GDPR e assicurazioni: come deve essere scritto il contratto tra titolare e responsabile

L’Autorità Garante con il provvedimento del n. 100 del 22 febbraio 2024 ha soffermato la propria attenzione sui contenuti del contratto sulla protezione dei dati personali ex art. 28 del GDPR.
Vediamo gli impatti di questa decisione per il settore assicurativo.

Cosa devono imparare i player assicurativi dalle osservazioni del Garante

👉 i trattamenti effettuati da parte di un responsabile devono essere disciplinati da un contratto o da altro atto giuridico, stipulato in forma scritta o in formato elettronico, che disciplini la durata del trattamento; la natura e la finalità del trattamento; il tipo di dati personali e le categorie di interessati; gli obblighi e i diritti del titolare del trattamento e che preveda tutti gli impegni previsti dal medesimo art. 28, par. 3, del Regolamento;

👉 è importante che  le imprese e i distributori  specifichino  tali contenuti al fine di consentire all’autorità di controllo di comprendere il contenuto e i rischi del trattamento affidato ai relativi responsabili;

👉 non è “compliant” la condotta di titolare del trattamento che utilizzando un responsabile non abbia previamente stipulato un contratto sulla protezione dei dati ai sensi dell’art. 28 del Regolamento (nel caso di specie,  era stato sottoscritto solo dal titolare);

👉 l’atto di nomina/designazione in parola, inoltre, non deve limitarsi a riportare pedissequamente le previsioni richieste dall’art. 28, par. 3, del Regolamento, ma prevedere informazioni più specifiche e concrete sul modo in cui saranno soddisfatti i requisiti e sul livello di sicurezza previsto per il trattamento dei dati personali oggetto dell’accordo.

Visualizza documento