Gestione dei data breach: vademecum pratico per la distribuzione assicurativa

I data breach, le violazioni di dati personali all’interno di un’agenzia assicurativa, possono scaturire non soltanto da attacchi esterni (virus, malware eccetera) o dagli incidenti derivanti dal furto o dallo smarrimento di smartphone e/o tablet, ma anche dall’errore umano e dalle negligenze del personale (phishing, trasmissioni di dati a terzi non autorizzati eccetera).

Per stabilire se il distributore assicurativo è tenuto a notificare la violazione dei dati al Garante e informare i clienti, è necessario esaminare caso per caso i rischi, potenzialmente elevati, per i diritti e le libertà degli interessati.

Più precisamente, l’intermediario deve:

• considerare se i dati personali coinvolti nella violazione riguardano un numero significativo di persone;
• verificare che tipologia di dati siano stati ‘‘sottratti’’ (se anagrafici e di contatto oppure dati sensibili);
• e se siano state adottate adeguate misure di sicurezza per proteggere i dati degli assicurati.

Best practice per gli intermediari assicurativi nei rapporti con le compagnie

Gli oneri di compliance (e le conseguenti responsabilità) del distributore in
materia di gestione delle violazioni di dati si possono così delineare:

• titolare autonomo: l’intermediario assicurativo di primo livello nel ruolo di titolare è responsabile autonomamente degli obblighi stabiliti dal GDPR qualora il “data breach” avvenga sui propri sistemi informatici, device, applicativi e archivi fisici in relazione alla propria sfera di imprenditore. Nella suddetta fattispecie, il distributore svolgerà e si farà carico delle attività finalizzate alla notifica delle violazioni di dati personali all’Autorità Garante ai sensi dell’art. 33 del Regolamento e alla comunicazione delle violazioni agli interessati nei termini di cui all’art. 34 cit.;
• responsabile: per quanto concerne le attività di trattamento svolte nella veste di responsabile, il distributore (si pensi, in particolare, ai soggetti iscritti al R.U.I. nelle sezioni A e D) dovrà assistere la/le Compagnia/e nel garantire il rispetto degli obblighi in materia. In particolare, qualora il responsabile venisse a conoscenza di una violazione dei dati personali che sta trattando per conto dell’Impresa, dovrà notificarla al titolare del trattamento “senza ingiustificato ritardo” attendendosi alle istruzioni e/o circolari diramate dalla/e Compagnia/e;
• contitolare: gli accordi tra i contitolari devono includere disposizioni che stabiliscano quale titolare del trattamento sarà responsabile del rispetto degli obblighi di notifica delle violazioni. Per quanto riguarda, a titolo meramente esemplificativo, la condivisione dell’agente con la Compagnia della determinazione delle finalità e dei mezzi di trattamento dei dati, una soluzione applicativa può consistere nel prevedere che la Compagnia si faccia carico della gestione dei “data breach” che dovessero verificarsi sui sistemi e sulle piattaforme tecnologiche fornite all’intermediario, prevedendo obblighi di immediata informativa qualora l’intermediario venga a conoscenza di una violazione di dati su tali applicativi.

La sottrazione delle liste clienti all’Agenzia: ipotesi di data breach

I data breach all’interno di un’agenzia assicurativa possono scaturire anche da comportamenti umani di natura intenzionale.

Si pensi, per esempio, all’attività di concorrenza sleale perpetrata dall’ex collaboratore che è rimasto in possesso dell’elenco dei clienti dell’Agenzia.

Il possesso ingiustificato di dati, sia personali che “commerciali” dei clienti dell’Agenzia costituisce, infatti, anche una violazione che può comportare la perdita di confidenzialità e, in alcuni casi, di integrità e di disponibilità dei dati personali.

Per valutare se sussistono da parte del distributore gli obblighi di notifica della
violazione subita al Garante e di comunicazione agli interessati, l’intermediario
assicurativo dovrà:

• valutare se i dati personali oggetto di violazione riguardano un numero considerevole di interessati;
• verificare la tipologia dei dati “sottratti” (dati anagrafici e di contatto o anche dati particolari eccetera) e se sono state adottate particolari misure di protezione a tutela dell’elenco dei clienti.

Inoltre, dall’analisi delle “Guidelines 01/2021 on examples regarding personal data breach notification”, elaborate dai Garanti privacy europei il 14 gennaio 2021, si possono trarre i seguenti insegnamenti cui gli intermediari devono fare tesoro:

• promuovere un’azione legale immediata per impedire ulteriori impieghi dei dati detenuti illecitamente dall’ex collaboratore (si pensi, in particolare, allo strumento dell’inibitoria);
• adottare una specifica procedura di “data breach” da “calare” in concreto nella
  propria struttura distributiva, stabilendo “chi fa cosa”;
• assumere adeguate policy interne di protezione dei dati: si pensi, per esempio, alla redazione di specifiche clausole contrattuali per disciplinare l’utilizzo del patrimonio informativo dell’intermediario in costanza e in caso di cessazione del rapporto di collaborazione.

In linea con le Linee guida dell’EDPB

Come correttamente evidenziato dall’EDPB nelle Linee guida 9/2022 sulla notifica delle violazioni dei dati (versione 2.0 adottate il 28 marzo 2023), è necessario che gli intermediari assicurativi pianifichino anticipatamente e mettano in atto processi per la gestione di eventuali violazioni dei dati, comprensivi di linee guida da erogare alla propria struttura distributiva per poter rilevare e limitare tempestivamente gli effetti di una violazione.