Il 25 maggio 2018 entra in vigore il nuovo Regolamento Generale sulla Protezione dei Dati, in acronimo GDPR. Ma quali sono le implicazioni per le compagnie assicurative? A fare il punto sulla situazione è Friss, una delle società leader nello sviluppo di soluzioni pronte a contrastare le frodi assicurative.

GDPR: cos’è?

Il GDPR nasce per soddisfare il bisogno di nuove regole sulla privacy. D’altronde, tutti i regolamenti nazionali in materia sono stati stilati quando Internet e le sue implicazioni, erano praticamente inesistenti. Oggi, invece, l’uomo contemporaneo vive nell’epoca dell’Internt of Things e dei Big Data: è da questa nuova prospettiva che prende forma il GDPR.
Gli elementi essenziali del GDPR possono essere suddivisi in tre punti essenziali: assicurare ai cittadini maggiori diritti, affidare maggiori obblighi e responsabilità alle organizzazioni, accordare agli addetti alla privacy maggiori responsabilità all’interno dei luoghi di lavoro.

I nuovi diritti dei cittadini

In virtù delle nuove norme imposte dal GDPR i cittadini hanno un maggior controllo sui propri dati personali. Infatti, secondo quanto previsto dal nuovo Regolamento Europeo, ogni utente deve fornire in maniera esplicita il proprio consenso al trattamento dei dati personali, ad ogni genere di azienda o società. Le aziende, pertanto, si ritrovano a dover implementare i propri sistemi per adeguarsi alla norma. Esattamente come per il consenso, anche il suo ritiro, per ogni utente deve essere semplice e intuitivo.

Nella norma, inoltre, sono riconosciuti ai cittadini i diritti all’oblio e alla portabilità dei dati personali. Ciò significa che ogni utente ha diritto di richiedere la cancellazione dei propri dati presso un’azienda oppure al loro trasferimento ad altra impresa.
Nell’eventualità un utente ritenga che i suoi diritti siano violati, può presentare un reclamo all’Autorità designata alla protezione dei dati. I reclami conducono all’apertura di un’indagine ed, eventualmente, al pagamento di una multa.

Più responsabilità ed obblighi per le aziende

Secondo quanto previsto dal GDPR il termine guida per le aziende in materia di trattamento dei dati personali è Responsabilità.

Uno dei primi compiti affidati dal nuovo regolamento alle aziende è quello di implementare i sistemi e i processi per dimostrare di essere conformi alla norma.
Ogni azienda deve evidenziare la tipologia dei dati elaborati oltre ad essere proattiva nella loro gestione. Inoltre, è caldamente raccomandato ad ogni organizzazione, di dotarsi di un Responsabile della Protezione dei Dati.
Se gli obblighi sono molteplici non mancano i vantaggi dedicati alle aziende. Il regolamento ha valenza internazionale: ciò significa che nell’Unione Europea sarà valido un unico testo normativo per la Protezione dei Dati Personali e che ci sarà un’unica Autorità di Vigilanza.

I responsabili per la Protezione dei Dati

Aumenta l’autorità degli addetti alla Privacy e le responsabilità che dovranno assumersi all’interno delle aziende dove operano. Ovviamente, aumentano anche le sanzioni nel caso in cui l’azienda non risulterà conforme.

GDPR e compagnie assicurative: cosa cambia?

Gli elementi essenziali per il trattamento dei dati personali presso compagnie assicurative restano praticamente gli stessi. Infatti, devono esserci le ragioni per essere autorizzati a raccogliere e successivamente elaborare i dati personali di un utente. Nel dettaglio, per le compagnie assicurative, la motivazione del trattamento trova la sua ragione nell’”interesse giustificato dall’azienda stessa”.

Altro elemento di interesse per le compagnie assicurative è che esse sono autorizzate a raccogliere solo i dati necessari al loro scopo. Pertanto le assicurazioni possono richiedere ed elaborare solo i dati necessari, non tutti i dati possibili. L’elaborazione dei dati personali degli assicurati, peraltro, deve essere proporzionale. Per questa ragione si deve realizzare una valutazione limitata delle fonti e non si può raccogliere ed elaborare una vasta gamma di dati.

Ad esempio, secondo il nuovo GDPR le organizzazioni non possono più elaborare dati strutturati e non attingendo dalle fonti pubbliche.

Il principio di sussidiarietà e il GDPR

Il principio di sussidiarietà del nuovo GDPR applicato al settore assicurativo implica che l’obiettivo proprio dell’azienda deve essere raggiunto nella maniera meno intrusiva possibile. Ad esempio, non è lecito filmare un assicurato per provare che è in atto una frode, così come non è consentito accedere a dati privati senza ottenere il consenso.

Nel caso in cui devono essere poi elaborate alcune categorie speciali di dati personali, è necessario che l’azienda soddisfi dei requisiti ancora più stringenti. È questoil caso di dati medici, oppure di dati che riguardano condanne o reali penali.

Il GDPR, per le assicurazioni, introduce obblighi specifici, che prevedono la necessità di possedere:

• Un registro dei dati elaborati. Si tratta di un registro che conterrà i dati elaborati. Il registro deve elencare a quale scopo vengono elaborati i singoli dati, su che base vengono elaborati, come sono protetti, da dove provengono e se c’è la possibilità che vengano adoperati per altri scopi. Questo registro deve essere posseduto da tutte le aziende e può essere in qualsiasi momento controllato dall’Autorità di Vigilanza.

• Un Data Protection Impact Assessment. L’assessment, in acronimo DPIA, è obbligatorio per tutte le eleaborazioni dei dati ad alto rischio, In particolare l’obbligo di DPIA è previsto per tutte quelle società che raccolgono dati di profilazione e contemporaneamente posseggono dati speciali su larga scala.

• Un Responsabile della Protezione dei Dati. Di norma questa figura deve essere già presente all’interno di una compagnia assicurativa. Oggi il suo ruolo è rafforzato. La nomina di un Responsabile per la Protezione dei Dati per le compagnie assicurative, perché esse eseguono valutazioni di rischio individuale su larga scala.

Noi siamo pronti ad accogliere il GDPR e voi? Vi siete assicurati che tutte le aziende proteggano adeguatamente i vostri dati?