Voci dalla Rete: GDPR e Agenzie di assicurazione

Privacy (3) Imc

Privacy (3) Imc

Dagli atti del Convegno UEA “GDPR e assicurazioni: la protezione del dato in Agenzia e la consulenza privacy alle imprese clienti”, svoltosi lo scorso 8 giugno, durante i lavori del XLV Congresso nazionale dell’Associazione, riprendiamo anche su Intermedia Channel l’intervista del presidente UEA, Roberto Conforti, all’avv. Rudi Floreani (fondatore dello Studio Legale Floreani ed esperto privacy del settore assicurativo) su GDPR e privacy di Agenzia

GDPR e privacy di Agenzia, Convegno UEA “GDPR e assicurazioni: la protezione del dato in Agenzia e la consulenza privacy alle imprese clienti” – Il Presidente UEA Roberto Conforti intervista l’avv. Rudi Floreani, Studio Legale Floreani

Privacy e protezione dei dati sono concetti diversi in Europa e in America: perché abbiamo questa norma?

Il diritto alla privacy è nato negli Stati Uniti a fine ‘800 grazie al celebre articolo di Warren e Brandeis “Right to privacy” pubblicato nella Harvard Law Review. Il significato, peculiare, è sintetizzabile nel concetto “right to be alone”, ossia nel diritto ad essere “lasciati da soli” o, secondo alcune altre interpretazioni, nel diritto “ad essere lasciati in pace”. Violare la privacy voleva significare (secondo questa prima accezione) violare la riservatezza di una persona. In Europa, qualche decennio dopo (ci troviamo nel contesto culturale, sociale e giuridico del dopoguerra, che usciva dall’esperienza degli Stati totalitari, che avevano classificato e schedato le persone per le proprie idee, il proprio credo, le proprie origini etniche), si sviluppa un istituto giuridico che è quello della protezione dei dati. Da qui nasce e prende vita il principio (e la volontà) di regolamentare il trattamento dei dati personali da parte di qualsivoglia Ente, pubblico o privato che sia. Il GDPR dà concretezza (insieme a tutta la previgente disciplina) proprio a questo principio: la tutela del trattamento del dato; non a caso nel nuovo precetto mai si usa il termine privacy, ma solo e sempre quello di “data protection” (protezione del dato). 

Cosa cambia con il nuovo Regolamento Europeo 679/2016 per le Agenzie di assicurazione? Cosa deve fare un Agente per rispettare il nuovo impianto normativo?

La prima grande novità è la fonte: il nuovo quadro normativo è introdotto nel nostro Ordinamento da un Regolamento Europeo. La disciplina che abbiamo conosciuto finora faceva invece riferimento a norme nazionali – la legge 675 del 1996, il D.Lgs. 196 del 2003 – figlie tutte di una Direttiva Europea (la n. 95/46). Gli Stati dell’Unione, tuttavia, recependo con sensibilità diverse la Direttiva madre, avevano creato in questi anni regimi “non uniformi” in tema di trattamento dei dati personali. Per certi aspetti in Europa c’erano “velocità diverse” in materia di dati personali. Da qui, evidentemente, la scelta della Fonte, che per la sua stessa natura è volta a dare uniformità al dettato all’interno degli Stati membri.

Le novità per le Agenzie sono diverse: da una parte il GDPR introduce adempimenti nuovi (la procedura sulla portabilità, quella sul data breach, il registro dei trattamenti) dall’altra quelli “vecchi” (l’informativa, il consenso, le misure di sicurezza) sono stati in parte riscritti. E’ cambiato soprattutto l’approccio, che è diventato risk based. L’intermediario è chiamato in via preliminare a fare una mappatura dei trattamenti che pone in essere e dei incombono su tali trattamenti. Sulla base di questa “matrice del rischio” può (e deve) approntare il proprio modello organizzativo privacy. Siamo passati dalla forma alla sostanza: non più solo formalità da espletare e firme da raccogliere, quanto piuttosto adempimenti che siano adeguati ed idonei a soddisfare l’interesse del soggetto cui si riferiscono i dati.

