Compliance GDPR e assicurazioni: le recenti indicazioni del Garante in tema di informativa e c. d. “soft spam”

Il Garante per la privacy ha sanzionato (100mila euro) recentemente una nota compagnia telefonica per aver attuato molteplici condotte illecite nel contesto delle attività di marketing e profilazione (provvedimento n. 321 del 18 luglio 2023, doc. web n. 9920942).  L’Autorità ha riscontrato che l’azienda “forniva un’informativa lacunosa, senza indicare alcun termine temporale per la conservazione dei dati, in particolare per le finalità di marketing e profilazione” e ribadito che “l’inidoneo adempimento del fondamentale obbligo di informativa completa e trasparenza […]

Compliance GDPR e assicurazioni: le recenti “best practices” del Garante privacy per non sbagliare

Il Garante per la privacy ha sanzionato (300mila euro) recentemente una nota catena di grandi magazzini per aver attuato molteplici condotte illecite nel contesto delle attività di marketing e profilazione (provvedimento n. 253 del 08.06.2023, doc. web n. 9856345). Degne di nota sono le indicazioni rese dall’Autorità nella decisione in parola che i player del comparto assicurativo dovranno attentamente considerare nell’implementazione dei presidi e processi di compliance al GDPR. Nel dettaglio: 📌attività di profilazione ad ampio raggio: prima di iniziare i trattamenti di profilazione (nel caso di specie, detta attività era stata svolta tramite il sito di e-commerce su larga scala), è necessario preliminarmente eseguire una valutazione di […]

GDPR e distribuzione assicurativa: i dati dei clienti hanno una scadenza?

I dati personali trattati dal distributore assicurativo (si pensi, in particolare, ai dati relativi alla clientela)devono essere conservati per un arco di tempo coerente con gli scopi per i quali vengono utilizzati(oltre il quale devono essere cancellati o resi anonimi) e non indefinitamente. 🔎 In particolare, la “scadenza” dei dati varia a seconda dei trattamenti posti in essere dal distributore assicurativo e delle finalità di trattamento perseguite.  In diverse fattispecie è la legge che […]

GDPR: Garante, no ai consensi marketing “truccati” online

Recentemente il nostro Garante ha comminato una sanzione amministrativa pecuniaria (300 mila euro) ad una società che offriva servizi di digital marketing per aver trattato in modo illecito dati personali a fini promozionali (provvedimento n. 51 del 23 febbraio 2023, doc. web n. 9870014). 👉 Dagli esiti dell’istruttoria era emerso, infatti, che alcuni portali della […]

Garante privacy, Relazione sull’attività 2022: focus sui data breach

La Relazione pubblicata di recente dall’Italian Data Protection Authority ha evidenziato che nel 2022 sono pervenute al Garante 1.351 comunicazioni di violazioni di dati (una diminuzione rispetto al 2021 quando erano stati notificati 2.071 data breach). Tali notifiche sono pervenute sia da parte di soggetti pubblici (31,2% dei casi), sia da parte di privati (68,8% […]

GDPR, cybersecurity e data breach: ecco quanto valgono i dati sottratti

Le violazioni di dati personali non impattano esclusivamente sui profili di security delle aziende ma, soprattutto, determinano importanti conseguenze finanziarie sugli operatori colpiti e anche sui consumatori. Al riguardo, si noti come alcuni report (in particolare, il recente rapporto annuale di IBM Security) abbiano evidenziato come nell’ultimo decennio il costo medio per ogni violazione dei […]

Data protection e distribuzione assicurativa: ecco le cose da sapere sull’assessment GDPR

Ai fini della corretta definizione del processo di compliance al GDPR, gli intermediari assicurativi di primo livello devono partire da una attività di “risk assessment” e così approntare il proprio modello organizzativo privacy (“MOP”) in conformità con il principio di “accountability”. Ecco, a titolo esemplificativo e senza pretesa di esaustività, gli elementi principali da considerare:

GDPR e marketing: le recenti indicazioni della Cassazione sul “soft-spam”

Una delle modalità applicative che consente di inviare comunicazioni commerciali via e-mail senza acquisire il preventivo consenso dell’interessato è quella rinvenibile nel c.d. “soft-spam” di cui all’art. 130, comma 4 del Codice della privacy. Recentemente la Corte di Cassazione (Cass. civ., sez. II, sent., 17 marzo 2023, n. 7555) ha focalizzato la propria attenzione sul […]