che potrebbe anche impedire loro di reperire informazioni sui clienti dai social media o di acquistare dati da agenzie esterne. Per cominciare, le banche devono scoprire quali dati risiedono presso di loro e creare un quadro giuridico per la raccolta e l’ottenimento del consenso da parte dei clienti. Ciò potrebbe significare modificare diversi moduli che le banche chiedono ai clienti di firmare.
Inoltre, le banche condividono regolarmente i dati dei clienti con filiali e società di joint venture in settori quali intermediazione, finanza non bancaria, gestione patrimoniale e assicurazioni. La legge sarà d’ostacolo?
Secondo Supratim Chakraborty, partner di Khaitan & Co, “la nuova legge indiana sulla protezione dei dati non impone alcuna restrizione generale in relazione al cross-selling. Il cross-selling avvantaggia i clienti finanziari diversificando le opzioni disponibili, incoraggiando la scoperta di prodotti su misura per i clienti, sollevandoli dell’onere di trovare il prodotto giusto oltre a incoraggiare l’innovazione. Detto questo, il modo in cui viene portato avanti oggi potrebbe essere interrotto una volta che il DPDPA entrerà in gioco.”