Este deja bine cunoscut ca incepand cu 25 mai 2018 noul act normativ aplicabil in toate statele membre ale Uniunii Europene in ceea ce priveste colectarea datelor cu caracter personal si libera circulatie a acestor date este Regulamentul nr. 679/2016 privind protectia persoanelor fizice ("Regulamentul general privind protectia datelor" sau GDPR).

Alis Patlageanu & Ciprian PortnoiFoto: PORTNOI ȘI ASOCIAȚII SPARL

Pentru a putea configura corect harta obligatiilor impuse in domeniul asigurarilor de noul act normativ, este important sa clarificam care este pozitia pe care GDPR o atribuie fiecarui actor care activeaza in acest domeniu.

Din perspectiva GDPR vom avea urmatoarele personaje cheie:

  • Persoana vizata - este intotdeauna o persoana fizica identificata sau identificabila, direct sau indirect, in special prin referire la elemente cum ar fi un nume, un numar de identificare (de exemplu CNP), date de localizare, un identificator online, sau la unul sau mai multe elemente specifice (de exemplu numarul de inmatriculare al masinii). Intra in aceasta categorie asiguratul persoana fizica dar si angajatul asiguratorului, ori al brokerului .
  • Operatorul - este entitatea care stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal. De regula, in aceasta categorie intra asiguratorii, dar pot fi si intermediarii pentru anumite categorii de date (datele angajatilor, ale clientilor persoane fizice, imaginile stocate pe camerele de supraveghere instalate la sediu etc)
  • Persoana imputernicita - este entitatea care prelucreaza datele cu caracter personal in numele operatorului. Pentru a fi considerat persoana imputernicita, intermediarul trebuie sa fi incheiat cu operatorul un contract avand ca obiect prelucrarea datelor cu caracter personal, in care operatorul este cel care defineste scopurile si mijloacele prelucrarii;
  • Destinatarul - este persoana fizica sau juridica, autoritatea publica, agentia sau alt organism careia (caruia) ii sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terta. Poate avea aceasta calitate Autoritatea de Supraveghere Financiara;
  • O parte terta - inseamna o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decat persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal. In general, sunt terte parti acele persoane angajate ale unei entitati care nu are nicio legatura juridica cu oricare dintre persoanele enumerate mai sus, fiind total independent de acestea.

Sunt cateva prevederi in noul GDPR care ar putea influenta activitatea asiguratorilor si intermediarilor si care ne-au atras atentia:

Regulamentul permite procesarea in comun a datelor de catre operatori asociati. Un exemplu in acest caz: asiguratorul si intermediarul pot deveni operatori asociati in sensul GDPR, astfel ca vor stabili intr-un mod transparent responsabilitatile fiecaruia in ceea ce priveste indeplinirea obligatiilor care le revin in temeiul Regulamentului, in special in ceea ce priveste exercitarea drepturilor persoanelor vizate si indatoririle fiecaruia de furnizare a informatiilor obligatorii, cu exceptia cazului in care responsabilitatile operatorilor sunt stabilite in dreptul Uniunii sau in dreptul intern care se aplica acestora. Prin acord, partile pot sa desemneze un punct de contact unic pentru persoanele vizate;

Legalitatea procesarii, in materia asigurarilor, implica o identificare corecta a temeiului legal al procesarii si o definire completa a scopului procesarii. Cei care se confrunta cel mai frecvent cu aceste imperative sunt intermediarii, iar cele mai frecvente astfel de temeiuri sunt: consimtamantul, contractul si interesul legitim.

Consimtamantul persoanei vizate este in special necesar atunci cand datele sunt obtinute direct de la persoana vizata in scopul conturarii unei oferte personalizate. Parerea noastra este ca un consimtamant care indeplineste cerintele prevazute de Regulament (prezentat intr-o forma inteligibila si usor accesibila, scris intr-un limbaj clar si simplu si este neechivoc) si isi atinge scopul, in sensul ca ofera persoanei vizate toate detaliile referitoare la prelucrarea datelor sale personale, reprezinta un temei suficient pentru a demonstra legalitatea prelucrarii. O discutie aparte a fost creata in legatura cu dreptul persoanei vizate de a-si retrage consimtamantul in orice moment si de a-si exercita dreptul de a fi uitata (adica dreptul de a obtine stergerea datelor), recunoscute expres de noul GDPR. In cazul consimtamantului dat in vederea incheierii unui contract de asigurare, este important ca persoana vizata sa fie informata cu privire la efectele juridice pe care le produce retragerea consimtamantului, avand in vedere ca, in acest caz, lipsa acordului de procesare a datelor personale face practic imposibila desfasurarea activitatii intermediarului sau asiguratorului in legatura cu persoana vizata.