Quindi un cambio di metodo che implica un cambiamento culturale, ben sintetizzato dall’introduzione di un nuovo termine: “accountability”. Di cosa si tratta?

Possiamo dire che l’accountability è una delle novità di maggior rilievo nel Regolamento. In italiano il concetto viene tradotto con il termine “responsabilizzazione”. Costruita la “matrice del rischio” del trattamento dei dati,  il Titolare ha la responsabilità di decidere quali misure siano adeguate e più idonee a soddisfare la tutela dell’interessato. L’accountability ci libera dai vincoli formali, tante volte fini a se stessi, e ci impone piuttosto la responsabilità di assumere misure che siano adeguate, idonee e funzionali alla protezione dei dati dell’interessato.

Sono possibili più approcci a questo nuovo impegno, una possibilità è dotarsi di un Modello Organizzativo Privacy (MOP), di cosa si tratta e quali punti di contatto ha con il MOG ex 231/2001?

MOP e MOG introducono nel mondo dell’intermediazione assicurativa un metodo: dotarsi di modelli organizzativi significa porsi in quella condizione giuridica volta a dimostrare che l’impresa agenziale ha fatto tutto quello che poteva per evitare la commissione di un qualche illecito.  E’ la strada per prevenire condotte in contrasto con l’Ordinamento e quindi porre l’agenzia in “sicurezza” rispetto a rischi legali, sanzionatori e reputazionali. Anche il GDPR introduce il tema del Modello Organizzativo così come previsto (con tutti i distinguo) nel D.Lgs. 231/01.

MOP e diritto industriale: quali sono le differenze tra le discipline e quali le ricadute pratiche per gli Agenti di assicurazione?

Dati e banche dati “scomodano” diversi profili giuridici. Se il GDPR ha ad oggetto il trattamento dei dati personali e ha a cuore la tutela dell’interessato, il diritto industriale si rivolge a questioni ben diverse: il diritto “di proprietà” della banca dati e la tutela giuridica che il costitutore deve aver riconosciuta. Il distinguo concettuale è chiaro, come sono chiare e distinte le discipline che lo regolamentano. Purtroppo la “confusione” tra questi temi e questi distinguo normativi regna sovrana. Le “ricadute” per gli intermediari sono significative e strategiche: una cosa è il trattamento del dato, e quindi la possibilità di usare le informazioni che si riferiscono p.e. ai clienti, altra cosa è ragionare sulla proprietà della banca dati che l’intermediario ha costituito.

Oggi si dice che i dati siano il nuovo “oro nero”: perché? E quando e quanto valgono le informazioni?

La prospettiva, nei ragionamenti che hanno ad oggetto i dati personali, oggi è duplice: da una parte la tutela dell’interessato e delle informazioni che lo riguardano, dall’altro la valorizzazione di queste informazioni. Sono due prospettive che apparentemente sembrano contrapposte, ma non lo sono affatto. Se il dato non viene trattato lecitamente, non è utilizzabile e, quindi, non ha valore. Se, per contro, il dato (e la banca dati) ha solide fondamenta legali, può essere trattato e quindi quel trattamento gli conferisce valore.

L’attuale contesto economico e la rivoluzione tecnologica in atto ci insegnano che tutti i sistemi non funzionano senza la “benzina” dei dati. Quanto valgono? I dati (per usare una metafora che oggi ricorre) possono essere paragonati sì al petrolio ma allo stato “grezzo”; sono le operazioni di trattamento (più o meno sofisticate) che conferiscono valore ai dati. Gli esperti ci dicono che il valore di un dato tende ad essere proporzionato alla ricchezza che il suo trattamento riesce a produrre.


Intermedia Channel

Related posts

Top