E’ bene chiarire, forse per la milionesima volta che sono soggetti al GDPR i trattamenti di dati personali effettuati da un titolare o da un responsabile con sede nell’Unione Europea, oltre che i trattamenti di dati personali posti in essere da un titolare o da un responsabile non stabilito nell’Unione, qualora essi riguardino l’offerta di beni o servizi o il monitoraggio di comportamenti di interessati che si trovano nel territorio dell’Unione.

Tanto ciò detto è evidente che società assicurative o Compagnie extra-europee che vendano polizze a cittadini dell’Unione Europea saranno soggette all’applicazione del GDPR.

Probabilmente non spaventano le sanzioni pecuniari e penali, che potremo definire sostanziose, ma deve essere ben chiaro che non essere compliant diventa pericoloso e non solo economicamente, infatti  ne va della reputazione dell’azienda, della fiducia del consumatore, fatto che in un’industria come quella assicurativa basata sul trust non può essere ignorato.

Questa è la situazione per  banche, finanziarie di grandi dimensioni e compagnie assicurative a prescindere dalla grandezza e quindi la domanda a cui occorre darsi una risposta in tempi veloci è, quante delle tipologie citate sono in grado di “controllare, verificare e mettere in sicurezza” i dati utilizzati dalla società, dai propri agenti, fornitori e società del gruppo, etc.

In una situazione come questa cosi mista di intrecci di dati fra società diventa necessario e obbligatorio definire bene un sistema di data governance, questo perché solo cosi a fronte di un data breach sarà possibile identificare i dati coinvolti, stabilire le responsabilità e e adottare le misure volte a minimizzare gli effetti.

A questa attività di governance si deve poi affiancare una seria attività volta a minimizzare i dati rispettando il criterio di proporzionalità, unico modo questo per essere sicuri del valore dei dati e del loro significativo valore rispetto all’attività di business.

Si evince da queste poche parole che accettare in merito al GDPR le classiche offerte standard è una pratica rischiosa e che non tutela la proprietà, l’offerta deve essere specifica perimetrata ed avere a supporto un consulente o un DPO che segua con attenzione lo stato dell’arte ed il suo evolversi.

Quanto appena detto è il risultato di un’analisi “critica” del GDPR, dal quale si evince che non è  sufficiente adottare policy, regole e procedure conformi al Regolamento privacy europeo, se non si è in grado di capire e di conseguenza distinguere fra azienda ed azienda. È infatti nello specifico di un perimetro aziendale che verranno introdotte misure tecniche ed organizzative in grado di minimizzare i rischi di contestazioni pur  traendo  i benefici adeguati derivanti dai dati trattati in modo trasparente nei confronti dei clienti e delle autorità.

Sono proprio banche ed assicurazioni  quelle industrie da sempre basate sulla raccolta di dati.

Dati personali, sensibili, dati sempre più numerosi  grazie anche all’utilizzo di nuove tecnologie per la raccolta (vedi smartphone o wearable, p.e.) e alla necessità di strutturarli e renderli una leva per stare al passo con il mercato di oggi, che chiede nuovi prodotti, più snelli e personalizzati, polizze on-demand, micropolizze, ecc.

Anche per questo tipo di attività il GDPR segna inequivocabilmente una nuova era, attraverso nuovi obblighi come ad esempio il registro del trattamento.

A questo si aggiunga un passaggio epocale fra il vecchio sistema che aveva da rispettare le misure minime di sicurezza, il famoso allegato b, con una metodologia quella del regolamento europeo che indica determinati obiettivi da raggiungere a garanzia della tutela dei dati personali.

Il GDPR ha introdotto, però non solo per banche e assicurazioni,  il concetto di accountability del titolare del trattamento, una responsabilizzazione dello stesso che deve essere in grado di comprovare il rispetto dei principi fissati dall’articolo 5 del GDPR che sono

  • Liceità;
  • correttezza;
  • trasparenza nel trattamento dei dati;
  • limitazione delle finalità di trattamento;
  • minimizzazione ed esattezza dei dati trattati;
  • integrità e riservatezza;
  • limitazione della conservazione dei dati trattati.

Si aggiunga poi il concetto di “Privacy by Design e by default”, cosi come riportato all’art. 25 del GDPR, dove è chiaro che adesso nasce l’obbligo di proteggere i dati rispetto a possibili future implicazioni  durante la progettazione di un nuovo bene/servizio che verrà offerto in futuro sul mercato.

Potrebbe, in tal caso, risultare necessaria l’implementazione di tutte le misure tecniche ed organizzative adeguate quali, ad esempio, la pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente.

Il concetto di ‘Privacy by default‘ significa che i responsabili del trattamento dei dati devono attuare adeguate misure tecniche e organizzative ad assicurare che solo i dati personali necessari per uno scopo specifico vengano trattati.

A questi concetti se ne aggiungono altri come il registro del trattamento ma soprattutto come la adeguata valutazione d’impatto che deve essere parte di un efficace processo di adeguamento alla nuova normativa da parte delle aziende.