Le implicazioni della GDPR per le compagnie di assicurazioni

5 febbraio 2018 0 Di Yuri Poletto
Dal 25 maggio 2018 entrerà in vigore il nuovo regolamento generale sulla protezione dei dati (GDPR). Friss, società che sviluppa soluzioni tecnologiche per combattere le frodi assicurative, fa il punto sulle implicazioni per il settore assicurativo.
La privacy ci riguarda tutti.
Rilevare le frodi è una delle maggiori priorità per le compagnie di assicurazioni. Nella lotta alle frodi, il rispetto della privacy talvolta è un ostacolo, perché chi combatte le frodi vorrebbe poter svolgere il proprio lavoro nel modo più efficiente possibile.

Chi ha il compito di scoprire e combattere le frodi assicurative, d’altro canto, è anche un essere umano. Sicuramente nessuno vorrebbe che le foto delle sue vacanze venissero distribuite su Internet, che i suoi dati medici fossero noti a tutti, o che le sue transazioni finanziarie venissero vendute agli inserzionisti. La privacy è importante per tutti, è un diritto umano fondamentale.

Condizioni molto rigide.
Chi combatte le frodi è abituato a entrare nella vita personale degli altri e a “violare” i loro dati personali. Queste violazioni sono consentite in quanto necessarie nell’ambito delle indagini sulle frodi, ma solo a condizioni rigorose. Dopotutto, riguarda sempre le persone: non si tratta di profili di rischio o algoritmi.

Nel 2018 le già rigide normative dei paesi Europei che disciplinano questa attività saranno sostituite dal GDPR, che è ancora più severo.

Il nuovo regolamento entrerà in vigore il 25 maggio 2018. Non esiste un periodo di transizione, il regolamento era già stato annunciato due anni fa e le organizzazioni hanno già avuto due anni per prepararsi. La tua organizzazione è pronta?

Un’analisi della GDPR.
Questo nuovo regolamento in realtà nasce in ritardo. I regolamenti nazionali attuali risalgono al tempo in cui Internet era ancora praticamente inesistente. Oggigiorno viviamo nell’era di Internet of Things e dei Big Data, e c’è bisogno di nuove regole sulla privacy.
Ecco una panoramica dei punti più importanti del GDPR (leggi anche il nostro post precedente qui):
1. Rafforza i diritti dei cittadini
– Avranno un maggiore controllo dei propri dati personali. Il consenso per il trattamento dei dati personali dovrà essere fornito esplicitamente, quindi ogni organizzazione deve implementare sistemi appropriati a tal fine. Il ritiro del consenso dovrà inoltre essere altrettanto facile quanto la sua concessione.
– Viene riconosciuto il diritto all’oblio e alla portabilità dei dati. In altre parole, dovranno essere messi in grado di poter chiedere che i loro dati personali siano cancellati o trasferiti a un’altra organizzazione.
– Potranno presentare un reclamo all’Autorità per la protezione dei dati. Ogni reclamo dovrà essere affrontato e potrà portare a un’indagine e – eventualmente – una multa. In questo momento invece i reclami sono ancora visti principalmente come un segnale al quale spesso non viene dato seguito.

2. Dà alle organizzazioni maggiori responsabilità e obblighi: la parola chiave è Responsabilità.
– Dovranno implementare soluzioni e processi per essere in grado di dimostrare la conformità con il regolamento.
– Avranno l’obbligo di documentare quali dati sono stati elaborati, e dovranno essere proattive nella gestione dei dati.
– Dovranno dotarsi di un Responsabile della Protezione dei Dati.

La buona notizia è che con questi obblighi arrivano anche numerosi vantaggi. Il regolamento è internazionale, il che significa che all’interno dell’UE le organizzazioni avranno un unico insieme di regole e un’unica Autorità di Vigilanza. Inoltre, il nuovo regolamento offre mezzi di supporto per diventare conformi, come codici di condotta e certificazione.

3. Gli Addetti alla Privacy saranno investiti di maggiori autorità e responsabilità all’interno delle loro organizzazioni. Le sanzioni per la mancata conformità aumenteranno in modo significativo.

Le implicazioni per le compagnie di assicurazioni.
Cosa significa tutto questo per il settore assicurativo? Circa il trattamento dei dati personali, i fondamentali rimarranno praticamente gli stessi: deve sussistere un motivo per essere autorizzati a raccogliere ed elaborare i dati. Nel caso delle compagnie di assicurazioni questo consisterà in “un interesse giustificato dell’organizzazione”. Altro aspetto rilevante, la compagnia di assicurazioni è autorizzata a raccogliere solo i dati necessari per lo scopo in questione. Solo ciò che è necessario, non tutto ciò che è possibile. E l’elaborazione deve essere proporzionale: un esame limitato e concentrato delle fonti, piuttosto che raccogliere una vasta gamma di dati.

Secondo Gartner le organizzazioni impiegano sempre più tecnologie per elaborare dati strutturati e non strutturati da una varietà di fonti pubbliche. Questo potrebbe essere in contrasto con quanto previsto dalla GDPR.

Per l’industria assicurativa, vale la pena fare un accenno al principio di sussidiarietà. Ciò significa che l’obiettivo dovrebbe essere raggiunto nel modo meno intrusivo possibile. Filmare segretamente qualcuno per provare la frode, ad esempio, non sarà più consentito se ciò può essere rilevato in un altro modo meno intrusivo.

L’elaborazione di categorie speciali di dati personali deve inoltre soddisfare requisiti ancora più rigorosi. Ciò include, ad esempio, dati medici e dati di condanne penali e reati.

Oltre a ribadire e rendere più stringenti questi principi già esistenti, la GDPR introduce nuovi obblighi che riguarderanno direttamente le compagnie di assicurazioni:
1. Registro dei dati di elaborazione. Questo registro raccoglierà i dati che vengono elaborati, a quale scopo, su quale base, come sono protetti, da dove provengono e se possono essere utilizzati per altri scopi. È un registro obbligatorio per tutte le organizzazioni che trattano dati personali e che può essere controllato dall’Autorità di Vigilanza. La gestione di questo registro potrebbe essere molto impattante soprattutto per quelle aziende che lavorano con i Big Data e che utilizzano sistemi decisionali automatizzati.
2. Data Protection Impact Assessment (DPIA). Questo assessment viene reso obbligatorio per le operazioni di elaborazione dei dati ad alto rischio. Ciò riguarda le organizzazioni che raccolgono dati per la profilazione e utilizzano categorie speciali di dati personali su larga scala. L’autorità di vigilanza è tenuta a dare assistenza al riguardo.
3. Responsabile della Protezione dei Dati. Questa figura esiste già, ma il ruolo sarà rafforzato. Ad esempio, la nomina di un Responsabile della Protezione dei Dati è obbligatoria per le organizzazioni, come le compagnie di assicurazioni, che eseguono valutazioni di rischio individuali su larga scala.

Adeguarsi per tempo è cruciale.
Non c’è rimasto molto tempo fino al 25 maggio 2018, e questa scadenza va presa molto seriamente.
L’implementazione delle misure previste dalla GDPR deve essere fatta, è realizzabile e necessaria, per proteggere i dati personali di tutti, inclusi i nostri.

Fonte: Friss Blog


Iscriviti alla nostra newsletter

Condividi il post