Tutelare la privacy sul web richiede strumenti diversi rispetto a quelli normalmente utilizzati nel “mondo reale”. I dati personali che condividiamo sui social o che forniamo – anche involontariamente – quando navighiamo sul web hanno un grande valore, tanto da essere stati definiti il “nuovo petrolio”1, perché consentono di conoscere le nostre preferenze e i nostri comportamenti.
Per rafforzare la tutela della privacy in un mondo sempre più digitalizzato, l’Europa ha lavorato ad un nuovo regolamento, il GDPR (General Data Protection Regulation). Obiettivo di questa nuova disciplina è di dare ai cittadini europei un controllo completo sui propri dati personali, ovvero tutte quelle informazioni su identità fisica, fisiologica, genetica, psichica, economica, culturale, sociale, che riguardano una persona fisica identificata o identificabile.
La normativa, già in vigore dal maggio 2016, sarà definitivamente applicabile a partire dal 25 maggio prossimo, alla conclusione dei due anni di adeguamento concessi dall’Unione Europea. Negli ultimi mesi le aziende hanno dovuto, dunque, lavorare per adeguarsi alle novità, per attivare processi e procedure che consentano agli utenti di conoscere il destino dei dati personali forniti, di evitare un uso improprio degli stessi e di intervenire in caso di furti.
Tale lavoro ha riguardato anche le compagnie assicurative, che, per loro natura, detengono e gestiscono enormi moli di dati, e per le quali la raccolta, l’analisi e l’aggiornamento di informazioni personali, spesso sensibili, sono centrali nella costruzione di polizze, che possono essere persino on-demand.
Cosa prevede il GDPR in 10 punti
1. Efficacia extra UE
Il GDPR punta a proteggere i dati personali dei cittadini europei. In virtù di questo, le disposizioni si applicano a tutti i titolari del trattamento dati (aziende o enti pubblici), anche se la sede legale è fuori dai confini europei.
Ciò vuol dire che la normativa è efficace non solo verso le imprese europee, ma anche verso quelle extra UE quando l’offerta di beni e di servizi o il monitoraggio dei comportamenti riguarda cittadini degli Stati membri dell’Unione Europea.
2. Esportazione dei dati fuori dall’UE
Un punto di grande interesse, soprattutto per le multinazionali, riguarda la possibilità di esportare dati fuori dall’UE, azione consentita dal GDPR ma solo a determinate condizioni.
Il principio base è di garantire agli utenti la massima consapevolezza dell’eventualità di questo “trasferimento”, e naturalmente il più alto livello di protezione: l’interessato deve esprimere il suo consenso dopo essere stato adeguatamente informato, e il Paese verso cui si esportano i dati deve avere elevati standard di sicurezza, riconosciuti e monitorati periodicamente dalla Commissione europea.
Le multinazionali possono implementare le proprie “Binding Corporate Rules” (BCRs), ovvero le norme aziendali vincolanti sviluppate per consentire la trasmissione di dati all’interno dell’organizzazione anche tra Paesi diversi. Queste regole devono essere approvate dalle autorità di controllo europee o nazionali e garantiscono un livello adeguato di tutela nello scambio di dati all’interno dei gruppi societari.
3. Privacy by design e Privacy by default
Il GDPR introduce due concetti molto importanti, ovvero quelli di Privacy by design e Privacy by default.
Il Privacy by design implica che l’attenzione alla tutela della privacy deve essere parte fondante del processo produttivo di un’azienda (per le compagnie assicurative, ad esempio, nello sviluppo dei prodotti), e non un aspetto collaterale. Ciò vuol dire che in ogni fase bisognerà considerare le implicazioni per la tutela delle informazioni personali degli utenti che useranno il servizio o il prodotto.
Il Privacy by default significa che le aziende devono richiedere e trattare solo i dati minimi indispensabili per l’utilizzo di un servizio o prodotto e per il periodo strettamente necessario, evitando di eccedere nella raccolta di informazioni.
Insieme, questi due principi obbligano le imprese a valutare l’impatto sulla privacy ogni volta che si occupano di un progetto che prevede il trattamento dei dati.
4. Il Data Protection Officer
La GDPR introduce in tutti i Paesi dell’Unione il Data Protection Officer (DPO). Si tratta di una figura con competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi, che deve occuparsi del monitoraggio sistematico di grandi quantità di dati o di dati sensibili per conto di imprese e pubbliche amministrazioni.
Già gli ordinamenti anglosassoni prevedono da anni i Chief Privacy Officer (CPO), i Privacy Officer e i Data Security Officer. Ora dovranno dotarsi del DPO tutte le pubbliche amministrazioni ed enti pubblici (eccetto le autorità giudiziarie) e le imprese che, nelle loro attività principali, trattano su larga scala dati sensibili.
Il regolamento, tuttavia, non entra nel merito di quali aziende abbiano quest’obbligo, tanto che si attendono dei chiarimenti. Ad ogni modo, anche chi non è obbligato può comunque dotarsi di un DPO, che può essere un libero professionista o un dipendente. Non esistono, però, al momento titoli abilitanti o attestati formali che determinano l’idoneità di un Responsabile della Protezione dei Dati.
5. Diritto di accesso e diritto all’oblio
La disciplina europea sancisce alcuni diritti per gli utenti che, inevitabilmente, si traducono in obblighi per le imprese.
