Le sfide che affrontano la protezione dei dati e la privacy nel settore assicurativo

La rivoluzione digitale in India ha sconvolto l'ambiente imprenditoriale in tutti i settori e il settore assicurativo non fa eccezione. La digitalizzazione migliora l'efficienza e riduce i costi di transazione commerciale, tuttavia permangono diverse sfide all'adozione di tecnologie emergenti come l'interruzione dell'ecosistema assicurativo tradizionale, l'adozione incerta da parte dei consumatori, il ritorno sull'investimento e la privacy e sicurezza dei dati.

Le tecnologie emergenti di solito trattano i dati dei clienti che possono essere utilizzati per ottenere informazioni dettagliate relative a problemi di salute storici e modelli comportamentali dei clienti. Le crescenti normative relative ai dati personali dei clienti in tutto il mondo e in India continueranno a porre ulteriori sfide sia agli assicuratori che ai fornitori di assicurazioni.

L'Information Technology Act, 2000 (IT Act) e le Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information), Rules, 2011 (SPDI Rules) definiscono il quadro generale per quanto riguarda la protezione dei dati in India.

Tuttavia, data la natura dell'attività delle compagnie di assicurazione e degli intermediari, l'Autorità per la regolamentazione e lo sviluppo delle assicurazioni dell'India (IRDAI) ha prescritto un quadro aggiuntivo per la protezione delle informazioni e dei dati degli assicurati, che è necessario seguire oltre al quadro generale quadro ai sensi della legge sull'informatica.

Quadro normativo che disciplina le compagnie di assicurazione

L'IRDAI ha reso obbligatorio per tutte le compagnie assicurative la tutela e il mantenimento della riservatezza di tutte le informazioni che hanno raccolto. Di seguito sono elencate alcune delle normative sulla protezione dei dati applicabili alle compagnie di assicurazione:

– Regolamenti IRDAI (Manutenzione dei registri assicurativi), 2015 – Ai sensi del regolamento 3(3)(b), 3(9) gli assicuratori sono tenuti a garantire che:

• il sistema in cui sono conservate la polizza e la documentazione dei sinistri dispone di adeguate caratteristiche di sicurezza; e
• i record relativi alle polizze emesse e ai reclami presentati in India (compresi i record conservati in formato elettronico) sono conservati in data center situati e mantenuti in India.

– IRDAI (Health Insurance Regulations), 2016 – Ai sensi del Regolamento 35(c), gli assicuratori, gli amministratori di terze parti (TPA) e i fornitori di rete (ossia gli ospedali) sono tenuti a rispettare le questioni relative ai dati come specificato nelle linee guida prescritte dal IRDAI (se presente).

– Regolamenti IRDAI (Protection of Policyholders' Interests), 2017 – Ai sensi della Regulation 19(5) gli assicuratori sono tenuti a mantenere la totale riservatezza delle informazioni sugli assicurati, a meno che non sia legalmente necessario divulgarle alle autorità statutarie.

– Regolamenti IRDAI (Outsourcing of Activities by Indian Insurers), 2017 – Ai sensi del regolamento 12, gli assicuratori sono tenuti a garantire che:

Raccomandato per te:

Risorse

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India

Amit Das

31 luglio 2022

Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Jaspreet K.

31 luglio 2022

Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Vaibhav S.

31 luglio 2022

Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

Charanja L.

31 luglio 2022

Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Ankush S.

31 luglio 2022

Notizia

Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...

Tapanjana R.

31 luglio 2022

• il fornitore di servizi in outsourcing dispone di adeguate politiche di sicurezza per proteggere la riservatezza e la sicurezza delle informazioni degli assicurati;
• le informazioni ei dati forniti ai fornitori di servizi di outsourcing rimangono riservati; e
• i dati del cliente vengono recuperati senza ulteriore utilizzo degli stessi da parte del prestatore di servizi una volta terminato il contratto di esternalizzazione.

Quadro normativo che disciplina gli intermediari

Gli intermediari del settore assicurativo come – broker, agenti individuali, agenti aziendali, amministratori di terze parti (TPA), periti, valutatori di perdite e aggregatori web – fungono da ponte tra i clienti e le compagnie assicurative, facilitando il processo di selezione e acquisto di prodotti assicurativi e assistenza nel servizio di polizze e valutazione dei sinistri.

Pertanto, anche gli intermediari sono portatori di informazioni riservate e quindi sono soggetti agli obblighi in materia di protezione dei dati e di conservazione della riservatezza prescritti dall'IRDAI.

Benché ciascun intermediario sia soggetto a proprie norme e codici di comportamento come riportato nella tabella che segue, le disposizioni in materia di protezione dei dati del contraente sono comuni a tutti gli intermediari. Tra l'altro, prescrivono che gli intermediari assicurativi -

• trattare tutte le informazioni fornite loro dai potenziali clienti come completamente riservate a se stessi e agli assicuratori a cui viene offerta l'attività; e
• adottare misure adeguate per mantenere la sicurezza dei documenti riservati in loro possesso, anche limitando l'accesso a tali informazioni, l'esecuzione di impegni di riservatezza, ecc.

Sebbene un regime simile sia stato prescritto per periti assicurativi e periti sinistri, i regolamenti vigenti consentono a periti e periti sinistri, in via eccezionale, di divulgare le informazioni relative a un cliente, datore di lavoro o contraente a terzi, solo se è stato ottenuto il consenso necessario dall'interessato.

È tuttavia evidente che ai periti e periti sinistri è vietato utilizzare (o apparentemente utilizzare) qualsiasi informazione riservata a proprio vantaggio personale oa vantaggio di terzi.

Nello specifico, in relazione ai TPA, il Regolamento IRDAI (Amministratori Terzi – Servizi Sanitari), 2016 (Regolamento TPA) prevede che i TPA non condividano i dati e le informazioni personali dei clienti da loro ricevuti per la manutenzione di polizze assicurative o sinistri.

Un'eccezione limitata a questa regola è stata ritagliata per la divulgazione di informazioni riservate a qualsiasi tribunale, tribunale, governo o IRDAI in caso di qualsiasi indagine condotta (o proposta di essere condotta) contro l'assicuratore, TPA o qualsiasi altra persona o per qualsiasi altro motivo.

La suddetta eccezione è simile all'esclusione ai sensi della Regola 6 delle Regole SPDI, che consente alle agenzie governative incaricate per legge di ottenere informazioni (inclusi dati o informazioni personali sensibili) per scopi specifici, senza ottenere la preventiva autorizzazione del fornitore di tali informazione.

Sandbox sulla regolamentazione assicurativa

Una "Sandbox regolamentare" è un ambiente di test creato dall'autorità di regolamentazione competente per offrire agli operatori del mercato l'opportunità di eseguire e testare in modo sicuro e protetto i propri prodotti, servizi, modelli di business e meccanismi di fornitura innovativi, in modo ordinato, che mira a proteggere i clienti e nel contempo salvaguardando l'interesse degli stakeholder.

Poco dopo l'emissione della RBI Regulatory Sandbox, il 18 maggio 2019, l'IRDAI ha emesso il "Draft Insurance Regulatory and Development Authority of India (Regulatory Sandbox) Regulations, 2019" (IRDAI Regulatory Sandbox).

L'obiettivo dell'IRDAI Regulatory Sandbox è quello di creare un equilibrio tra l'ordinato sviluppo del settore assicurativo da un lato e la tutela degli interessi degli assicurati dall'altro, facilitando nel contempo l'innovazione tecnologica attraverso un allentamento delle disposizioni di eventuali normative esistenti inquadrato dall'IRDAI, per una portata e una durata limitate.

All'atto dell'approvazione di una domanda, il presidente dell'IRDAI può allentare l'applicabilità di una o più disposizioni di eventuali regolamenti, linee guida o circolari richieste nella domanda, fatte salve le condizioni per l'approvazione della domanda o qualsiasi altra condizione che il presidente ritenga necessarie.

I regolamenti sulla sandbox regolamentare affermano espressamente che non sarà concesso alcun allentamento in relazione all'Atto di assicurazione del 1938 o all'Atto dell'autorità di regolamentazione e sviluppo delle assicurazioni (IRDA) del 1999.

Conclusione

L'obiettivo alla base del regolamento è incoraggiare le buone pratiche in materia di dati e mantenere la fiducia dei clienti nelle attività assicurative. Invece di trattarlo come un semplice compito di conformità, le aziende dovrebbero accogliere i regolamenti di nuova introduzione come una grande opportunità per conquistare la fiducia dei clienti e ottenere vantaggi competitivi.

Sebbene gli assicuratori possano essere gravemente colpiti dal regolamento, il loro percorso verso la conformità è simile a quello di qualsiasi altro settore interessato: rivedendo sistemi e processi per valutare la disponibilità a questo regolamento e investendo per colmare le lacune.