La protezione dei dati in azione

Tempo di lettura: 8 minuti

Notizie e blog Blog La protezione dei dati in azione

La protezione dei dati in azione

Pascal Dijkens

Risk & Compliance Director, Van Ameyde

Tempo di lettura:8 minuti
Un esauriente progetto della durata di due anni ha reso Van Ameyde conforme alle norme ISO relative alla gestione della sicurezza delle informazioni nonché al regolamento generale sulla protezione dei dati ("RGPD"). In quanto soggetto che tratta dati sensibili su vasta scala per conto di compagnie di assicurazione e di responsabili del rischio aziendale, Van Ameyde incarna la figura del "responsabile del trattamento" individuata dal RGPD. Ma sappiamo davvero quali sono gli obblighi del settore verso la rete dei fornitori?

Il 25 maggio 2018 entrerà in vigore il regolamento generale sulla protezione dei dati (RGPD) che sostituisce la direttiva 95/46/CE. Il fatto che si tratti di un regolamento anziché di una direttiva, significa che l’atto ha efficacia diretta. Questo è un vantaggio per le organizzazioni che, come Van Ameyde e buona parte della sua clientela, esercitano la propria attività in più Stati membri dell’UE. In definitiva, rispetto alle direttive, che vengono recepite nel diritto nazionale, i regolamenti offrono molti meno margini di variazione a livello locale.

Nonostante questo vantaggio, per noi di Van Ameyde l’attuazione del RGPD è stata dispendiosa in termini di tempo. Abbiamo avviato il nostro programma completo di attuazione più di due anni or sono, a seguito di un’approfondita attività di audit che ha interessato tutta l’organizzazione.

Senza pretendere di fornire un elenco esaustivo, vorrei analizzare alcuni aspetti del nuovo regolamento dal punto di vista di un responsabile del trattamento.

Sicurezza e data governance

Già nel 2016, a audit concluso, abbiamo avviato una grande campagna di aggiornamenti che ha interessato i nostri sistemi di sicurezza dei dati e di gestione dei dati. Per motivi di sicurezza non possiamo entrare nel dettaglio delle misure adottate. Possiamo tuttavia dire, in termini generali, che le nostre misure di sicurezza e data governance comprendono:

  • la cifratura dei dati personali
  • misure standard di sicurezza inerenti all’infrastruttura e all’accesso, comprese l’autenticazione a due livelli e politiche rigorose in materia di password
  • il monitoraggio e la segnalazione delle violazioni dei dati
  • politiche di classificazione dei dati, per limitare ulteriormente l’accesso ad informazioni altamente sensibili, come i dati medici (ai quali devono accedere solo gli addetti in possesso di un nulla osta di sicurezza aggiuntivo) e dati inerenti a indagini antifrode.

Mentre eravamo occupati a introdurre le suddette misure, la nostra società di sviluppo informatico interna, (Zero)70 ha ottenuto la certificazione ISO 27001:2013, che va ad aggiungersi al nostro accreditamento annuale ISAE3402 di tipo II. I nostri clienti possono stare certi che da noi i protocolli e le pratiche di gestione dei dati e di sicurezza dei dati sono pienamente conformi al regolamento RGPD. Ci atteniamo rigorosamente ai principi enunciati dal regolamento: liceità, correttezza, trasparenza e limitazione della finalità. Inoltre, limitiamo la raccolta e il trattamento dei dati a quanto strettamente pertinente ai fini della gestione dei sinistri e abbiamo attuato misure per rispettare i diritti degli interessati.

Basta dire che, nell’ambito del processo che ci ha portati a ottenere la conformità al RGPD, Van Ameyde ha realizzato una valutazione d’impatto sulla protezione dei dati per stabilire se il trattamento dei dati comporti rischi elevati per i diritti inerenti alla privacy. Per affrontare tali rischi sono state elaborate opportune misure.

Titolari e responsabili del trattamento

I titolari del trattamento sono soggetti che “possiedono” i dati dei clienti. Quando fra le attività affidate a terzi figura il trattamento di questi dati personali, i titolari del trattamento sono tenuti a:

  • rispettare la scadenza del RGPD per quanto concerne i sistemi e le pratiche di gestione dei dati adottati;
  • garantire che le reti dei fornitori, vale a dire i “responsabili del trattamento”, siano anch’esse conformi al regolamento, attraverso la stipulazione di accordi sulla protezione dei dati

Con il nuovo regolamento viene responsabilizzata anche la figura del responsabile del trattamento, cui spetta, ad esempio di:

  • nominare un responsabile della protezione dei dati
  • tenere registri dei dati trattati per conto dei propri clienti

Poiché Van Ameyde opera in tutta l’Europa, abbiamo provveduto a nominare e ad addestrare un responsabile della protezione dati dedicato in tutti i paesi in cui abbiamo una sede.

Accordo sulla protezione dei dati: obbligatorio

A norma del RGPD, i titolari del trattamento sono obbligati a concludere accordi sulla protezione dei dati con i responsabili del trattamento (Data Processing Agreement: DPA). Stiamo risolvendo questo aspetto avvisando i nostri clienti e fornendo loro un modello di accordo. Se non avete ricevuto un accordo, non esitate a contattarci.

Diritti degli interessati

Ai sensi del RGPD, gli interessati sono le persone di cui vengono trattati i dati personali. Nell’ambito della gestione dei sinistri, gli interessati possono essere titolari di polizza, terzi e, ad esempio, testimoni. Alla prima comunicazione, il danneggiato viene espressamente informato in merito ai suoi diritti. Questi comprendono:

  • il diritto di accesso
  • il diritto di rettifica
  • il diritto alla cancellazione (“diritto all’oblio”)
  • il diritto alla limitazione del trattamento
  • il diritto alla portabilità dei dati (il diritto di far trasferire i propri dati personali ad altre organizzazioni)

Va osservato, tuttavia, che le rettifiche vengono elaborate solo a fronte di una preventiva ed esaustiva verifica di liceità e pertinenza. Inoltre, nel contesto della gestione dei sinistri, il diritto all’oblio è limitato. Basti pensare che i terzi responsabili non possono far rimuovere o modificare i propri dati per evitare la rivalsa…

Link utili

Chi desideri approfondire il contenuto degli articoli del RGPD troverà estremamente utile il seguente sito Internet: https://gdpr-info.eu/

Molto analitica è anche la Top ten del GDPR a cura di Deloitte

Quote
Afhankelijk van de levensverwachting van het slachtoffer zal het verlaagde discontopercentage leiden tot aanzienlijke verhoging van de vergoeding voor toekomstschade.

Pascal Dijkens

Share This