NUOVA RUBRICA MENSILE - Avv. Angela Fiorella ci parlerà di: "adempimenti degli intermediari assicurativi" - Il Broker.it

NUOVA RUBRICA MENSILE – Avv. Angela Fiorella ci parlerà di: "adempimenti degli intermediari assicurativi"

L’impatto del Regolamento Europeo in materia di protezione dei dati personali sugli intermediari assicurativi
A meno di 5 mesi dall’entrata in vigore del Regolamento Europeo n. 679/2016, (“GDPR”) in occasione del convegno Insurtech organizzato da IVASS, sono stati presentati i risultati dell’indagine conoscitiva condotta nel mese di luglio 2017, riguardo ai presidi degli intermediari e broker per la gestione delle informazioni e la prevenzione dei rischi informatici.
Il Regolamento Europeo si applicherà a decorrere dal 25 maggio 2018, e dovrebbe garantire una maggiore tutela della Privacy in tutti i paesi dell’UE, ponendo forte rilievo alla responsabilizzazione del Titolare del Trattamento e del Responsabile del Trattamento (“accountability”) ed introducendo la figura del Data Protection Officer, quale guida dell’impresa, e supervisore della corretta applicazione della normativa. Tra le novità, anche un importante inasprimento delle sanzioni, che possono arrivare sino al 4% del fatturato mondiale dell’impresa.
Come si sono preparati gli intermediari ed il mondo assicurativo a fronteggiare questo importante cambiamento?
Sebbene l’80% degli intermediari dichiari di adottare dei presidi di base per contrastare rischi informatici, quali ad esempio l’utilizzo di password alfa numeriche, la raccolta dei soli dati necessari allo svolgimento dell’attività, l’assegnazione al personale di utenze personali non condivisibili con altri utenti, utilizzo di sistemi di rete protetti da accessi non autorizzati e periodico back up dei dati, in pochi si sono dotati di una policy aziendale in materia di Cyber risk, di sistemi e strumenti di analisi dei rischi e rilevazione di accessi non autorizzati, o hanno svolto test di anti intrusione.
In particolare, sembra esserci una scarsa consapevolezza riguardo alle previsioni e agli impatti organizzativi e gestionali apportati dal GDPR, al quale gli intermediari assicurativi dovranno ovviamente adeguare le attività relative alla fase assuntiva e distributiva dei prodotti assicurativi, così come i processi di gestione dei sinistri. Solo i grandi broker sembrano essersi adoperati per cercare di conformare la propria organizzazione al conseguimento di un adeguato livello di conformità, cercando di presidiare correttamente anche i rischi di cyber security.
L’Ivass ha quindi raccomandato agli intermediari di:

  • Innalzare la sicurezza dei sistemi
  • Dotarsi di specifiche policy di cyber risk e Data protection, anche sulla base di linee guida definite con le rispettive associazioni di categoria
  • Accrescere le competenze informatiche di collaboratori e dipendenti
  • Potenziare i sistemi di monitoraggio contro accessi non autorizzati
  • Aumentare la frequenza dei test anti intrusione e dei back up dei dati
  • Prevedere un piano di gestione della crisi (disaster recovery plan).

A seguire, una breve “to do listper aiutare gli operatori del settore a districarsi in questo complicato panorama normativo e non farsi trovare impreparati per il prossimo 25 Maggio.

