Nga William Vidonja, Insurance Europe
Të dhënat janë në thelb të industrisë së sigurimeve. