Case study privacy GDPR

27 Ott

Case study privacy GDPR

  Case study Elena Martinotti

Un broker assicurativo/agente ci ha contattati perché, negli anni, aveva accumulato una gestione privacy completamente disordinata:

  • Negli anni aveva usato modelli diversi di informative privacy: alcune scritte tempo fa, anacronistiche rispetto alla normativa attualmente vigente, altre aggiornate solo in parte. Non c’era una versione unica valida per tutti.
  • I consensi dei clienti venivano raccolti in modo disordinato (a volte con un modulo firmato, altre verbalmente). Quindi non c’era uno schema uniforme e non sempre si trovava la copia firmata come prova.
  • Non c’era un registro dei trattamenti aggiornato, il documento obbligatorio che per il GDPR deve elencare tutti i trattamenti di dati svolti in azienda (clienti, collaboratori, fornitori, marketing, ecc.).
  • I fornitori esterni che gestivano dati per conto del broker/agente (ad esempio il gestionale, i consulenti informatici) non erano mai stati nominati formalmente come “responsabili esterni del trattamento”. Quindi, in caso di problema, non ci sarebbe stata chiarezza sulle responsabilità.

Il problema principale era evidente: in caso di richiesta di accesso ai dati da parte di un cliente o di un controllo da parte del Garante o delle Compagnie (che, nei loro audit, oltre alla documentazione prettamente assicurativa richiedono anche la documentazione privacy), la società non sarebbe stata in grado di fornire documentazione completa e coerente. Il rischio era altissimo, sia in termini di sanzioni che di perdita di fiducia da parte dei clienti.

Il nostro intervento:

  1. Audit iniziale

Abbiamo raccolto e analizzato tutta la documentazione esistente: informative per i clienti, moduli di consenso, eventuali policy interne. Durante l’audit sono emerse duplicazioni, versioni differenti dello stesso documento e informative incomplete.

  1. Registro dei trattamenti

Abbiamo ricostruito da zero un registro dei trattamenti, personalizzato per la realtà del cliente:

    • Abbiamo censito tutti i trattamenti (gestione clienti, gestione collaboratori, rapporti con compagnie, marketing, amministrazione interna).
    • Per ogni trattamento abbiamo definito: finalità, base giuridica, categorie di dati, tempi di conservazione, misure di sicurezza adottate.
    • Il registro è stato strutturato come strumento operativo, non solo come adempimento formale, così da poterlo aggiornare facilmente in futuro.

Abbiamo reso i testi più chiari e trasparenti, così che chi legge possa davvero capire come vengono trattati i propri dati.

  1. Nomine a responsabile e incaricato al trattamento

Abbiamo predisposto le lettere di nomina per i collaboratori che si occupano di distribuzione assicurativa e i fornitori che trattavano dati per conto del broker/agente (ad esempio: piattaforme informatiche, servizi cloud, società di gestione documentale). Abbiamo inoltre predisposto le nomine per i dipendenti, in qualità di autorizzati/incaricati al trattamento, così da chiarire ruoli e responsabilità quotidiane.

  1. Procedure interne e gestione operativa

In collaborazione con il DPO, abbiamo definito procedure pratiche da seguire in caso di:

  • violazione dei dati (data breach)
  • richieste di esercizio dei diritti da parte degli interessati (accesso, rettifica, cancellazione, portabilità, ecc.).

Queste procedure hanno dato un percorso chiaro da seguire, riducendo tempi di reazione e incertezze.

  1. Formazione interna

Abbiamo organizzato un incontro formativo per spiegare al personale:

    • quali sono gli obblighi concreti di chi gestisce i dati,
    • come riconoscere e gestire una richiesta di esercizio dei diritti da parte di un cliente,
    • quali comportamenti quotidiani riducono il rischio di violazioni (password, accessi, archiviazione documenti).

Il risultato per il cliente

  • Il cliente oggi dispone di un pacchetto documentale ordinato e coerente: registro aggiornato, informative chiare, consensi raccolti in modo uniforme, nomine formalizzate.
  • In caso di controllo o di richiesta da parte di un cliente, la società è pronta a fornire subito risposte complete e corrette.
  • Il rischio di sanzioni è stato drasticamente ridotto
  • Il personale interno ha acquisito consapevolezza teorica e pratica

DiElena Martinotti