GDPR privit din perspectiva asiguratorilor si a intermediarilor in asigurari

Este deja bine cunoscut că începând cu 25 mai 2018 noul act normativ aplicabil în toate statele membre ale Uniunii Europene în ceea ce privește colectarea datelor cu caracter personal și privind libera circulație a acestor date este Regulamentul nr. 679/2016 privind protecția persoanelor fizice (“Regulamentul general privind protecția datelor” sau GDPR).

Pentru a putea configura corect harta obligațiilor impuse de noul act normativ în domeniul asigurărilor, este important să clarificăm care este poziția pe care GDPR o atribuie fiecărui actor care activează în acest domeniu.

Din perspectiva GDPR vom avea următoarele personaje cheie:

  • Persoana vizată este întotdeauna o persoană fizică identificată sau identificabilă, direct sau indirect, în special prin referire la elemente cum ar fi un nume, un număr de identificare (de exemplu CNP), date de localizare, un identificator online, sau la unul sau mai multe elemente specifice (de exemplu numărul de inmatriculare al mașinii). Intra în această categorie asiguratul persoană fizică dar și angajatul asigurătorului, ori al brokerului .
  • Operatorul – este entitatea care stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal. De regulă, în această categorie intră asigurătorii, dar pot fi și intermediarii pentru anumite categorii de date (datele angajaților, ale clienților persoane fizice, imaginile stocate pe camerele de supraveghere instalate la sediu etc)
  • Persoana împuternicită – este entitatea care prelucrează datele cu caracter personal în numele operatorului. Pentru a fi considerat persoană împuternicită, intermediarul trebuie să fi încheiat cu operatorul un contract având ca obiect prelucrarea datelor cu caracter personal, în care operatorul este cel care definește scopurile și mijloacele prelucrării;
  • Destinatarul – este persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Poate avea această calitate Autoritatea de Supraveghere Financiară;
  • O parte terță – înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal. În general, sunt terțe părți acele persoane angajate ale unei entități care nu are nicio legătură juridică cu oricare dintre persoanele enumerate mai sus, fiind total independent de acestea.

Sunt câteva prevederi în noul GDPR care ar putea influența activitatea asigurătorilor și intermediarilor și care ne-au atras atenția:

Regulamentul permite procesarea în comun a datelor de către operatori asociați. Un exemplu în acest caz: asigurătorul și intermediarul pot deveni operatori asociați în sensul GDPR, astfel că vor stabili într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în temeiul Regulamentului, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecăruia de furnizare a informaţiilor obligatorii, cu excepţia cazului în care responsabilităţile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora. Prin acord, părțile pot să desemneze un punct de contact unic pentru persoanele vizate;

Legalitatea procesării, în materia asigurărilor, implică o identificare corectă a temeiului legal al procesării și o definire completă a scopului procesării. Cei care se confruntă cel mai frecvent cu aceste imperative sunt intermediarii, iar cele mai frecvente astfel de temeiuri sunt: consimțământul, contractul și interesul legitim.

Consimțământul persoanei vizate este în special necesar atunci când datele sunt obținute direct de la persoana vizată în scopul conturării unei oferte personalizate. Părerea noastră este că un consimțământ care îndeplinește cerințele prevăzute de Regulament (prezentat într-o formă inteligibilă şi uşor accesibilă, scris într-un limbaj clar şi simplu și este neechivoc) și își atinge scopul, în sensul că oferă persoanei vizate toate detaliile referitoare la prelucrarea datelor sale personale, reprezintă un temei suficient pentru a demonstra legalitatea prelucrării. O discuție aparte a fost creată în legătură cu dreptul persoanei vizate de a-și retrage consimțământul în orice moment și de a-și exercita dreptul de a fi uitată (adică dreptul de a obține ștergerea datelor), recunoscute expres de noul GDPR. În cazul consimțământului dat în vederea încheierii unui contract de asigurare, este important ca persoana vizată să fie informată cu privire la efectele juridice pe care le produce retragerea consimțământului, având în vedere că, în acest caz, lipsa acordului de procesare a datelor personale face practic imposibilă desfășurarea activității intermediarului sau asigurătorului în legătură cu persoana vizată.

