Τα δεδομένα αποτελούν τον πυρήνα του ασφαλιστικού τομέα. Χωρίς δεδομένα, οι ασφαλιστές δεν θα ήταν σε θέση να αξιολογήσουν τους κινδύνους από τους οποίους οι καταναλωτές επιθυμούν να προστατευθούν, να αναπτύξουν και να τιμολογήσουν τα συμβόλαιά τους, να διεκπεραιώσουν τις απαιτήσεις των καταναλωτών ή να εντοπίσουν την απάτη. Καθώς η επεξεργασία δεδομένων βρίσκεται στο επίκεντρο της επιχείρησής τους, οι ασφαλιστές γνωρίζουν την αξία των δεδομένων και τη σημασία της προστασίας τους. Αυτό δεν αποτελεί μόνο νομική και κανονιστική απαίτηση, αλλά και θεμελιώδες στοιχείο για την οικοδόμηση και τη διατήρηση της εμπιστοσύνης των καταναλωτών.

Ως εκ τούτου, οι ασφαλιστές ήταν πάντα ένθερμοι υποστηρικτές των στόχων του Γενικού Κανονισμού της ΕΕ για την Προστασία Δεδομένων (ΓΚΠΔ). Το κείμενο - το οποίο τέθηκε σε ισχύ το 2018 - εγκρίθηκε αρχικά για να προστατεύσει το θεμελιώδες δικαίωμα των Ευρωπαίων στην ιδιωτική ζωή και παράλληλα να προωθήσει τον υπεύθυνο ανταγωνισμό στον ψηφιακό κόσμο. Τώρα που ο ΓΚΠΔ φτάνει σχεδόν στα 6α γενέθλιά του, ήρθε η ώρα για μια νέα ματιά και για να ελέγξουμε αν εξακολουθεί να είναι κατάλληλος για το σκοπό του.

Η Ευρωπαϊκή Επιτροπή έχει νομική υποχρέωση να διενεργήσει τη δεύτερη αξιολόγηση του ΓΚΠΔ το 2024, μετά την οποία μπορεί να αποφασίσει να αναθεωρήσει ή να τροποποιήσει τον κανονισμό. Κατά την πρώτη αξιολόγηση, η οποία διενεργήθηκε το 2020, η Επιτροπή έκρινε ότι το πλαίσιο είναι κατάλληλο για το σκοπό του. Μια ιστορία επιτυχίας που κατάφερε να δώσει στα άτομα μεγαλύτερο έλεγχο των δεδομένων τους.

Σχεδόν 6 χρόνια αργότερα, το ψηφιακό νομικό τοπίο της Ευρώπης έχει αλλάξει δραστικά. Από την εξελισσόμενη νομολογία του Δικαστηρίου της ΕΕ έως τις εντελώς νέες νομοθετικές πράξεις που απορρέουν από την ευρωπαϊκή στρατηγική για τα δεδομένα, όπως ο νόμος για τα δεδομένα, ο νόμος για τη διακυβέρνηση των δεδομένων και ο νόμος για την τεχνητή νοημοσύνη, το ψηφιακό εγχειρίδιο κανόνων της ΕΕ έχει γίνει πολύ πιο πολύπλοκο.

Ο τρόπος με τον οποίο αυτές οι νέες πρωτοβουλίες θα αλληλεπιδρούν μεταξύ τους στην πράξη δεν έχει ακόμη καθοριστεί. Αυτό που είναι σαφές είναι ότι όλες βασίζονται στα θεμέλια που έθεσε ο ΓΚΠΔ και όλες θα επηρεάσουν σημαντικά τις δραστηριότητες επεξεργασίας δεδομένων των οργανισμών κατά τους επόμενους μήνες και χρόνια.

Προτού εκτιμηθεί ο αντίκτυπος της στρατηγικής της Επιτροπής για τα δεδομένα και των νέων κανονισμών της, η επαναφορά του ΓΚΠΔ είναι πρόωρη. Όπως και πολλοί άλλοι τομείς, ο ασφαλιστικός κλάδος έχει επενδύσει σημαντικούς πόρους για την κατανόηση του ΓΚΠΔ και των επιπτώσεών του και τη διασφάλιση της ορθής εφαρμογής του νέου καθεστώτος. Σε μια εποχή που ο ΓΚΠΔ έχει επίσης καθιερωθεί με επιτυχία ως παγκόσμιο πρότυπο, η επανεξέταση της Επιτροπής θα πρέπει να εκμεταλλευτεί αυτή την ευκαιρία για να αντιμετωπίσει εκκρεμή ζητήματα ερμηνείας, να προωθήσει τους υφιστάμενους νομικούς μηχανισμούς και να προωθήσει τη συμμόρφωση των εταιρειών.

