Congresso nazionale UEA: focus su GDPR e privacy in agenzia

L’8 e 9 giugno a Bologna si è svolto il quarantacinquesimo Congresso Nazionale dell’Unione Europea Assicuratori. Venerdì mattina si è tenuto il Comitato dei Delegati Distrettuali e a seguire il Convegno “GDPR e Assicurazioni” che ha approfondito le novità introdotte dal Regolamento 679/2016 con un focus specifico sulle Agenzie di Assicurazione. Sabato mattina l’Assemblea dei Soci ha assistito alla lettura della relazione annuale del Presidente Roberto Conforti, seguita da numerosi interventi dei Soci

Il convegno – il GDPR e la privacy in Agenzia

Dopo le prime domande volte ad inquadrare la genesi, i concetti chiave, le differenze “ontologiche” rispetto alle normative precedenti del Regolamento europeo 679/2016, l’avv. Floreani – titolare dell’omonimo studio legale ed esperto privacy – ha chiarito perché il GDPR impone un cambio di approccio. Se fino ad oggi gli adempimenti privacy erano standardizzati, quando non ridotti a “prestampati”, ora occorre prima di tutto implementare un’attività di risk assessment, un’autoanalisi dei rischi connessi al trattamento dei dati. Fatto questo, il titolare del trattamento è tenuto a prendere decisioni idonee rispetto a quanto prescritto dal GDPR e – vera rivoluzione introdotta dal principio di accountability – è tenuto a dimostrare l’adeguatezza e l’efficacia delle misure adottate. Da qui l’opportunità di dotarsi di un vero e proprio Modello Organizzativo Privacy (Mop) che, sulla falsa riga del Mog 231/2001, possa mettere l’impresa nella condizione di dimostrare di aver fatto tutto il possibile per evitare di commettere un illecito e, dunque, di non essere sanzionata nel caso in cui questo si verifichi. Un modello che dovrà necessariamente tenere conto, ha sottolineato ASACERT, che il GDPR cita espressamente l’opportunità di dotarsi di “meccanismi di certificazione della protezione dei dati” e che, in assenza di uno schema “GDPR compliant”, i due standard internazionali di riferimento sono la ISO 27001 e il BS 10012.  

Il convegno – il GDPR e la consulenza privacy alle aziende clienti

Nell’ottica di proporre un adeguamento “sostanziale” al GDPR, un modello sistemico di gestione di tutta la filiera privacy, il consigliere UEA Cipriano ha tracciato il frame di un processo di risk assessment che deve necessariamente coinvolgere una serie di figure tecniche specialistiche afferenti a diversi ambiti: giuridico, informatico, di investigazione forense, assicurativo. Gli esperti chiamati ad intervenire alla tavola rotonda hanno dunque approfondito i diversi aspetti di un obiettivo sinergico: proteggere uno degli asset fondamentali di qualsiasi impresa, i suoi “dati”. A questo scopo sono intervenuti:  Sergio Fumagalli (Clusit); Roberto Nesci (Nero Tk – digital forensic); Giorgio D’Armento (Fortinet – sicurezza informatica) e Davide Ravasi, (Syneto – sistemi iperconvergenti).
 
L’Assemblea dei Soci

Intento programmatico della Relazione del Presidente Conforti è stato quello di proporre un compendio delle principali norme, divenute operative negli ultimi dodici mesi, che impattano sulla distribuzione assicurativa, enucleando di ognuna aspetti chiave, insidie, costi: 
• MiFID II/MiFIR – D.Lgs. 3 agosto 2017, n.129, di attuazione della direttiva 2014/65/UE e di adeguamento della normativa nazionale alle disposizioni del Regolamento UE n. 600/2014 
• PRIIP – Regolamento UE n.1286/2014 – Regolamento Delegato UE 8 marzo 2017 n. 653
• PSD2 – D.Lgs 13 gennaio 2018 – Regolamento sulle Interchange Fee dei pagamenti con carta (c.d. Payment Legislative Package) – Regolamento UE 2015/751 e Direttiva Ue 2015/2366
• G.D.P.R. – Regolamento (UE) 27 aprile 2016, n.679 – 25 maggio 2018
• Legge 4 agosto 2017, n.124 – c.d. DDL Concorrenza
• P.I.R. – Legge di Bilancio 2017 
• Codice del Terzo Settore – Dl. 3 luglio 2017, n.117 

Nelle conclusioni, Conforti si è soffermato sulla IDD, oggetto di numerosi scritti e convegni UEA: “Questa direttiva prenderà efficacia dal 1 ottobre prossimo e cambierà profondamente la qualità della distribuzione assicurativa. La nostra speranza è che cambi la qualità del ‘modo di fare polizze’ anche delle banche, dove continuano comportamenti contra legem a danno dei consumatori (senza scomodare gli investimenti in diamanti), e degli uffici postali dove sarebbe necessario che qualche ispettore Ivass si trattenesse un’oretta ad ascoltare come vengono vendute le polizze. 
[…] Il concetto più forte che ho trovato nella Direttiva, richiamato più volte, è la competenza ‘obbligatoria’ degli intermediari. Infatti l’unica modalità possibile per ottenere coperture e soluzioni adeguate e coerenti con il profilo di rischio e con la propensione al rischio del cliente, non risiede certamente nella consegna e nella archiviazione, sopra supporti durevoli, di una ipertrofica fascicolazione, di norme, questionari, moduli e firme biometriche, ma nella capacità dell’intermediario di fare una profonda e accurata intervista al cliente per individuare i rischi (espressi e impliciti) della persona e/o del suo nucleo familiare, dare loro una corretta priorità, verificare il loro ciclo di vita e i costi necessari per metterli in sicurezza, costi che devono essere compatibili con le disponibilità economiche del cliente in questione.
Queste informazioni, declinate attraverso la competenza professionale e l’etica comportamentale dell’intermediario produrranno soluzioni adeguate. […] La distribuzione assicurativa passerà dalla vendita di prodotti alla vendita di un servizio e, finalmente, il nostro non sarà più un mestiere per tutti”.