Il contributo affronta le conseguenze dell’emergenza epidemiologica da Sars-cov-2 sull’attività assicurativa per quanto riguarda la regolazione dei trattamenti di dati personali degli assicurati. In mancanza di normativa specifica per l’emergenza, si applicano principi e regole derivanti dal quadro giuridico europeo in materia di dati personali, che impongono su compagnie ed intermediari precise responsabilità (accountability), soprattutto riguardo all’adozione di misure di sicurezza sempre adeguate.
The contribution addresses the consequences of the epidemiological emergency from Sars-cov-2 COVID 19 on insurance business with regard to the regulation of the processing of policyholders’ personal data. In lack of specific emergency legislation, principles and rules deriving from the European legal framework on data protection apply, which impose on companies and intermediaries precise responsibilities (accountability), especially with regard to the adoption of adequate security measures
1. Introduzione - 2. Presupposti normativi in materia di protezione dei dati personali: responsabilità e obblighi - 3. La situazione eccezionale della Pandemia e le sue conseguenze sull’applicazione delle norme a protezione dei dati personali - 4. Riflessioni conclusive - NOTE
Il problema della tutela dei dati personali degli assicurati si è posto nelle varie fasi della pandemia da Covid-19 principalmente a causa del fatto che sia la distribuzione di prodotti assicurativi, sia la prestazione di servizi connessi, sono avvenute per forza di cose telematicamente, online oppure comunque utilizzando strumenti di comunicazione a distanza. Tale fenomeno ha riguardato le attività svolte sia direttamente ad opera delle compagnie, sia quando era coinvolto un intermediario di assicurazione. In altri termini, l’urgenza di riflettere sulla protezione dei dati degli assicurati si è percepita in ragione del diverso mezzo di comunicazione ed interazione utilizzato rispetto alla normalità dei casi. Questa situazione deve essere specificata, per le ragioni che vedremo, nel senso che non solo gli assicurati si trovavano a distanza con riferimento ai locali della compagnia o dell’intermediario, dove normalmente si trovano i loro diretti interlocutori, ma gli stessi “interlocutori”, cioè i lavoratori della compagnia o dell’intermediario erano a loro volta a distanza, anche dai locali normalmente adibiti all’attività lavorativa. Infatti, quantomeno nella prima fase e per alcuni mesi, quasi tutti avevano dovuto adottare il regime di attività in smart working. Dunque, le compagnie e gli intermediari si sono trovati a dovere gestire ed affrontare tematiche e problematiche che probabilmente non avevano considerato nell’individuare procedure e misure di attività tarate sull’ordinaria attività in presenza. Lo smart working, unitamente alla distanza degli assicurati, ha costituito una sfida notevole da affrontare per tutti i rischi aggiuntivi che ha comportato in termini di rischi per la sicurezza delle attività e dei dati: si pensi, solo per fare qualche esempio, alle difficoltà di tutela dei dati dei clienti rispetto agli attacchi hacker e, più in generale, alla cyber security. Anche se siamo ormai giunti alla cd “fase tre” di convivenza con il virus, ancora oggi tante persone tendono a sfruttare maggiormente le opportunità offerte dalle tecnologie della comunicazione per ridurre i rischi di interazione personale e dunque di contagio; inoltre, in molti contesti lavorativi gli spazi non sono idonei a consentire un pieno rientro operativo in presenza a tutti i lavoratori o, anche laddove fosse [continua ..]
Il quadro giuridico rilevante è costituito, come noto, in primo luogo dal Regolamento europeo n. 679/2016 in materia di protezione dei dati (General Data Protection Regulation, o GDPR), per la cui applicazione il settore assicurativo non fa eccezione. Per la parte che ci interessa ai fini di queste brevi note, il Regolamento individua i soggetti cui competono una serie di obblighi [1], tutti funzionali a garantire che qualunque trattamento di dati personali avvenga nel rispetto dei diritti fondamentali e delle libertà degli interessati, in una prospettiva guidata dall’analisi dei rischi in ogni contesto [2]. In tal senso, sulla figura del titolare del trattamento è ritagliato un sistema di responsabilità che lo lascia libero di effettuare le sue valutazioni e le sue scelte, ma allo stesso tempo lo responsabilizza nell’esercizio di tale discrezionalità valutando a posteriori se le modalità prescelte per condurre il trattamento di dati siano risultate adeguate a proteggere le persone ed i dati dai rischi prevedibili [3]. A tale complesso sistema, in estrema sintesi, si fa riferimento quando si parla della relativa accountability. In altri termini, il Regolamento pone in capo al titolare (e in alcuni casi al responsabile) del trattamento un sistema di obblighi ed adempimenti che si inseriscono all’interno del più generale impianto di accountability (responsabilizzazione) delineato dalla normativa. Il titolare è tenuto a valutare le proprie attività di trattamento in ottica risk-based, in maniera tale da indirizzare coerentemente le proprie scelte tecniche ed organizzative. Alla luce di queste premesse, una compagnia di assicurazioni è da considerarsi “titolare del trattamento” di dati ai sensi dell’art. 4 del Regolamento n. 679/2016, in quanto essa decide finalità e mezzi del trattamento [4]. Si parla, naturalmente, di tutti i dati e dei relativi flussi legati allo svolgimento dell’attività assicurativa e dei servizi collegati. Ora, decidere i mezzi e, dunque, le modalità del trattamento include almeno la decisione su come condurre le attività, con quali strumenti e con quali soluzioni tecniche ed organizzative. Ne consegue (e ciò costituisce un’autonoma previsione) che sul titolare grava anche l’obbligo di porre in essere le necessarie misure di sicurezza. Queste, infatti, [continua ..]
