Newsletter ANAPA Rete ImpresAgenzia
n. 11 del 18 maggio 2018

 

       Ai Presidenti dei Gruppi Aziendali

       Agli organi direttivi di ANAPA

      Agli associati di ANAPA

     A tutti gli agenti di assicurazione interessati

 

Oggetto: Regolamento Europeo Privacy 2016/679 (GDPR – General Data Protection)      

Care colleghe e cari colleghi,

A seguito della nostra precedente circolare del 23 novembre 2017 (clicca qui per leggere) già divulgata “in tempi non sospetti” e con largo anticipo, con la presente, tramite il nostro consulente “Studio Legale del prof. Avv. Cristiano Iurilli”, si vogliono fornire ulteriori indicazioni in materia di privacy, in vista dell’imminente scadenza del 25 maggio 2018, fornendo oggettive linee guida informative a tutti gli associati anche al fine di sgomberare il campo da alcune inesattezze che circolano tra gli organi di stampa e i commentatori di questa disciplina.

1. Premessa

Il 25 maggio p.v., come più volte abbiamo avuto modo di precisare infatti, entrerà in vigore il c.d. G.D.P.R. – REGOLAMENTO (UE) 2016/679 (DEL PARLAMENTO EUROPEO E DEL CONSIGLIO) del 27 aprile 2016 relativo alla protezione e al trattamento dei dati personali delle persone fisiche, nonché alla libera circolazione di tali dati in abrogazione alla direttiva 95/46/CE, definito “Regolamento Generale sulla Protezione dei Dati”.

2. La norma e gli adempimenti principali

Il Regolamento in questione è dotato di immediata applicazione in ogni Stato Europeo senza alcun bisogno di emissione, da parte dei Singoli Stati Membri, di alcun provvedimento attuativo, così come invece accade per il recepimento delle Direttive.

Si presti attenzione: seppur sia in corso di approvazione uno Schema di decreto legislativo per l’adeguamento della normativa nazionale alle disposizioni del Regolamento, non è previsto alcun periodo transitorio di entrata in vigore del G.D.P.R. che resta ferma al 25 maggio 2018.

3. La nuova figura del Data Protection Officer (o Responsabile Protezione Dati)

Premesso che la designazione di un eventuale DPO nell’ambito della singola agenzia, qualora ritenuta necessaria, va valutata singolarmente poiché dipendente dalla “dimensione nonché dalla specifica tipologia e modalità di trattamento del dato da parte dell’agenzia”, si ricorda che questa nuova figura compete sia al titolare sia al responsabile ed è obbligatoria solo in una serie di ipotesi tra cui quella in cui il Titolare o Responsabile svolgano attività dove è richiesto il monitoraggio regolare e sistematico degli interessati su larga scala, ovvero se sono trattati su larga scala dati personali sensibili o giudiziari.

Il concetto di “larga scala” va valutato tenendo in considerazione il numero degli interessati, il volume dei dati o le diverse tipologie di dati, la durata del trattamento e la portata geografica del trattamento stesso.

Alcuni esempi di trattamento su larga scala sono i seguenti: trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività.

Al fine di rispettare gli obblighi normativi (meglio specificati in seguito), il regolamento prevede, nei casi sopra descritti, l’obbligo di istituzione della nuova figura del Responsabile della Protezione dei Dati, designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.

Il Responsabile della Protezione dei Dati svolge un ruolo misto di vigilanza dei processi interni alla struttura del titolare e del responsabile, di consulenza per costoro, di contatto rispetto agli interessati e alle Autorità garanti. Deve essere investito di ogni questione interna in materia di tutela dei dati personali.

4. Il Registro del trattamento dei dati

Il Regolamento prevede altresì l’istituzione del Registro delle attività di trattamento: ogni titolare del trattamento nonché i contitolari del trattamento nonché i responsabili esterni al trattamento del dato (in molti casi le agenzie sono nominate contitolari e in altri casi responsabili) dovranno tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro dovrà contenere almeno tutte le seguenti informazioni:

1. a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
2. b) le finalità del trattamento;
3. c) una descrizione delle categorie di interessati e delle categorie di dati personali;
4. d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
5. e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
6. f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
7. g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Gli obblighi correlati alla tenuta del registro non si applicano alle imprese con meno di 250 dipendenti, a meno che il trattamento che le stesse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato.

