Conto alla rovescia verso il GDPR, BTG Legal indica gli adempimenti minimi per gli intermediari assicurativi

Dati personali - Protezione (3) Imc

Dati personali - Protezione (3) Imc

La prossima entrata in vigore (25 maggio 2018) del nuovo Regolamento europeo n. 679/2016 sulla protezione dei dati personali pone al centro delle preoccupazioni degli operatori di mercato l’intricata questione della conformità dei propri sistemi e procedure alle nuove disposizioni normative.

Come evidenziano a questo proposito gli esperti del Cyber team dello studio legale BTG Legal (guidati dall’Avv. Giorgio Grasso, Senior Partner dello Studi, responsabile mondiale del Cyber Special Interest Group di Global Insurance Law Connect – network internazionale di studi legali specializzati nel diritto assicurativo – ed apprezzato nostro docente nei corsi di aggiornamento professionale per gli intermediari assicurativi), benché alla data di oggi i decreti governativi di recepimento non siano ancora stati adottati e non sia dunque possibile prevederne il contenuto, è tuttavia possibile ricordare gli adempimenti minimi imposti dal Regolamento ed evitare le pesanti sanzioni (nei casi più gravi, fino a venti milioni di euro o fino al 4% del fatturato annuo globale mondiale) che potranno essere applicate.

Il Cyber team di BTG Legal sottolinea anche come dalla lettera al mercato IVASS dello scorso 29 dicembre emerga una diffusa mancanza di una policy di gestione del rischio informatico formalizzata in un documento scritto, nonché una scarsa frequenza dei test anti-intrusione. Sul piano della prevenzione l’Istituto raccomanda che gli intermediari “si dotino di specifiche policy sul cyber risk, che potranno essere individuate anche sulla base di linee guida definite con le rispettive associazioni di categoria”.

Sempre secondo l’Istituto di vigilanza, è opportuno che queste policy:

  • siano redatte all’esito di un assessment approfondito dei processi e dei sistemi informatici in uso;
  • individuino le misure idonee ad accrescere la cyber security aziendale;
  • siano condivise con i propri collaboratori e dipendenti;
  • siano sottoposte a revisione con cadenza almeno biennale; in ogni caso, in presenza di modifiche normative o per adeguarsi all’evolversi della tecnologia e ogni qual volta si verifichino “incidenti informatici” che comportino l’inaccessibilità, anche temporanea, ai dati e alle informazioni o la loro perdita anche parziale;
  • abbiano contenuti e livelli di dettaglio commisurati alla complessità dell’attività aziendale e al grado di esposizione al rischio.

L’IVASS ritiene inoltre opportuno che sia verificata, “almeno semestralmente ed anche con l’eventuale ricorso a consulenti esterni, la conformità dell’operatività aziendale alle previsioni contenute nella politica adottata”.

Secondo il Cyber Team di BTG Legal si possono, in ogni caso, individuare alcuni suggerimenti per non farsi trovare impreparati alla scadenza del 25 maggio:

1) Aggiornare l’informativa privacy

Il nuovo Regolamento europeo prevede un aumento delle informazioni contenute nell’informativa sul trattamento dei dati personali. Tra le informazioni aggiuntive che dovranno essere inserite dai titolari del trattamento nell’informativa BTG Legal sottolinea il periodo di conservazione dei dati personali, il diritto per l’interessato di proporre reclamo ad un’autorità di controllo, la possibilità di trasferire dati a un paese terzo, l’esistenza di un processo decisionale automatizzato, compresa la profilazione.

2) Predisporre una valutazione d’impatto sulla protezione dati

Ai sensi dell’articolo 35 del Regolamento, nel caso in cui il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche il titolare del trattamento è tenuto ad effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati.

3) Controllare i propri sistemi di sicurezza

La sicurezza dei dati personali trattati dai titolari, sottoliena il Cyber team di BTG Legal, è una priorità del nuovo Regolamento. I titolari del trattamento dei dati personali sono tenuti ad implementare le misure tecniche e organizzative più appropriate al fine di garantire un livello di protezione e sicurezza adeguato. I titolari sono inoltre tenuti a dimostrare la conformità delle misure adottate alle disposizioni del Regolamento.

4) Valutare la nomina di un Data Protection Officer

Il Regolamento consente ai titolari del trattamento dei dati personali di nominare una figura indipendente dalla propria struttura aziendale al fine di accompagnare il titolare nella conformità, formulare raccomandazioni circa il trattamento dei dati e la loro sicurezza e sensibilizzare i dipendenti alle tematiche relative alla privacy. Questa figura può inoltre fungere da tramite con le autorità amministrative competenti in caso di violazioni di sicurezza o adempimenti richiesti.

Intermedia Channel

Related posts

Top