È previsto il diritto di accesso: l’interessato ha il diritto di conoscere, gratuitamente e con la trasmissione elettronica dei documenti, quali sono i suoi dati personali detenuti da una determinata società, dove sono custoditi e per quali fini sono raccolti.
Il diritto all’oblio è invece il diritto a “scomparire” dai database, che implica il dovere, da parte del titolare del trattamento, di cancellare senza ingiustificato ritardo i dati personali di chi lo abbia richiesto.
6. Informative più chiare
La policy aziendale sulla privacy e tutti gli strumenti con cui l’utente esprime il suo consenso devono essere più chiari e comprensibili di quanto non lo siano stati fino ad ora, in modo che sia possibile dare un consenso realmente informato.
In particolare, bisogna spiegare agli utenti, in modo inequivocabile, le condizioni che regolano la raccolta e il trattamento dei dati; è inoltre obbligatorio esplicitare come saranno elaborati i dati richiesti.
7. Il registro delle attività di trattamento
Per i titolari e i responsabili del trattamento dei dati personali, escluse imprese e organizzazioni con meno di 250 dipendenti che non effettuino trattamenti a rischio, viene introdotto l’obbligo del registro delle attività di trattamento. In questo documento dovranno essere raccolte informazioni sulle attività riguardanti il trattamento dei dati personali, quali finalità delle operazioni, categorie di dati trattati, tipologie di destinatari a cui tali dati saranno comunicati, eventuali trasferimenti in Paesi terzi, misure di sicurezza tecniche e organizzative.
8. Procedure d’emergenza in caso di intrusione
Se i dati raccolti e trattati dovessero essere violati mettendo a rischio la privacy delle persone (pensiamo all’intrusione di hacker), il GDPR prevede la “breach notification”. In pratica, il titolare del trattamento dati dovrà notificare l’accaduto entro 72 ore alle autorità locali competenti, e anche gli interessati dovranno essere avvertiti per tempo.
9. Principio di accountability
Altra novità per certi versi rivoluzionaria è il principio di accountability. Il GDPR stabilisce che le aziende o gli enti pubblici titolari dei dati devono avere un atteggiamento proattivo nella salvaguardia degli stessi. Ciò vuol dire che, in caso di attacchi informatici o furti, l’azienda deve dimostrare di aver fatto tutto il possibile per proteggere i dati. La responsabilità, dunque, non è più solo di chi “ruba” i dati, ma anche di chi non ha fatto abbastanza per proteggerli.
10. Sanzioni
Non rispettare il GDPR significa rischiare sanzioni molto pesanti, che possono ammontare fino al 4 per cento del fatturato annuale globale o fino a 20 milioni di euro. Non avere policy adeguate per il consenso al trattamento dei dati personali o non rispettare i concetti di Privacy by design e by default significa quindi rischiare molto in termini economici, oltre che in termini di reputazione qualora i dati dovessero essere rubati.
La tutela della privacy: il Gruppo Allianz e Darta
L’uso delle nuove tecnologie ha accelerato ed incrementato in modo quasi esponenziale la raccolta dei dati anche da parte delle compagnie assicurative, ponendo la necessità di coniugare le esigenze di elaborazione dei dati con la tutela della privacy. Il Gruppo Allianz, di cui fa parte Darta Saving, lavora da tempo su questo, per garantire il massimo rispetto e la tutela dei dati personali.
Da gennaio 2016, il Gruppo Allianz, che si è già dotato di un Data Protection Officer, ha avviato l’Allianz Privacy Renewal Program, un programma di rinnovamento del regolamento globale sulla privacy. All’interno di questo quadro, ha recentemente ricevuto l’approvazione delle sue “Binding Corporate Rules” dalla BayLDA (Bavarian Data Protection Authority), che opera su mandato dell’Unione Europea.
Le autorità europee hanno analizzato l’assetto della governance interna, l’implementazione delle BCRs e le modalità con le quali Allianz incorpora i requisiti nei processi organizzativi, anche attraverso programmi di formazione e di auditing. L’approvazione delle BCRs significa che il gruppo è ben preparato ad affrontare il nuovo regolamento europeo sulla protezione dei dati ed è già strutturato per trasferire dati personali fuori dall’Europa in maniera sicura e rispettosa della legge.
Per quanto riguarda nello specifico Darta Saving, la società ha lavorato per rivedere i processi interni al fine di recepire la nuova direttiva. Le modifiche riguardano sia l’informativa disponibile al cliente che il modo con cui la Compagnia raccoglie e gestisce i dati, nonché l’interazione con gli eventuali fornitori e collaboratori.
In particolare, sul sito Darta.ie sono già disponibili i nuovi prospetti e moduli di sottoscrizione che includono una sezione specifica relativa alla Privacy, dove sono esplicitati nel dettaglio i motivi per cui i dati vengono raccolti, come gli stessi possono essere consultati dal soggetto interessato, fino all’eventuale richiesta di cancellare tali informazioni. È altresì possibile, oltre a dare il consenso al trattamento dei dati, anche scaricare e compilare un modulo per accedere ai dati personali dell’interessato.
Infine Darta Saving sta già provvedendo ad informare le controparti con cui lavora, al fine di aggiornare i processi con cui le informazioni possono essere scambiate ed adeguarsi perciò alla nuova direttiva.
1. https://www.wired.it/internet/web/2015/03/13/internet-dati-personali-petrolio-economia-digitale/; https://it.safeandsavvy.f-secure.com/2017/01/20/mikko-hypponen-i-dati-sono-il-nuovo-petrolio/