Ai fini della corretta definizione del processo di compliance al GDPR, gli intermediari assicurativi di primo livello devono partire da una attività di “risk assessment” e così approntare il proprio modello organizzativo privacy (“MOP”) in conformità con il principio di “accountability”.
Ecco, a titolo esemplificativo e senza pretesa di esaustività, gli elementi principali da considerare:
- censimento dell’organizzazione dell’intermediario e delle strutture di riferimento esterne: ad esempio, i responsabili dell’attività di distribuzione, i dipendenti e i collaboratori iscritti/non iscritti al RUI, i consulenti, i professionisti, i fornitori, etc.;
- le finalità del trattamento dei dati: devono essere individuati puntualmente gli scopi per i quali i dati sono trattati (ad esempio, si pensi al trattamento dei dati dei clienti/potenziali clienti per l’esecuzione dell’attività di consulenza e di distribuzione assicurativa; etc.);
- le categorie di interessati e dei dati personali trattati: di rilevante importanza è l’attività di identificazione delle tipologie di interessati e dei dati personali oggetto di trattamento;
- l’architettura informatica (hardware e software) dell’intermediario: in questa sezione deve essere “fotografato” sia il patrimonio hardware e software di proprietà della/e Compagnia/e, sia quello di proprietà del distributore;
- i rapporti di collaborazione orizzontale con altri intermediari di primo livello: oggetto di check up sono i profili in materia di protezione dei dati inerenti agli eventuali accordi di collaborazione sottoscritti con altri distributori assicurativi;
- la disciplina dei rapporti con la/le Compagnia/e: occorre valutare attentamente e modalità con cui il distributore e l’Impresa hanno regolamentato i rapporti in materia di protezione dei dati, in particolare, il ruolo “privacy” ricoperto nel contesto dei rapporti con le Assicurazioni; gli eventuali “accordi dati” informatici oggetto di sottoscrizione e le circolari diramate in materia.
| P. IVA 02917600302 |