Gdpr per le compagnie: una spada di Damocle o una opportunità di business? Contenuto sponsorizzato
Per il settore assicurativo non solo obblighi di adeguamento, ma nuovi mercati da cogliere per garantire protezione alle aziende clienti
23/04/2018
Tutti lo conoscono sinteticamente come Gdpr. È il General data protection regulation, ovvero il Regolamento (UE) 679/2016 sulla protezione dei personal data che porta ad un nuovo livello la regolamentazione sulla privacy e che dal prossimo 25 maggio 2018 sarà direttamente applicabile in tutti gli Stati membri.
Il Gdpr riguarda il trattamento di dati personali effettuati da un titolare o da un responsabile con sede nell’Unione Europea, oltre che, in alcuni casi, il trattamento di dati personali effettuati da un titolare non stabilito nell’Unione. Ciò significa che, in quanto basate sulla raccolta e sull’analisi di dati personali, tutte le compagnie assicurative europee (nonché le Insurtech), e non solo, sono soggette al Gdpr.
Spada di Damocle o business inatteso? Certamente si tratta di un’opportunità da gestire che ha, come principale ostacolo, la disinformazione: tutte le aziende ad oggi dovrebbero aver intrapreso un processo di adeguamento dall’attuale Codice della Privacy vigente in Italia al nuovo Regolamento Europeo, ma non è così.
È necessario accelerare l’attenzione sulle nuove disposizioni, in particolare su:
- Data Breach ovvero l’obbligo di segnalazione in capo a tutti i titolari del trattamento – al Garante della Privacy e in alcuni casi anche a tutti i soggetti interessati - in presenza di attacchi esterni o compromissione dei dati personali subiti dall’azienda che mettano a rischio i diritti e le libertà degli interessati.
- Privacy by design e cioè la considerazione di possibili future implicazioni (lato privacy) durante la progettazione di un nuovo bene/servizio che verrà offerto in futuro sul mercato.
- Privacy by default: i responsabili del trattamento dei dati devono assicurare che solo i dati personali strettamente necessari ad uno scopo specifico vengano trattati.
- Principio di accountability del titolare del trattamento: la prescrizione imposta dal D. Lgs. 196/2003 diviene responsabilità specifica del Titolare del trattamento la cui designazione deve essere puntuale.
- Data Protection Officer: è la reale novità del Gdpr ma non riguarda tutte le aziende. L’obbligatorietà della nomina di un DPO è in funzione delle caratteristiche dell’azienda e della tipologia di trattamento dei dati.
- Registro dei trattamenti è il documento che dovrà essere redatto per tracciare il trattamento dei dati anche nel caso in cui l’azienda figuri quale responsabile del trattamento.
Il lavoro che il Gdpr comporta per le assicurazioni è evidente, ma è proprio sul principio di governo del dato e sulla fiducia del cliente che si basa l’opportunità di business, il vero rovescio della medaglia: la grande esposizione in termini di reputation – con i costi che ciò comporta – sta facendo aumentare la domanda di polizze legate al cyber risk e all’information security facendo intravedere un mercato potenziale in veloce espansione. Ciò non accade solo nel mondo assicurativo ma in tutte le aziende soggette al Gdpr.
© RIPRODUZIONE RISERVATA
simulware,
👥