L’8 e 9 giugno scorso si è svolto a Bologna il quarantacinquesimo Congresso Nazionale dell’Unione Europea Assicuratori. Il primo giorno si è tenuto al mattino il Comitato dei delegati distrettuali ed a seguire, nalla sessione pomeridiana, il Convegno “GDPR e Assicurazioni”, durante il quale sono state approfondite le novità introdotte dal Regolamento 679/2016 con un focus specifico sulle agenzie di assicurazione. Nella seconda giornata di lavori l’Assemblea dei soci ha assistito alla lettura della relazione annuale del presidente Roberto Conforti, seguita da numerosi interventi dei soci stessi.
Il convegno – Il GDPR e la privacy in Agenzia. L’intervista del presidente UEA all’avv. Rudi Floreani e l’intervento dell’Ente di certificazione
Dopo le prime domande volte ad inquadrare la genesi, i concetti chiave, le differenze “ontologiche” rispetto alle normative precedenti del Regolamento europeo 679/2016, l’avv. Floreani – titolare dell’omonimo studio legale ed esperto privacy – ha chiarito perché il GDPR impone un cambio di approccio. Se fino ad oggi gli adempimenti privacy erano standardizzati, quando non ridotti a “prestampati”, ora occorre prima di tutto implementare un’attività di risk assessment, un’autoanalisi dei rischi connessi al trattamento dei dati.
Fatto questo, il titolare del trattamento è tenuto a prendere decisioni idonee rispetto a quanto prescritto dal GDPR e – vera rivoluzione introdotta dal principio di accountability – è tenuto a dimostrare l’adeguatezza e l’efficacia delle misure adottate. Da qui l’opportunità di dotarsi di un vero e proprio Modello Organizzativo Privacy (Mop) che, sulla falsa riga del Mog 231/2001, possa mettere l’impresa nella condizione di dimostrare di aver fatto tutto il possibile per evitare di commettere un illecito e, dunque, di non essere sanzionata nel caso in cui questo si verifichi.
Un modello che dovrà necessariamente tenere conto, ha successivamente sottolineato ASACERT, che il GDPR cita espressamente l’opportunità di dotarsi di “meccanismi di certificazione della protezione dei dati” e che, in assenza di uno schema “GDPR compliant”, i due standard internazionali di riferimento sono la ISO 27001 e il BS 10012.
Il convegno – Il GDPR e la consulenza privacy alle aziende clienti. L’intervento del consigliere UEA Mario Cipriano e la tavola rotonda
Nell’ottica di proporre un adeguamento “sostanziale” al GDPR, un modello sistemico di gestione di tutta la filiera privacy, il consigliere UEA Cipriano ha tracciato il frame di un processo di risk assessment che deve necessariamente coinvolgere una serie di figure tecniche specialistiche afferenti a diversi ambiti: giuridico, informatico, di investigazione forense, assicurativo. Gli esperti chiamati ad intervenire alla tavola rotonda hanno dunque approfondito i diversi aspetti di un obiettivo sinergico: proteggere uno degli asset fondamentali di qualsiasi impresa, i suoi “dati”. A questo scopo sono intervenuti Sergio Fumagalli (Clusit), Roberto Nesci (Nero Tk – digital forensic), Giorgio D’Armento (Fortinet – sicurezza informatica) e Davide Ravasi (Syneto – sistemi iperconvergenti).
L’Assemblea dei Soci – La relazione annuale del presidente UEA, Roberto Conforti
Intento programmatico della Relazione del Presidente Conforti è stato quello di proporre un compendio delle principali norme, divenute operative negli ultimi dodici mesi, che impattano sulla distribuzione assicurativa (dalla MIFID II / MIFIR al PRIIP, dalla PSD2 al GDPR, dalla legge Concorrenza 124/2017 ai PIR, introdotti con la legge di bilancio 2017, al Codice del Terzo settore), enucleando di ognuna aspetti chiave, insidie e costi.
Nelle conclusioni, Conforti si è soffermato sulla IDD, oggetto di numerosi scritti e convegni UEA: “Questa direttiva prenderà efficacia dal 1 ottobre prossimo e cambierà profondamente la qualità della distribuzione assicurativa. La nostra speranza è che cambi la qualità del ‘modo di fare polizze’ anche delle banche – dove continuano comportamenti contra legem a danno dei consumatori (senza scomodare gli investimenti in diamanti) – e degli uffici postali dove sarebbe necessario che qualche ispettore IVASS si trattenesse un’oretta ad ascoltare come vengono vendute le polizze”.
“Il concetto più forte che ho trovato nella Direttiva, richiamato più volte, è la competenza ‘obbligatoria’ degli intermediari – ha inoltre sottolineato Conforti –. Infatti l’unica modalità possibile per ottenere coperture e soluzioni adeguate e coerenti con il profilo di rischio e con la propensione al rischio del cliente, non risiede certamente nella consegna e nella archiviazione, sopra supporti durevoli, di una ipertrofica fascicolazione, di norme, questionari, moduli e firme biometriche, ma nella capacità dell’intermediario di fare una profonda e accurata intervista al cliente per individuare i rischi (espressi e impliciti) della persona e/o del suo nucleo familiare, dare loro una corretta priorità, verificare il loro ciclo di vita e i costi necessari per metterli in sicurezza, costi che devono essere compatibili con le disponibilità economiche del cliente in questione”.
“Queste informazioni, declinate attraverso la competenza professionale e l’etica comportamentale dell’intermediario produrranno soluzioni adeguate – ha concluso il presidente UEA –. La distribuzione assicurativa passerà dalla vendita di prodotti alla vendita di un servizio e, finalmente, il nostro non sarà più un mestiere per tutti”.
Intermedia Channel
