6 minute read
Bancassurance e la titolarità del trattamento
Il Garante della privacy ha recentemente gettato nello stagno un altro sasso che apre la porta ad alcune riflessioni per gli Agenti. In particolare, con parere del 15 giugno 2022, il Garante ha stabilito che nell’ambito dell’attività di distribuzione di polizze assicurative da parte degli istituti bancari, il ruolo di titolare del trattamento deve essere riconosciuto alla compagnia assicurativa, mentre le banche agiscono in qualità di responsabili del trattamento.
La richiesta riguardava la corretta individuazione del ruolo soggettivo da attribuire agli istituti di credito che distribuiscono polizze assicurative (bancassurance), tenendo anche conto del trattamento dei dati relativi alla salute degli interessati (contraenti e assicurati), effettuato mediante la raccolta, la gestione, la trasmissione e la conservazione della documentazione e della modulistica relativa ai contratti di assicurazione delle compagnie, compresi i questionari anamnestici.
Advertisement
Nell’evidenziare la continuità dell’attuale disciplina in materia di protezione dati personali con il quadro normativo previgente, l’Autorità ha ricordato come al titolare spettino le decisioni su finalità e modalità del trattamento dati, nonché la responsabilità generale sui trattamenti posti in essere dallo stesso o da altri per suo conto. Il responsabile del trattamento svolge invece le attività delegate dal titolare.
Alla luce del Regolamento IVASS n. 40 del 2 agosto 2018 (così come integrato e modificato dal provvedimento IVASS n. 97 del 4 agosto 2020), per il Garante i ruoli ricoperti da compagnia assicurativa e banca intermediaria sono conformi a quelli del rapporto fra titolare e responsabile del trattamento. La banca che colloca prodotti assicurativi, infatti, prima di far sottoscrivere una proposta o un contratto ha l’obbligo di acquisire le informazioni utili a valutare le richieste e le esigenze del titolare. Sono inoltre le stesse compagnie assicurative ad impartire a intermediari e dipendenti, le istruzioni idonee all’acquisizione delle informazioni utili e pertinenti alla tipologia di contratto offerto al contraente.
Nel rendere il parere, il Garante ha infine evidenziato la necessità che il ruolo svolto dall’istituto bancario nel collocamento di polizze assicurative sia adeguatamente indicato all’interno delle informative fornite agli interessati. Tutto quanto detto, appare condivisibile, ma, per l’appunto, per il settore bancassurance. A nostro sommesso avviso, al contrario, per gli Agenti non si raggiungono le medesime conclusioni. L’Agente, infatti, ricopre un ruolo centrale nell’analisi delle esigenze assicurative e di protezione dei Clienti, e offre soluzioni adeguate ai profili di rischio rilevati.
Mentre la banca, infatti, è in grado di offrire solo quei prodotti presenti all’interno del proprio portafoglio, gli Agenti, tanto più se plurimandatari, riescono a comparare diversi prodotti assicurativi, offrendo al Cliente la proposta più aderente e coerente con le proprie esigenze. Attività che gli
Agenti svolgono in completa autonomia, raccogliendo e trattando i dati personali dei propri clienti (anche futuri) in qualità di autonomi titolari del trattamento. Ovviamente con l’unico e “solo” obbligo di progettare un trattamento che sia conforme ai principi e alle regole europee imposte dal GDPR (Regolamento EU 679/2016) e dalla normativa nazionale prevista dal Codice Privacy (D. Lgs. 196/2003 e s.m.i.) prevedendo, quindi, comportamenti proattivi e tali da dimostrare la concreta adozione di misure adeguate ed efficaci che siano finalizzate ad assicurare detta conformità. Tali misure potrebbero consistere, ad esempio, nel ridurre al minimo il trattamento dei dati personali, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e creare e/o migliorare le caratteristiche di sicurezza del trattamento. Il GDPR, dunque, non prevede un elenco esaustivo di “misure adeguate” e questo fa sì che debba ritenersi necessaria una valutazione caso per caso seguendo anche gli orientamenti e le indicazioni in merito dell’Autorità Garante, tenendo conto anche dello stato dell’arte.
Ad ogni modo, oramai è notorio - per chi ci segue - che la ricchezza dei Dati “di contatto” rimane patrimonio dell’Agente (qualora quest’ultimo agisca come Titolare del trattamento). Ed era proprio l’esigenza di tutelare questa facoltà che ha spinto il GAZ a stipulare un accordo dati con la Compagnia che permettesse ai propri iscritti di “blindare” il patrimonio agenziale, così da poter gestire, in piena autonomia ed in funzione delle proprie finalità, le informazioni di contatto dei propri Clienti e/o Prospect.
Le pillole di formazione di CGPAPP
Il Cyber Risk
CGPA Europe ha deciso di dedicare il terzo trimestre 2022 alla trattazione del tema del rischio cyber, tema estremamente attuale ma purtroppo ancora poco conosciuto e pertanto sottovalutato.