Din acest motiv, consideram ca in materia asigurarilor temeiul legal al prelucrarii este mai usor de gestionat si demonstrat daca prelucrarea poate fi incadrata in sfera prelucrarilor necesare pentru executarea unui contract sau pentru efectuarea unor demersuri inainte de incheierea unui contract. Din aceasta perspectiva, este esential ca orice colectare a datelor personale in vederea formularii unor oferte sa fie facuta pe baza unei cereri exprese a persoanei vizate care va reprezenta si un mandat acordat de aceasta intermediarului in vederea identificarii unor oferte de asigurare si incheierii contractului de asigurare.

In ceea ce priveste interesul legitim ca temei legal al prelucrarii, acesta a constituit in mod uzual temeiul pentru comunicarile comerciale. In lumina noului GDPR, acest temei trebuie privit cu mai multa precautie, avand in vedere ca legalitatea prelucrarii va fi judecata plecand de la echilibrul intre interesul comercial, legitim al operatorului si interesele sau drepturile si libertatile fundamentale ale persoanei vizate, luand in considerare asteptarile rezonabile ale acesteia bazate pe relatia sa cu operatorul. Cu titlu de exemplu, preluat din preambulul GDPR, prelucrarea in scop de marketing direct poate fi considerata ca fiind in temeiul unui interes legitim, insa o incadrare corecta din punct de vedere al legalitatii se poate face doar daca se are in vedere si echilibrul dintre interesul comercial, legitim al operatorului si asteptarile rezonabile ale persoanei vizate. Prelucrarea datelor unor clienti existenti, aflati deja in raporturi contractuale cu operatorul, in scop de marketing direct ar putea fi considerata legala, pe cand prelucrarea datelor personale ale unor persoane fara legatura cu operatorul, in lipsa consimtamantului expres al persoanei vizate, ar putea fi considerata ca lipsita de temei legal.

Analizele efectuate independent cu privire la impactul pe care noile modificari le vor aduce in domeniul asigurarilor au identificat o serie de avantaje si dezavantaje pentru asiguratori si pentru intermediari. Suntem de acord ca printre noile obligatii care se estimeaza ca vor avea impact pozitiv se numara obligatia de cartografiere a datelor, adica obligatia de a inregistra si controla eficient intregul flux, de la momentul colectarii si pana la momentul stergerii datelor personale, dar si reglementarea unor instrumente noi, cum sunt codurile de etica sau mecanismele de certificare autorizate, care, odata recunoscute in statul membru si adoptate de operatori, pot face dovada suficienta a respectarii prevederilor GDPR.

Sunt insa opinii care atrag atentia si asupra posibilelor efecte negative ale GDPR, prin schimbarea de paradigma in abordarea protectiei datelor personale care, sub noua reglementare, vor ramane permanent sub controlul si la dispozitia persoanei vizate. Exemple de masuri cu posibil impact negativ: cantitatea si gradul de detaliere a informatiilor pe care un operator trebuie sa le ofere persoanelor vizate (de la sursa informatiilor si pana la proba existentei consimtamantului sau a temeiului legal aplicabil) sunt la un nivel foarte ridicat; limitele in care se poate face profilarea persoanelor vizate sunt insuficient reglementate, astfel ca este inca incert daca profilarea este permisa fara restrictii suplimentare, ca orice alta activitate premergatoare incheierii unui contract sau presupune obtinerea consimtamantului pentru fiecare etapa (consimtamant granular); respectarea dreptului la retragerea consimtamantului si la stergerea datelor personale la cererea persoanei vizate care poate face imposibila executarea contractului de asigurare sau poate conduce la incetarea acestuia.

Este evident ca toate acestea sunt estimari care vor fi confirmate sau infirmate in procesul de implementare a GDPR. Insa acest proces poate fi mai usor parcurs daca principiile si conceptele noi pe care GDPR le impune vor fi asimilate la nivelul tuturor actorilor implicati in lantul procesarii datelor personale.