Dopo lo scoppio dell’emergenza pandemica e l’applicazione della relativa normativa, che hanno generato i fenomeni descritti nel primo paragrafo, l’esigenza primaria per tutti i settori di attività è stata naturalmente quella di verificare la possibilità di non interrompere le attività stesse, di garantirne lo svolgimento in condizioni di sicurezza e di verificarne forme di adattamento alle nuove circostanze. L’attività assicurativa è stata considerata tra quelle che non dovevano subire un’interruzione anche in fase uno [8] e, anzi, essa ha continuato a ricoprire un ruolo essenziale a servizio di tutti gli assicurati che in periodo di pandemia hanno subito sinistri, necessitato di nuove coperture o di estensioni di copertura, assolto ai loro obblighi verso le compagnie o ritenuto di trovarsi in condizioni eccezionali di impossibilità. Questi aspetti sono stati, come noto, oggetto di attenzione in ambito di diritto delle assicurazioni per le problematiche particolari che hanno presentato. Tuttavia, ciascuna di queste situazioni ha comportato la necessità di trattare i dati personali degli assicurati con mezzi talvolta tradizionali e, il più delle volte, nuovi. Intanto le comunicazioni con gli assicurati sono avvenute tutte telematicamente, per telefono o – come raccomandato [9] – per posta elettronica. Per via elettronica è avvenuta anche la regolazione dei rapporti economici (pagamenti) e la negoziazione o conclusione dei contratti. Dal punto di vista giuridico ciò ha significato per il titolare del trattamento valutare se i rischi per i diritti degli interessati, con particolare attenzione alla sicurezza dei dati e delle comunicazioni siano variati rispetto ai precedenti momenti di svolgimento delle attività. Abbiamo già avuto modo di segnalare come, a tacere del numero notevolmente superiore di flussi di dati che la situazione ha potuto richiedere, il ricorso diffuso alle tecnologie informatiche in tutti i settori economici e sociali in questo periodo abbia generato un aumento anche degli attacchi informatici e dei tentativi di frodi informatiche. Che ci sia stato un incremento dei rischi di sicurezza, almeno per quanto riguarda l’integrità e la disponibilità dei dati, è un fatto. In una situazione di questo tipo, le compagnie (o gli intermediari), quali titolari del trattamento dei [continua ..]
In conclusione, se volessimo tracciare in sintesi le indicazioni valevoli per lo stato presente e per il futuro delle attività assicurative in materia di trattamento dei dati personali, potremmo richiamare un principio e delineare alcune linee di intervento. Il principio guida è quello dell’accountability. La compagnia o l’intermediario che sia il titolare del trattamento di dati deve sempre garantire che il trattamento di dati sia conforme al Regolamento. La garanzia di conformità implica una valutazione continua dei rischi e un continuo, conseguente, adattamento delle modalità e delle misure (tecniche ed organizzative), che consentano la sicurezza. Provando ad individuare alcune linee di intervento per i titolari di trattamento dei dati personali degli assicurati, è possibile intervenire: sul piano informativo, sul piano tecnico, sul piano organizzativo. Sul piano informativo, è bene che l’interessato (la persona a cui i dati si riferiscono), cioè per quanto qui interessa l’assicurato, sia adeguatamente informato dei rischi particolari che le nuove modalità di interazione possono comportare, in modo da suggerirgli l’adozione di alcune misure di sicurezza e, possibilmente, ridurre i rischi. Ciò è ancora più vero in caso si verifichi un data breach (come espressamente previsto dall’art. 34 GDPR) o un attacco informatico, anche se in ipotesi bloccato in tempo. Sul piano tecnico, è fondamentale condurre una costante valutazione dei rischi, soprattutto in considerazione della maggiore esposizione ai rischi cyber, curando l’aggiornamento di software, di misure di sicurezza per siti internet, piattaforme e connessioni per i lavoratori, anche e soprattutto in telelavoro. Può risultare opportuno anche rafforzare i sistemi e le procedure mirate a limitare i rischi di perdita dei dati, dunque back up e archiviazione offline. Sul piano organizzativo, oltre al curare tutte le procedure, è fortemente raccomandata l’implementazione di interventi formativi che mirino all’innalzamento della consapevolezza del rischio anche a favore del personale. Il rispetto delle norme a tutela dei dati è già un obiettivo di formazione dei lavoratori implicito nell’implementazione del Regolamento europeo, ma in condizioni di rischio informatico aumentato e di ricorso straordinario e [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 0004-511X - Assicurazioni - Rivista di diritto, economia e finanza delle assicurazioni private (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