Ας ξεκινήσουμε εξετάζοντας καθένα από αυτά τα σημεία
Μία από τις βασικές πτυχές στις οποίες θα πρέπει να επικεντρωθεί η επανεξέταση της Επιτροπής είναι ο ακούσιος αντίκτυπος του GDPR στην καινοτομία. Οι αναδυόμενες τεχνολογίες, όπως το blockchain, η τεχνητή νοημοσύνη και το Internet of Things (IoT), προσφέρουν τεράστιες ευκαιρίες τόσο για τους ασφαλιστές όσο και για τους καταναλωτές. Ωστόσο, η καινοτομία θα μπορούσε να υπονομευθεί, από τη μία πλευρά, από την έλλειψη καθοδήγησης, και από την άλλη, από την υπερβολικά αυστηρή ερμηνεία που παρέχουν οι υφιστάμενες κατευθυντήριες γραμμές που υπέβαλε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB).

Πάρτε για παράδειγμα το blockchain. Ενώ οι δυνατότητές του να ενισχύσει την αποτελεσματικότητα, την εμπιστοσύνη και τη διαφάνεια είναι γνωστές, δεν είναι ακόμη σαφές πώς μπορεί να συνδυαστεί η χρήση του με το δικαίωμα διαγραφής και το δικαίωμα διόρθωσης του GDPR.

Παρομοίως, λόγω της πολύ στενής ερμηνείας της «αναγκαιότητας» της εκτέλεσης αποκλειστικά αυτοματοποιημένων διαδικασιών, οι κατευθυντήριες γραμμές του EDPB έχουν ως αποτέλεσμα να αποθαρρύνουν τους ασφαλιστές από την εισαγωγή καινοτόμων προϊόντων, όπως η ασφάλιση σε πραγματικό χρόνο που προσφέρεται μέσω εφαρμογών κινητών τηλεφώνων.

Αυτό οδηγεί στο δεύτερο σημείο: Ο ρόλος του EDPB και των κατευθυντήριων γραμμών του
Ενώ η καθοδήγηση του EDPB είναι ένα χρήσιμο εργαλείο εφαρμογής και συμμόρφωσης, υπάρχουν ορισμένοι τομείς, όπως οι διεθνείς διαβιβάσεις δεδομένων και το δικαίωμα πρόσβασης στα δεδομένα, στους οποίους το EDPB δεν εφάρμοσε με συνέπεια την προσέγγιση βάσει κινδύνου και τις αρχές της αναλογικότητας που κατοχυρώνονται στον GDPR. Για παράδειγμα, οι κατευθυντήριες γραμμές σχετικά με το δικαίωμα πρόσβασης υπονοούν ότι, μετά από ρητή αίτηση πρόσβασης από καταναλωτή, μια εταιρεία θα πρέπει να αναζητήσει τα δεδομένα του ατόμου σε όλα τα συστήματα ΤΠ της, συμπεριλαμβανομένων των εφεδρικών συστημάτων. Η απαίτηση από τον υπεύθυνο επεξεργασίας να αναζητήσει τα εφεδρικά συστήματα, τα οποία ενδέχεται να μην είναι άμεσα ή εύκολα προσβάσιμα, συνιστά δυσανάλογη προσπάθεια. Τα εφεδρικά δεδομένα είναι δεδομένα προσωπικού χαρακτήρα που αποθηκεύονται αποκλειστικά για την αποκατάσταση των δεδομένων σε περίπτωση απώλειας δεδομένων και, ως εκ τούτου, δεν θα πρέπει να περιλαμβάνονται στο πεδίο εφαρμογής του δικαιώματος πρόσβασης.

