16/05/2018 SPECIALE REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI/SECONDA PARTE
Seconda parte dello speciale, realizzato dalla società di brokeraggio Golinucci , sul Regolamento europeo Gdpr, e le novità per gli intermediari assicurativi: la prima è visibile a questo link,
www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-dati
Il trattamento dei dati entra nei processi di ogni impresa, sia che si tratti di offerta di beni o servizi: gli attacchi informatici che portano alla violazione dei dati sono un allarme quotidiano che registra oltre 3.5 milioni di tentativi di accessi indesiderati al giorno. Per rendere uniforme la protezione dei dati in un mercato sempre più interconnesso, è entrato in vigore il Regolamento europeo 679/2016 del maggio 2016 (conosciuto anche come Gdpr, General Data Protection Regulation), applicabile e sanzionabile dal 25 maggio 2018.
La protezione dei dati personali è una condizione irrinunciabile per la crescita e il successo delle proprie attività. Definire e attuare un sistema di gestione dei dati e delle informazioni significa salvaguardare la riservatezza, l'integrità e la disponibilità del patrimonio informativo dell’azienda (broker o agente assicurativo) siano esse in formato cartaceo, elettronico, intellettuale o date in outsourcing, a prescindere dal know how degli utilizzatori.
Il Regolamento è un atto di diritto Ue di portata generale, obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli stati membri (Articolo 288 comma 2 del Trattato sul funzionamento dell'Unione europea). Si tratta quindi di un atto giuridico vincolante, diretto non solo agli stati membri, ma anche ai singoli. Il Regolamento è atto “self-executing”, ovvero dotato di portata generale e ha efficacia diretta ed immediata; è obbligatorio per tutti i cittadini dell’Unione ed entra a far parte dell’ordinamento giuridico di ciascun paese membro, senza bisogno che esso venga recepito da una legge nazionale.
Alcune delle definizioni principali del Gdpr.
Trattamento (Articolo 4.2 Gdpr) “Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”.
Dato personale (Art. 4.1 Gdpr) È dato personale: “qualsiasi informazione riguardante una persona fisica identificata o identificabile (« interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero d’identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”;
Dati relativi alla salute (Articoli 4.15, 9.1 e Considerando 35 Gdpr). “I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Il Considerando 35 stabilisce che la nozione di salute comprende sia quella fisica che quella mentale ed elenca in modo esemplificativo: informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria, un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari, le informazioni risultanti da esami e controlli, qualsiasi informazione riguardante una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte.
Dati biometrici (Articoli 4.14, 9.1 e Considerando 51 Gdpr). “Dati personali ottenuti da un trattamento tecnico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici”. Il Considerando 51 specifica che le fotografie costituiscono dato biometrico quando sono trattate in modo tale da permettere l’identificazione univoca o l’autenticazione dell’interessato. Fra i dati biometrici ricordiamo i dati trattati da strumenti che riconoscono il volto, la lettura delle impronte digitali, dell’iride dell’occhio, la mano ecc.
Privacy by design e privacy by default (Articolo 25 e Considerando 78 Gdpr). Il titolare del trattamento ha l’obbligo di implementare approcci di privacy by design e by default (Articolo 25 Gdpr). Il principio della protezione dei dati sin dalla progettazione (by design) prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all’utilizzo e allo smaltimento finale. Va altresì inclusa la responsabilità per i prodotti e i servizi utilizzati dal Titolare o Responsabile del trattamento.
A quale trattamento dei dati si applica il Gdpr?
Il Gdpr si applica al Trattamento dei dati personali inteso come qualsiasi operazione compiuta con o senza l’ausilio di processi automatizzati e applicata a dati personali, come la raccolta, la registrazione, la conservazione, la modifica, l’estrazione, la consultazione, l’uso, la comunicazione, diffusione o qualsiasi altra forma di messa a disposizione, l'interconnessione, la limitazione, la cancellazione o la distruzione.
Il Gdpr si applica al Trattamento effettuato da una persona fisica per attività a carattere esclusivamente personale o domestico. Questo regolamento consente di riprogettare la tutela dei dati, offrendo un valore aggiunto nei servizi offerti dall’impresa e migliorando l’efficienza.