Din acest motiv, considerăm că în materia asigurărilor temeiul legal al prelucrării este mai ușor de gestionat și demonstrat dacă prelucrarea poate fi încadrată în sfera prelucrărilor necesare pentru executarea unui contract sau pentru efectuarea unor demersuri înainte de încheierea unui contract. Din această perspectivă, este esențial ca orice colectare a datelor personale în vederea formulării unor oferte să fie făcută pe baza unei cereri exprese a persoanei vizate care va reprezenta și un mandat acordat de aceasta intermediarului în vederea identificării unor oferte de asigurare și încheierii contractului de asigurare.

În ceea ce privește interesul legitim ca temei legal al prelucrării, acesta a constituit în mod uzual temeiul pentru comunicările comerciale. În lumina noului GDPR, acest temei trebuie privit cu mai multă precauție, având în vedere că legalitatea prelucrării va fi judecată plecând de la echilibrul între interesul comercial, legitim al operatorului și interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, luând în considerare aşteptările rezonabile ale acesteia bazate pe relaţia sa cu operatorul. Cu titlu de exemplu, preluat din preambulul GDPR, prelucrarea în scop de marketing direct poate fi considerată ca fiind în temeiul unui interes legitim, însă o încadrare corectă din punct de vedere al legalității se poate face doar dacă se are în vedere și echilibrul dintre interesul comercial, legitim al operatorului și asteptările rezonabile ale persoanei vizate. Prelucrarea datelor unor clienți existenți, aflați deja în raporturi contractuale cu operatorul, în scop de marketing direct ar putea fi considerată legală, pe când prelucrarea datelor personale ale unor persoane fără legătură cu operatorul, în lipsa consimțământului expres al persoanei vizate, ar putea fi considerată ca lipsită de temei legal.

Analizele efectuate independent cu privire la impactul pe care noile modificări le vor aduce în domeniul asigurărilor au identificat o serie de avantaje și dezavantaje pentru asigurători și pentru intermediari. Suntem de acord că printre noile obligații care se estimează că vor avea impact pozitiv se numără obligația de cartografiere a datelor, adică obligația de a înregistra și controla eficient întregul flux, de la momentul colectării și până la momentul ștergerii datelor personale, dar și reglementarea unor instrumente noi, cum sunt codurile de etică sau mecanismele de certificare autorizate, care, odată recunoscute în statul membru și adoptate de operatori, pot face dovada suficientă a respectării prevederilor GDPR.

Sunt însă opinii care atrag atenția și asupra posibilelor efecte negative ale GDPR, prin schimbarea de paradigmă în abordarea protecției datelor personale care, sub noua reglementare, vor rămâne permanent sub controlul și la dispoziția persoanei vizate. Exemple de măsuri cu posibil impact negativ: cantitatea și gradul de detaliere a informațiilor pe care un operator trebuie să le ofere persoanelor vizate (de la sursa informațiilor și până la proba existenței consimțământului sau a temeiului legal aplicabil) sunt la un nivel foarte ridicat; limitele în care se poate face profilarea persoanelor vizate sunt insuficient reglementate, astfel că este incă incert dacă profilarea este permisă fără restricții suplimentare, ca orice altă activitate premergătoare încheierii unui contract sau presupune obținerea consimțământului pentru fiecare etapă (consimțamânt granular); respectarea dreptului la retragerea consimțământului și la ștergerea datelor personale la cererea persoanei vizate care poate face imposibilă executarea contractului de asigurare sau poate conduce la încetarea acestuia.

Este evident că toate acestea sunt estimări care vor fi confirmate sau infirmate în procesul de implementare a GDPR. Însă acest proces poate fi mai ușor parcurs dacă principiile și conceptele noi pe care GDPR le impune vor fi asimilate la nivelul tuturor actorilor implicați în lanțul procesării datelor personale.