  • Censimento e identificazione dei dati personali trattati e sviluppo procedure di cancellazione.
  • Mappatura delle tempistiche e del luogo di archiviazione dei dati (incluso cloud), ed implementazione di processi di cancellazione dei dati personali raccolti.
  • Mappatura dei consensi e della base legale che consente il trattamento dei dati (Artt. 7 e 8 Reg 679/2016 e Linee guida sul consenso 17/EN WP259).
  • Revisione delle informative privacy, verificando che si garantisca la trasparenza verso gli interessati. (art. 12, 13 e 14 Reg 679/2016.
  • Verifica processo di trasmissione dell’informativa privacy agli interessati ed acquisizione dei consensi (Linee Guida 17/EN WP260).
  • Verifica trasferimento di dati verso paesi terzi o organizzazioni internazionali (Capo V Reg 679/2016).
  • Verifica atto di nomina del responsabile e di eventuali sub responsabili del trattamento, che deve essere sempre autorizzata dal Titolare (Art. 28 Reg. 679/2016).
  • Implementare accordi scritti di contitolarità dei dati. A titolo esemplificativo, se l’impresa assicurativa e l’agente determinano congiuntamente finalità e mezzi del trattamento dei dati personali dei propri clienti, dovranno stabilire attraverso un accordo interno, ed in modo trasparente, le rispettive responsabilità ed i compiti sull’osservanza degli obblighi derivanti dal GDPR, con particolare riferimento ai diritti dell’interessato e gli obblighi di fornire le informazioni previste al momento della raccolta dei dati. (Art. 26 Reg. 679/2016).
  • Nomina di un Data Protection Officer (Opinion 17/EN WP43 ed artt. 37, 38 e 39 Reg 679/2016). È importante sottolineare che eventuali altri compiti e funzioni svolti dal Data Protection Officer, non devono dare adito a una situazione di conflitto di interessi. Si consiglia quindi di rivedere il modello organizzativo e nominare un DPO indipendente e competente (auspicabilmente in possesso dei requisiti richiesti dalla norma UNI 11697:2017).
  • Verificare e apportare eventuali correttivi ai processi di profilazione ed ai processi decisionali basati sul trattamento di dati automatizzati, quale ad esempio l’offerta di preventivi di polizze online. (Linee guida 17/EN WP 251). In presenza di un processo decisionale interamente automatizzato, il titolare sarà tenuto a informare l’interessato della specifica finalità del trattamento dei dati personali posto in essere, e delle eventuali conseguenze del trattamento, adottando adeguate misure e procedure che consentano di correggere eventuali errori nella raccolta dei dati o nell’adozione delle decisioni automatizzate.
  • Verificare se è necessario fare una Data Protection Impact assessment (Art 35. Reg 679/2016 e Linee Guida 17/EN WP 248)
  • Istituire un registro di trattamento dei dati personali nel caso in cui si abbiano più di 250 dipendenti, o si effettui trattamento di dati personali sensibili e/o relativi a condanne penali e a reati, o che possa presentare un rischio per i diritti e le libertà degli interessati (art. 30 Reg 679/2016)
  • Definire ed implementare misure di sicurezza informatica (cyber security) che assicurino la protezione dei dati personali trattati e prevengano fenomeni di data leakage.
  • Definire ed implementare le misure tecniche per la pseudonimizzazione o cifratura dei dati.
  • Aderire ai codici di condotta che verranno diffusi dalle associazioni di categoria (da verificare mediante attività di audit), e agli schemi di certificazione (artt. 40, 41, 42, 43 Reg 679/2016).

Occorre precisare che ad oggi, nessuna delle associazioni rappresentative di categoria (ANIA, AIBA; SNA, ANAPA) ha diffuso informazioni relative alla stesura ed approvazione di codici di condotta, né ci sono indicazioni da parte dell’Autorità Garante della Privacy sullo stato dell’arte in merito all’accreditamento di organismi preposti a verificarne il rispetto e l’applicazione. Gli operatori del settore si trovano quindi di fronte a un vero e proprio percorso a ostacoli, pieno di adempimenti complessi e incertezze applicative, con il rischio di ingenti sanzioni, che potranno arrivare fino a venti milioni di euro o addirittura al 4% del fatturato annuo globale mondiale.
Avv. Angela Fiorella

Non ci sono post correlati.

0 Comments

Leave A Comment

© 2020 Il Broker | P.iva 02610320992 | Privacy Policy | Cookie Policy | Powered by Grownnectia S.r.l.