GDPR — General Data Protection Regulation
Regolamento UE 2016/679 sulla protezione dei dati personali. Data residency UE, audit accessi, retention assicurativa, diritto cancellazione, DPA contrattuale.
GDPR per dati assicurativi: specifità del settore
Il GDPR (Reg. UE 2016/679) è la cornice unica europea sulla protezione dei dati personali, ma il settore assicurativo presenta specificità che richiedono soluzioni dedicate: trattamento di dati sanitari per polizze vita/salute (art. 9 §1, dati sensibili categoria \"speciale\"), profilazione attuariale per il pricing (art. 22 sul processo decisionale automatizzato), retention prolungate per polizze a lungo termine + sinistri pendenti, condivisione con riassicuratori esteri (potenziale trasferimento extra-UE), audit IVASS. NewPicass 14.Net è progettato con questi vincoli specifici: data residency esclusivamente UE, encryption E2E sui dati sanitari, audit log su accessi a categorie speciali, DPA contrattuale standard con sub-processor list trasparente, gestione del diritto di cancellazione bilanciato con la retention assicurativa.
Articoli GDPR rilevanti per l'insurance
Principi
Principi di trattamento
Liceità, finalità, minimizzazione, accuratezza, limitazione retention, integrità, accountability. Configurabili a livello tenant per ogni cliente NewPicass.
Categorie speciali
Dati sanitari polizze vita/salute
Encryption rafforzata (additional encryption layer su DB column), audit accessi granulare, RBAC dedicato per dati sanitari, log immutabile delle visualizzazioni.
Cancellazione
Diritto all'oblio bilanciato
Workflow strutturato: valutazione base legale residua (retention assicurativa, contenziosi pendenti, AML), cancellazione verificabile, certificato di cancellazione al titolare.
Responsabile
DPA standard NewPicass
Contratto-tipo art. 28-compliant, sub-processor list pubblica e aggiornata, audit right, notifica data breach entro 24h.
Data Breach
Notifica breach 24h
Più stringente del minimo GDPR 72h. Log tecnici, categorie impattate, RCA, supporto alla notifica al Garante Privacy.
Trasferimenti extra-UE
Data residency UE esclusiva
Nessun trasferimento extra-UE senza accordo cliente esplicito. Backup secondario in country UE diverso disponibile solo su richiesta documentata.
Cosa fa la piattaforma vs cosa resta a te
Coperto
- Data residency UE esclusiva
- Encryption in transit TLS 1.3 + at rest AES-256
- Encryption rafforzata su dati sanitari
- Audit log accessi 10 anni
- RBAC granulare per categoria di dati
- API workflow diritti dell'interessato
- DPA standard con sub-processor list
- Data breach notification entro 24h al cliente
Responsabilità cliente
- DPO (Data Protection Officer)
- RoPA (Registro Trattamenti)
- Informativa privacy ai clienti finali
- Raccolta consensi (marketing, profiling)
- Valutazione legittimo interesse vs richieste oblio
- DPIA (Data Protection Impact Assessment) sui processi
- Notifica al Garante Privacy in caso di breach significativo
- Formazione GDPR dipendenti
Dove questo framework si concretizza nella piattaforma
Domande frequenti su GDPR
Dove sono fisicamente i miei dati?
Italia. Due data center certificati ISO 27001 in active-active con replica sincrona, entrambi nel territorio italiano. Per clienti con requisiti EU specifici (es. compagnie soggette a vigilanza con vincoli su data residency UE) confermiamo per contratto la residenza esclusiva in UE. Mai trasferimenti extra-UE senza specifico accordo cliente (es. backup secondario in country UE diverso). Lista IP/data center disponibile sotto NDA.
Per quanto tempo conservate i dati delle polizze?
Retention configurabile per cliente in base ai requisiti normativi assicurativi: default 10 anni dalla cessazione del rapporto per dati assicurativi (allineato a IVASS Reg. 24), 5 anni per dati di marketing, 7 anni per dati contabili (D.P.R. 633/1972). Audit trail immutabile 10 anni minimo per tutti i clienti. Cancellazione automatica oltre retention con log della cancellazione.
Come gestite il diritto di cancellazione (art. 17)?
Workflow strutturato: il cliente del nostro cliente vigilato richiede la cancellazione → il cliente vigilato valuta se esistono basi legali per rifiutare (es. retention obbligatoria assicurativa = legittima base art. 17 §3 lett. b) → conferma a NewPicass → API dedicata che cancella in modo verificabile, mantenendo solo i dati con base legale residua, e produce il certificato di cancellazione. Tempo tipico: 5-15 giorni lavorativi.
Avete un DPA (Data Processing Agreement) standard?
Sì. DPA contrattuale conforme art. 28 GDPR è parte standard del contratto NewPicass 14.Net. Include: oggetto, durata, natura e finalità del trattamento, categorie di interessati e dati, obblighi del responsabile, sub-responsabili (sub-processors list pubblica e aggiornata), notifiche data breach 24h, audit right del titolare. Disponibile in italiano e inglese.
Cosa succede in caso di data breach?
Workflow art. 33-34 GDPR + DORA art. 17-23: NewPicass rileva l'incident → notifica il cliente vigilato entro 24h (più stringente del minimo GDPR 72h) → fornisce log tecnici, categorie dati impattate, numero interessati, RCA → il cliente vigilato valuta se notificare al Garante Privacy e/o agli interessati. Procedure documentate, test annuale del processo data breach.
Posso fare audit sulle vostre infrastrutture?
Sì, art. 28 §3 lett. h GDPR. Il DPA include audit right del titolare con preavviso ragionevole. Forniamo in alternativa: certificato ISO 27001:2023, SOC 2 Type II report annuale (sotto NDA), penetration test report. Per audit fisico on-site: programmabile, costi a carico del cliente, frequenza tipica annuale per clienti enterprise.
Verifica con noi la tua compliance GDPR
45 minuti con un compliance engineer. Esaminiamo la copertura della piattaforma su questo framework e identifichiamo cosa resta da chiudere lato cliente.