Il collega Giuseppe Pantaleo, underwriter di CGPA Europe Italia, ci ha spiegato innanzitutto cos’è il rischio cyber e in cosa si traduce, così come la condizione che lo favorisce, ossia la nostra economia globale, connessa e basata sulla tecnologia.
Le conseguenze possono essere spiacevoli, sia nel caso in cui l’attacco informatico colpisca il privato cittadino, sia quando l’obiettivo è un’impresa. In quest’ultimo caso, spesso l’azienda può subire un’interruzione dell’attività e/o danni reputazionali. E va ricordato che il suo grado d’esposizione è estremamente elevato, essendo molteplici gli attori coinvolti che diventano obiettivi sensibili (collaboratori, fornitori, clienti).
È stata fatta anche una fotografia della situazione del nostro Paese, da cui emerge un incremento degli investimenti del 13% nel 2021 rispetto al 2020, ma ugualmente crescono gli attacchi cyber per un terzo delle imprese. In Italia, infatti, la spesa in cybersecurity è ancora piuttosto bassa (pari allo 0,08% del PIL), fanalino di coda tra i Paesi del G7.
Occorre inoltre rafforzare la sensibilizzazione del personale sui comportamenti, mentre la spinta verso una maggiore protezione dei sistemi informatici deve essere accompagnata da opportune coperture che aiutino a gestire e mitigare il rischio, ma che non devono essere intese come sostitutive di un’adeguata infrastruttura informatica.
Il 2° contributo di questo percorso formativo ha inteso fare un identikit del rischio cyber, partendo dalle caratteristiche di questo rischio quali: la mancanza di confini spazio-temporali, la frequenza imprevedibile, la contagiosità, l’origine accidentale (per esempio a causa della mancanza di precauzioni nell’uso del computer e dei relativi collegamenti) o dolosa (per esempio, un attacco hacker) ecc.
Si è poi passati alle tipologie di attacco informatico più frequente…
LE TIPOLOGIE DI ATTACCO PIÙ UTILIZZATE DAGLI HACKER
Malware
Software dannoso che mette a rischio un sistema
Phishing
Truffa inline realizzata attraverso l’inganno degli utenti
Ransomware
Richiesta di riscatto per il ripristino del normale funzionamento del computer
Ddos Attack
Attacco che interrompe un servizio e agli effetti degli attacchi cyber e i conseguenti danni:
Gli Effetti Degli Attacchi Cyber
Che cosa si rischia
• Violazione dei dati confidenziali
• Cancellazione o distruzione dei dati
• Crittografia dei dati
• Malfunzionamento dei sistemi informatici
I Danni Degli Attacchi Cyber
Le conseguenze
• Danni da interruzione di attività
• Danni diretti e materiali ai sistemi elettronici e informatici
• Violazione delle norme sulla privacy
• Furto di proprietà intellettuale
• Perdita di dati
• Richieste di riscatto per il recupero dei dati
• Frode finanziaria
• Danno reputazionale e predita di clienti e fornitori
• Costi per il contenimento dei danni
• Spese legali
• Richieste di risarcimento danni
• Sanzioni pecuniarie
Una gestione efficace del rischio cyber richiede una puntuale e dettagliata analisi dei rischi ai quali l’impresa è esposta. Sul piano tecnico, occorre monitorare e aggiornare costantemente i sistemi per minimizzare l’esposizione al rischio. Parte integrante di un’efficiente gestione del rischio cyber è la sottoscrizione di una polizza assicurativa che copra eventuali danni e garantisca assistenza in caso di attacco informatico.
Questo 3° contributo ha quindi voluto evidenziare le risposte del mercato assicurativo al rischio cyber, mercato che risulta ancora poco sviluppato: da un lato, i prodotti assicurativi disponibili sul mercato hanno ancora un ampio margine di perfettibilità per rispondere alle esigenze dei potenziali clienti; dall’altro, le imprese italiane sottovalutano la loro esposizione al rischio e i danni che ne derivano.
Si è quindi passati ad analizzare come opera la copertura delle polizze cyber: quali sono le garanzie principali e le garanzie abbinabili; le caratteristiche (limiti e determinazione del premio), per concludere con l’operatività ex ante (prevenzione del rischio) ed ex post (risposta alla crisi) della copertura cyber.
Il nostro percorso formativo si è concluso con la nostra diretta Il Focus del mattino: 30 minuti con CGPA Europe, dove si è trattato il rischio cyber calato nell’attività professionale quotidiana dell’intermediario assicurativo, per indagare quella che è la sua esposizione a questo rischio e le conseguenze di un attacco per l’intermediario.
Con il prezioso intervento dell’avv. Giorgio Grasso, sono stati affrontati due casi pratici, che permettono di calarsi effettivamente nelle situazioni reali, e sono state fornite best practice che l’intermediario dovrebbe adottare nell’attività professionale quotidiana per evitare tale pericolo o per porre rimedio a un attacco.
Potete trovare tutti questi contributi nella nostra CGPApp, nella sezione Formazione>e-Campus.
CGPApp è disponibile gratuitamente e scaricabile velocemente inquadrando il QR code oppure andando nel proprio store di riferimento
Michele Specchiulli
