Il Garante per la privacy ha sanzionato (120 mila euro) recentemente una società di brokeraggio assicurativo per aver attuato molteplici condotte non conformi al GDPR nel contesto delle attività di marketing svolte tramite i portali di preventivazione on line (provvedimento n. 430 del 15 dicembre 2022, doc. web n. 9856345).
Ecco i punti della decisione che i player del settore assicurativo e della distribuzione assicurativa dovranno attentamente considerare per la compliance GDPR:
- attenzione alla scelta della corretta base giuridica: il Garante ha osservato nel caso di specie come venissero richiesti dei “consensi obbligatori” (alla comunicazione dei dati alle compagnie assicurative per l’elaborazione dei preventivi e per la finalizzazione del contratto), rimarcando la necessità di valutare la più opportuna base giuridica per tali trattamenti e di non equivocamente presentare come richiesta di consenso la mera dichiarazione di presa visione dell’informativa.
- trasparenza delle informative: nell’informativa (e nei relativi consensi) bisogna distinguere con chiarezza i trattamenti riguardanti le comunicazioni promozionali dell’intermediario oppure (anche o esclusivamente) la comunicazione a terzi per proprie finalità promozionali e chiarire puntualmente gli scopi della profilazione.
- “no” al consenso “pre-flaggato” per finalità promozionali: non è “compliant” al GDPR registrare sui sistemi IT consensi per fini di marketing mai realmente stati espressi o preselezionarli sui portali di preventivazione.
- “data retention”: il distributore deve specificare nel registro e nell’informativa i tempi di conservazione dei dati differenziati per le singole finalità (contrattuali, marketing e profilazione) partendo dallo screening dei criteri che il Garante aveva individuato prima dell’avvento del GDPR.
.
| P. IVA 02917600302 |