Per gli agenti di assicurazione non è più solo tempo di parole: il GDPR impone dei fatti.
Cari colleghi, questo è certamente un concetto che abbiamo sentito numerose volte, ma quali fatti o azioni andranno eseguiti concretamente, nella pratica?
Il rispetto dello spirito che anima il Regolamento Generale sulla Protezione dei Dati – GDPR impone principi generali nuovi: non più una norma basata sull’elenco degli adempimenti, bensì una norma che responsabilizza chi raccoglie, detiene e tratta i dati degli interessati.
In un quadro di questo tipo, l’agente di assicurazione, assieme a tutta la sua organizzazione, deve essere conscio della nuova impostazione.
Il presidio della banca dati, frutto delle informazioni concesse dai clienti in ragione di una relazione che rimane solida, va costantemente e quasi quotidianamente attuato. Il rischio di un data breach che possa minare quella fiducia, ottenuta in virtù della relazione citata, deve essere scongiurato non solo per il timore di sanzioni, ma appunto per garantire rapporti basati sulla trasparenza e sicurezza dei dati.
Restringendo il campo, credo che i punti salienti e nuovi nel GDPR rispetto alla precedente normativa privacy Dlgs 196/03, siano:
1 Analisi del rischio in base alle singole realtà e ai dati trattati, i sistemi utilizzati, i trattamenti effettuati. Operativamente il presidio dei sistemi informatici in uso passa dall’installazione di firewall, antivirus, sistemi in cloud, ma anche presidio e monitoraggio degli accessi ai sistemi informatici tramite uso di utenze e password utilizzati in forma esclusiva, garantendo la cronologia degli accessi e delle azioni.
2 Accountability ovvero: responsabilizzazione degli amministratori che utilizzano risorse pubbliche e in questo caso i dati personali, dandone conto sia sul piano della regolarità, sia sull’efficacia dell’attività. Non più quindi un elenco sterile di azioni da compiere per adempiere alla normativa, ma un percorso modulare senza fine, sotteso a tutelare il proprietario del dato da utilizzi impropri, rispondendone in quanto titolare e/o responsabile della protezione dati.
Ecco quindi che diventa fondamentale conoscere la propria realtà organizzativa, monitorando i processi di raccolta e conservazione dei dati, presidiando dalle minacce derivanti da violazioni informatiche o altro.
Insieme a Enrico Ulivieri, in rappresentanza di tutti gli agenti Zurich iscritti al GAZ, ho avuto l’occasione di partecipare a vari incontri e convegni organizzati sul tema, su tutti l’incontro presso la sede del Garante della Privacy ricevuti dal vicesegretario generale dott. Daniele De Paoli.
L’incontro è stata un’occasione importante per poter rappresentare all’Istituzione la nostra particolare posizione, ma anche il nostro operato d’intermediari assicurativi, o meglio di agenti di assicurazione, con tutte le peculiarità che ci contraddistinguono. Abbiamo potuto rendere noto come nel nostro mondo coesistano realtà variegate: imprese familiari ma anche imprese più strutturate; abbiamo parlato delle collaborazioni tra intermediari aspetto precedentemente non affrontato da chi ci ha preceduto.
Abbiamo trovato un’Istituzione interessata a conoscere meglio le nostre caratteristiche per a delineare poi una struttura regolatoria che ora lascia aperti molti quesiti.
Abbiamo raccolto ottimi suggerimenti, in particolare in merito al predisporre le migliori difese possibili a protezione dei sistemi informatici, anche tramite una regolazione degli accessi tramite credenziali personali.
Siamo stati allertati sul rischio legato al furto d’identità quando, dopo violazione dei sistemi informatici, vengono prelevati documenti d’identità utilizzati per vari scopi, tra cui accedere a finanziamenti, tutto a danno dei legittimi. Ci è stato suggerito di preoccuparci anche di azioni compiute da collaboratori infedeli a danno dei clienti, di cui l’agente sarà costretto a risponderne legalmente.
In altre parole, emerge in maniera forte l’indicazione di presidiare attivamente la propria agenzia, di informare tutti i collaboratori delle corrette procedure e di predisporre il Registro delle attività.
Anche se il termine d’avvio della nuova regolamentazione europea è scattato il 25 maggio, dovremmo già essere dal 2003 se non anche dal 1996, preparati a rispondere e rispettare la norma. Il Gruppo Agenti Zurich da tempo ha avviato una campagna di sensibilizzazione sul tema, ecco perché la data di maggio non può essere uno spartiacque tra il prima e il dopo, ma una continuazione di un percorso avviato.
Presidiare l’agenzia e il personale dunque. Come già detto, ci è stato suggerito di preoccuparci di azioni compiute da collaboratori infedeli, che trafughino i dati ma anche che possano costituire l’anello debole per la sottovalutazione della norma o la scarsa considerazione della stessa, trasferendo questa vulnerabilità a tutta l’agenzia e di conseguenza all’agente titolare del rapporto
L’intera filiera degli operatori di agenzia deve essere consapevole dell’importanza e della responsabilità assunta nel raccogliere e trattare dati personali: la formazione dei collaboratori riveste un’importanza cruciale. Lo stesso GDPR impone al Titolare e al Responsabile il compito obbligatorio di formare il proprio personale sulla corretta tenuta da adottare, ma dobbiamo anche documentare l’avvenuta formazione e disposizioni impartite in agenzia per evitare anche quegli errori formali che potrebbero comportare un errato trattamento.
Appare chiaro come norme sempre più stringenti comportino una scelta di campo; come agenti potremmo reagire passivamente, contando su un certo italico fatalismo rispetto alle leggi oppure applicarle, cogliendo l’opportunità per creare una relazione con l’interessato libera e trasparente, prendendo il vero senso del regolamento.
Ecco la strategia avviata è orientata ad un rapporto in tale senso e in questa logica l’avviata collaborazione con Konsumer è già distintiva: siamo affiancati dai rappresentanti dal proprietario del dato: il cliente.
In questi anni il GAZ è più volte intervenuto sollecitando un’attenzione alla normativa privacy e già molte agenzie si trovano in una posizione già sufficientemente compliance. Per tutti i colleghi che invece partono ora, il consiglio è di affidarsi alle mani di professionisti competenti che verifichino attivamente e anche localmente lo stato di fatto, fornendo quel supporto personale che il rispetto della norma richiede.
In conclusione resta la consapevolezza che un rischio residuo rimarrà sempre.
Ciò che però viene richiesto al Titolare è dimostrare l’analisi e le azioni adottate atte a proteggere i dati raccolti.
Massimo Pipesso
Consigliere GAZ