Le violazioni di dati personali (“data breach”) all’interno di un’agenzia assicurativa possono scaturire anche da comportamenti umani di natura intenzionale. Si pensi, ad esempio, all’attività di concorrenza sleale perpetrata dall’ex collaboratore che è rimasto in possesso dell’elenco dei clienti dell’Agenzia. Il possesso ingiustificato di dati, sia personali che “commerciali” dei clienti dell’Agenzia costituisce, infatti, anche una violazione che può comportare la perdita di confidenzialità e, in alcuni casi, di integrità e di disponibilità dei dati personali.
Per valutare se sussistono da parte del distributore gli obblighi di notifica della violazione subita al Garante e di comunicazione agli interessati, l’intermediario assicurativo dovrà:
- valutare se i dati personali oggetto di violazione riguardano un numero considerevole di interessati;
- verificare la tipologia dei dati “sottratti” (dati anagrafici e di contatto o anche dati particolari, etc.) e se sono state adottate particolari misure di protezione a tutela dell’elenco dei clienti.
.
Sul tema, è bene notare, come dall’analisi delle “Guidelines 01/2021 on examples regarding personal data breach notification” elaborate dai Garanti privacy europei, si possono trarre i seguenti insegnamenti cui gli intermediari devono fare tesoro:
- promuovere un’azione legale immediata per impedire ulteriori impieghi dei dati detenuti illecitamente dall’ex collaboratore (si pensi, in particolare, allo strumento dell’inibitoria);
- adottare una specifica procedura di “data breach” da “calare” in concreto nella propria struttura distributiva, stabilendo “chi fa cosa”;
- assumere adeguate policy interne di protezione dei dati: si pensi, per esempio, alla redazione di specifiche clausole contrattuali per disciplinare l’utilizzo del patrimonio informativo di Agenzia in costanza e in caso di cessazione del rapporto di collaborazione.
| P. IVA 02917600302 |