5. La D.P.I.A (Valutazione di impatto sulla protezione dei dati)

La D.P.I.A consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità e facilitare la gestione dei rischi: essa è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche a dimostrare l’adozione di misure idonee a garantire il rispetto di tali prescrizioni. In altri termini la D.P.I.A è una procedura che permette di realizzare, dimostrare e tracciare la conformità con le norme.

La D.P.I.A deve essere svolta a cura del titolare del trattamento, ma si ricorda che, in caso di contitolarità, è necessario che ciascun contitolare definisca con precisione gli obblighi rispettivamente incombenti. La DPIA dovrebbe stabilire chi ha la responsabilità delle singole misure finalizzate alla gestione dei rischi e alla tutela dei diritti e delle libertà degli interessati. Ciascun titolare dovrebbe indicare con chiarezza le rispettive esigenze e condividere tutte le informazioni utili.

 

***

ALERT OPERATIVO

QUALI LE AZIONI DA PORRE IN ESSERE?

 

• Si consiglia di rivolgersi preliminarmente ad un professionista esperto per effettuare una GAP ANALISYS al fine di valutare la situazione attuale delle singole realtà operative (le agenzie) ed individuare le attività nel concreto da svolgere ai fini del G.D.P.R. Ricordiamo che ANAPA aderisce a Confcommercio e pertanto uno degl’interlocutori a cui rivolgersi potrebbero essere le Ascom provinciali.
• È importante anche rivolgersi al proprio “Gruppo Agenti” per un aggiornamento in materia e verificare altresì se sia o meno già stato sottoscritto un “Accordo Dati” con la/e propria/e mandante/i e quali obblighi e adempimenti siano stati pattuiti e quali di competenza della Compagnia e quali all’agenzia. Importante porre attenzione anche alle disposizioni e alle informazioni che diramerà la mandante con circolare alla propria rete agenziale.
• Nel caso in cui le singole agenzie siano titolari autonomi del trattamento dovranno dotarsi una loro apposita informativa privacy che prescinda da quella della Compagnia. Nel caso in cui siano contitolari va verificato se è prevista nell’ accordo di contitolarità un’unica informativa attraverso la quale il cliente rilascia il consenso contestualmente, sullo stesso modulo, ad entrambi i soggetti: impresa-agenzia e impresa-compagnia. In caso contrario le singole agenzie contitolari dovranno dotarsi una loro apposita informativa privacy coerente, nelle finalità, con quella della Compagnia
• È necessario dotarsi di un Registro del trattamento dei dati redatto con cura ed attenzione, ove ricorrano le condizioni sopra descritte.
• In relazione alla quantità e tipologia di dati trattati dalle singole agenzie (tenendo conto anche della territorialità), valutare con la massima attenzione se sia il caso di nominare un D.P.O. (ciò sia nel caso di titolarità che di contitolarità ovvero nel caso di nomina a responsabile da parte della Compagnia).
• Valutare con la massima attenzione, in relazione alle dimensioni delle singole agenzie, in caso di titolarità e contitolarità del dato, ed in base alla tipologia di trattamenti effettuati l’opportunità di realizzare una D.P.I.A.
• Adottare tutte le iniziative di aggiornamento di formazione necessarie e diffondere all’interno di agenzie/sedi una rinforzata sensibilità sul tema responsabilizzando collaboratori/dipendenti, salvo accordi specifici con la mandante che preveda che questo onere informativo e formativo sia a carico dell’impresa.
• Rivedere il contenuto delle informative utilizzate nel rapporto con il cliente ed eventualmente caricate sul proprio sito internet (per disciplinare anche il trattamento dei dati on line) in quanto possono costituire oggetto di verifica a campione (o su segnalazione) e dunque occasione di sanzione da parte dell’Autorità, se non conformi.
• Aggiornare le informative o i disclimer contenuti in eventuali siti web e le cookie policy in esse contenuti per renderle conformi alla normativa

***

In allegato alla presente si trasmettono il Regolamento Europeo e la guida del Garante privacy sul tema.

L’occasione ci è gradita per porgere i nostri più cordiali saluti.

ANAPA Rete ImpresAgenzia

 

Allegati e fonti:

• Regolamento Europeo consultabile al seguente link: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC
• Guida del Garante della Privacy Italiano consultabile al seguente link: http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali