Anche le agenzie assicurative che vendono polizze a cittadini dell’Unione Europea sono soggette all’applicazione del GDPR.
Non essere “compliant” per una compagnia assicurativa diventa infatti pericoloso e non solo economicamente...ne va infatti della reputazione dell’azienda e della fiducia del consumatore, fatti che in un’industria come quella assicurativa basata sul trust non possono essere ignorati!
A prescindere dalla grandezza dell'agenzia, la domanda a cui occorre darsi una risposta in tempi veloci è “Si è in grado -e a che livello- di controllare, verificare e mettere in sicurezza i dati utilizzati dall'azienda, dai propri agenti, fornitori e società del gruppo e via dicendo?"
In queste realtà, dove la mole di dati personali trattati è notevole, diventa necessario e obbligatorio definire bene un sistema di Data Governance perché solo così, a fronte di un Data Breach, sarà possibile identificare i dati coinvolti, stabilire le responsabilità e adottare le misure volte a minimizzare gli effetti.
A questa attività di Governance si deve poi affiancare una seria attività volta a minimizzare i dati, rispettando il criterio di proporzionalità, l'unico modo per essere sicuri del valore dei dati e del loro significativo valore rispetto all’attività di business.
La raccolta dei dati nelle agenzie assicurative
In questo settore il GDPR (General Data Protection Regulation) ci insegna che non è sufficiente adottare policy, regole e procedure conformi al Regolamento Europeo sulla Privacy se non si è in grado di capire e di conseguenza distinguere fra azienda e azienda.
Dati personali, dati particolari o sensibili, dati che sono sempre più numerosi, grazie anche all’utilizzo di nuove tecnologie per la raccolta (come smartphone e tablet) e alla necessità di strutturarli e renderli una leva per stare al passo con il mercato di oggi, che chiede sempre nuovi prodotti, più snelli e personalizzati, polizze on-demand, micropolizze e via dicendo.
Anche per questo tipo di attività il GDPR segna inequivocabilmente l'inizio di una nuova era, attraverso nuovi obblighi come ad esempio il Registro dei Trattamenti, a cui si aggiungono i concetti di Privacy by Design e by Default, così come riportato all'art.25 del Regolamento, dove si evince l'obbligo di proteggere i dati rispetto a future possibili implicazioni durante la progettazione di nuovi beni o servizi che verranno offerti in futuro sul mercato. Spesso si rende necessaria anche una adeguata Valutazione d'Impatto sulla Protezione dei Dati (DPIA), ovvero una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali.
Gli agenti: ruoli e responsabilità
Risale alla fine del 2018 la lettera che il Garante per la Protezione dei Dati Personali ha scritto al Sindacato Nazionale Agenti per chiarire i ruoli normativi tra agenti e compagnie di assicurazione in campo Privacy e Sicurezza dei dati e per porre fine a lunghe e accese diatribe.
L'art.4 del GDPR ci aiuta pertanto a definire le figure di Governance del sistema Privacy stabilendo che il “Titolare del Trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, mentre “Responsabile del Trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del Trattamento.
Nel sistema permane poi la figura dell' “Incaricato del Trattamento”, costituita dalle persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del Titolare o del Responsabile.
Ad esempio, un broker che riceve una richiesta di consulenza per una copertura assicurativa Rc capofamiglia, è "Titolare del Trattamento dei dati" conferiti dall’aspirante assicurato e, supponendo che non si tratti di dati sensibili o particolari, può essere automaticamente legittimato a usare quei dati, perché “il trattamento è necessario all’esecuzione di un contratto” (articolo 6 lettera b del GDPR).
Ma se lo stesso broker riceve dati particolari dallo stesso cliente (ad esempio patologie pregresse, sinistrosità professionale ecc.), senza un consenso scritto non potrà, con tutta probabilità, quotare la polizza.
Gli agenti, invece, per effetto della rappresentanza della compagnia, devono distinguere ciò che compiono nell’interesse proprio da ciò che compiono nell'interesse della loro mandante e se si presentano come Titolari, dovrebbero avere il consenso per comunicare i dati ricevuti. Per questo sarebbe ragionevole presentarsi come "Contitolari del Trattamento" (articolo 26 del GDPR), senza necessità di farsi autorizzare alla reciproca comunicazione dei dati.
