GDPR e distribuzione assicurativa; ecco le cose da sapere sulla valutazione d’impatto

Nel contesto della predisposizione del modello organizzativo privacy, è necessario che l’operatore assicurativo verifichi se (e quali) sono i trattamenti che devono essere sottoposti ad una preliminare valutazione di impatto ai sensi dell’art. 35 del GDPR.

Quando fare la valutazione di impatto

Quando un determinato trattamento — tenuto conto dell’uso di nuove tecnologie e della sua natura, del contesto e delle finalità — può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il GDPR obbliga i titolari a svolgere una valutazione di impatto (art. 35).

Si pensi, per esempio, ai seguenti trattamenti:

📌 trattamenti valutativi o di scoring;

📌 trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione, dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti);

📌 trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;

 📌 trattamenti effettuati attraverso l’uso di tecnologie innovative (es. IoT; sistemi di intelligenza artificiale; device IoT, etc.).

Ruoli GDPR  e P.I.A.

Al riguardo, per quanto concerne le responsabilità degli intermediari iscritti nelle sezioni A, B, D del R.U.I., non si può prescindere dal ruolo ricoperto in materia di protezione dei dati e dai rapporti instaurati con le Compagnie:

👉 titolare autonomo: la valutazione di impatto dovrà essere effettuata dall’intermediario per quanto attiene i trattamenti svolti autonomamente.

👉 responsabile: nel ruolo di responsabile ai sensi dell’art. 28 del GDPR, gli intermediari dovranno assistere il titolare (la Compagnia), che potrà consultarli quando effettua la valutazione di impatto.

👉 contitolare: qualora, invece, il trattamento coinvolga i contitolari del trattamento, questi ultimi dovranno definire con precisione le rispettive competenze. La loro valutazione d’impatto sulla protezione dei dati dovrà stabilire quale parte sia competente a proteggere i diritti e le libertà degli interessati.