AUTORE
Avv. Stefano Petrussi
La norma cardine a cui devono fare riferimento i player della distribuzione assicurativa in tema di security è rappresentata dall’art. 32 del GDPR a mente del quale le misure tecniche devono “garantire un livello di sicurezza adeguato al rischio” del trattamento.
Al riguardo, per quanto concerne le responsabilità degli intermediari iscritti nelle sezioni A, B, D del R.U.I., non si può prescindere dal ruolo ricoperto in materia di protezione dei dati.
- titolare autonomo: sul punto, vengono in rilievo le misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio del trattamento che dovrà adottare il distributore per quanto attiene i propri applicativi e/o sistemi informatici sulla base di una preventiva attività di “risk assessment” della propria struttura;
- responsabile: in tale veste, l’intermediario deve attenersi alle misure prescritte dall’Impresa nell’atto di designazione a responsabile esterno; si pensi, per esempio, al rispetto delle istruzioni in materia di cybersecurity impartite dalla Compagnia sull’utilizzo dei sistemi informatici e/o applicativi messi a disposizione per l’emissione delle polizze;
- contitolare: l’intermediario dovrà fare riferimento alle previsioni contrattuali stipulate con la Compagnia nell’accordo di contitolarità; si consideri, a titolo meramente esemplificativo, le pattuizioni con cui sono definiti i profili di responsabilità della sicurezza dei dati trattati nel perimetro della contitolarità sui sistemi informatici/applicativi IT concessi in uso dall’Impresa all’intermediario per la distribuzione dei prodotti.