Intermediari assicurativi e del credito, come adeguarsi al GDPR

Alcuni semplici consigli per gli intermediari che trattano dati personali, per adeguarsi al GDPR, il nuovo Regolamento sulla privacy approvato dalla UE.

Intermediari e sicurezza informatica

Il 25 maggio è entrato in vigore il nuovo regolamento europeo per la protezione dei dati personali, il GDPR (Regolamento Privacy UE/2016/679). A doversi adeguare sono tutte le imprese ed i professionisti, soprattutto quelli che entrano costantemente in contatto con informazioni sensibili come gli intermediari

Compliance, trasparenza e accountability
Ogni intermediario, per adeguarsi alle nuove norme UE sulla privacy, dovrà valutare attentamente le attività svolte in precedenza in tema di tutela della privacy.

Per gli intermediari assicurativi è già disponibile il percorso online sulla sicurezza informatica diviso in:
Corso sulla sicurezza informatica 6 ore
Corso sulla sicurezza informatica 12 ore

Il GDPR prevede che qualsiasi attività di compliance sia sempre correlata anche alle capacità di spesa del titolare è che il processo di trattamento dei dati sia in linea con il principio della trasparenza (Considerando del GDPR n. 58, 59 e 60), in questo modo la gestione dei dati diventa anche sicura.

Tale gestione si basa sul rischio del trattamento e misure di accountability di titolari e responsabili, ossia sull’adozione di comportamenti proattivi ed in grado di dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR.

Il principio della trasparenza si concretizza in un obbligo da parte titolare del trattamento di informativa privacy con informazioni concise, facilmente accessibili e di facile comprensione, ma anche di prevedere modalità che vivevano all’interessato di esercitare agevolmente i diritti che gli spettano, come l’accesso ai dati, la loro rettifica e cancellazione e il diritto di opposizione.

Deve inoltre essere previsto un meccanismo per l’inoltro delle richieste per via elettronica, in particolare qualora i dati personali siano elaborati con mezzi elettronici.

Sicurezza

L’intermediario dovrebbe trattare solo dati cifrati così da garantire una protezione efficace delle informazioni; le misure di sicurezza che professionisti ed aziende dovrebbero adottare sono descritte nei Considerando del GDPR nn. 74, 75 e 76:

(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare dal trattamento dei dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare:

  1. se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
  2. se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
  3. in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
  4. se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

(76) La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.

   

Iscriviti alla newsletter e ricevi informazioni utili alla tua attività!
Aggiornamenti, notizie, offerte speciali.
L’iscrizione è gratuita e puoi annullarla in qualsiasi momento.

WhatsUp Online
Invia su WhatsApp

RB Consulting S.r.l.P.I./C.F.: 17044041006 -

Privacy Policy Cookie Policy