Το EDPB θα πρέπει να δώσει προτεραιότητα στην πρακτική καθοδήγηση για την ενίσχυση της εναρμόνισης και τη μείωση του φόρτου συμμόρφωσης, όποτε το επιτρέπει το κείμενο του GDPR. Ο αυξημένος διάλογος με εξωτερικούς ενδιαφερόμενους φορείς θα επιτρέψει στο EDPB να μάθει περισσότερα για τα αναδυόμενα ζητήματα και να αναπτύξει σχετικές κατευθυντήριες γραμμές που ευθυγραμμίζονται καλύτερα με την πρακτική πραγματικότητα που αντιμετωπίζουν οι επιχειρήσεις, προωθώντας τελικά την πιο ισχυρή και αποτελεσματική συμμόρφωση με την προστασία των δεδομένων.

Τέλος, ένας άλλος κρίσιμος τομέας για την αξιολόγηση θα πρέπει να είναι ο μηχανισμός του GDPR για τη διεθνή διαβίβαση δεδομένων
Η διασφάλιση της απρόσκοπτης ροής δεδομένων μεταξύ των κρατών μελών της ΕΕ και τρίτων χωρών είναι ζωτικής σημασίας για τις ευρωπαϊκές επιχειρήσεις.

Στο σημείο αυτό, η Επιτροπή θα πρέπει να λάβει μέτρα για να διασφαλίσει ότι οι εταιρείες μπορούν να κάνουν πλήρη χρήση όλων των εργαλείων για τις διεθνείς διαβιβάσεις που προβλέπονται στον GDPR. Σε αυτό το στάδιο, η χρήση των υφιστάμενων εργαλείων, όπως οι κώδικες δεοντολογίας και οι δεσμευτικοί εταιρικοί κανόνες, ήταν περιορισμένη λόγω των υψηλών απαιτήσεων που επιβάλλει η ΕΑΠΔ και των μακροχρόνιων και πολύπλοκων διαδικασιών έγκρισης.

Η Επιτροπή θα πρέπει επίσης να επιταχύνει τις εργασίες της για την ανάπτυξη νέων αποφάσεων επάρκειας. Πρόκειται για τα πλέον κατάλληλα μέσα για τη διεθνή διαβίβαση δεδομένων, καθώς παρέχουν τις πλέον κατάλληλες εγγυήσεις τόσο για τις εταιρείες όσο και για τους καταναλωτές. Ωστόσο, ο σημερινός κατάλογος των χωρών που καλύπτονται από μια απόφαση επάρκειας εξακολουθεί να είναι αρκετά περιορισμένος και δεν καλύπτει επαρκώς τις μεταφορές δεδομένων σε ένα περιβάλλον στο οποίο η παγκόσμια ανταλλαγή δεδομένων αυξάνεται καθημερινά.

Συνολικά, χρειάζεται ακόμη δουλειά. Η επικείμενη αξιολόγηση αποτελεί επομένως μια χρυσή ευκαιρία για να διασφαλιστεί ότι το κείμενο ανταποκρίνεται πλήρως στους επιδιωκόμενους στόχους του, συμπεριλαμβανομένης της καθοδήγησης των επιχειρήσεων να ανταγωνίζονται υπεύθυνα στο ψηφιακό περιβάλλον. Η βιομηχανία χρειάζεται μια εστιασμένη αναθεώρηση του ΓΚΠΔ που θα αντιμετωπίζει τις εκκρεμείς προκλήσεις ερμηνείας, θα διευκολύνει τη συμμόρφωση των εταιρειών και θα ενισχύει την ενιαία αγορά της Ευρώπης. Πρέπει να προωθήσει την πρακτική καθοδήγηση από το EDPB, την ασφαλή διεθνή διαβίβαση δεδομένων και την πλήρη χρήση όλων των μηχανισμών του ΓΚΠΔ. Όλα αυτά θα προετοιμάσουν το έδαφος για την επόμενη επανεξέταση το 2028, όταν θα μπορεί να αξιολογηθεί καλύτερα ο αντίκτυπος της πρόσφατα εκδοθείσας νομοθεσίας για τη στρατηγική των δεδομένων και θα είναι δυνατή μια πιο ολοκληρωμένη αξιολόγηση του ψηφιακού εγχειριδίου κανόνων της ΕΕ.

Πηγή: Insurance Europe