Mentre i subagenti, che trattano i dati dei clienti per conto del loro agente di riferimento (che si occupa dei relativi adempimenti Privacy), ricopriranno con grande probabilità il ruolo dell’Incaricato o del Responsabile del Trattamento.
Il GDPR nelle agenzie assicurative: il DPO
La nomina del Responsabile della Protezione dei Dati è richiesta dall'art. 37 del GDPR quando le attività principali del Titolare o del Responsabile del Trattamento «consistono in trattamenti che per loro natura richiedono il monitoraggio regolare e sistematico degli interessati su larga scala», ovvero il monitoraggio effettuato periodicamente o in via continuativa.
Questo concetto non è stato del tutto compreso da molti operatori ed è stato quasi del tutto ignorato dagli intermediari assicurativi, che hanno affrontato l’entrata in vigore del GDPR come un ulteriore mero adempimento burocratico limitandosi a ciò che le proprie mandanti imponevano loro di fare.
In questo contesto, moltissimi intermediari assicurativi non hanno proceduto alla nomina dei DPO e, dal momento che il Garante Privacy si è limitato ad indicare fra i soggetti che hanno l’obbligo della nomina del DPO le imprese assicurative ma non gli intermediari, questi ultimi hanno erroneamente ritenuto di essere esclusi da tale obbligo.
A questo punto ci si dovrebbe chiedere se gli intermediari assicurativi effettuino trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali.
Necessario è distinguere fra le tipologie di intermediari assicurativi, ovvero fra coloro che sono iscritti alla sezione A del RUI (Il RUI è stato istituito dal Codice delle Assicurazioni, in attuazione della Direttiva 2002/92/CE sull’intermediazione assicurativa), ovvero gli Agenti Generali, coloro che sono iscritti alla sezione B, ovvero i Brokers, da coloro che sono iscritti alla sezione C, ovvero i produttori diretti, ed alla sezione E, i cosiddetti sub-agenti.
Si può certamente ritenere che i soggetti iscritti alle sezioni C ed E, dal momento che la tipologia della loro intermediazione è limitata ad un numero di casi modesto, non eseguano certamente trattamenti su larga scala e, pertanto, non abbiano l’obbligo della nomina del DPO.
Altrettanto però non si può dire per i soggetti iscritti alla sezione A e B i quali, per giungere alla decisione di iscriversi a tali sezioni, salvo rare eccezioni, certamente effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali.
A prescindere dal gran numero di clienti (certamente centinaia se non migliaia), gestiti da questi ultimi, non si deve ignorare il fatto che sia per la stipulazione di alcune polizze (sanitarie, infortuni, vita), sia per la gestione dei sinistri, gli Agenti e i Brokers devono trattare anche dati sensibili quali quelli sanitari dei clienti.
Pertanto appare abbastanza evidente che, anche in applicazione del principio di “responsabilizzazione” per costoro è fortemente consigliata la nomina del DPO.
La nomina del DPO consentirebbe loro, in caso di violazione della Privacy e di accertamento, di porsi al riparo da eventuali sanzioni che, rammentiamolo, sono assolutamente rilevanti.
In conclusione, ciò che si evince da questo primo quadro (e che è importante sottolineare) riguarda il fatto che quello delle assicurazioni è un mondo immenso pieno di sfaccettature.
Proprio per questo motivo accettare le classiche offerte standard di adeguamento al GDPR è una pratica rischiosa e che non tutela la proprietà: l’offerta deve essere specifica, perimetrata e personalizzata, anche basandosi sul supporto di un consulente e di un DPO che seguano con attenzione lo stato dell’arte ed il suo evolversi (leggi anche l'articolo "GDPR: DPO Interno o esterno all'azienda?").
Naturalmente i nostri consulenti sono sempre a vostra disposizione per qualsiasi chiarimento e supporto ai nostri contatti:
Cel. 371 46 37 145 - 371 46 30 129
E-mail: info@enterprise-solutions.net
Tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o ". . ." nella versione Mobile.
Comments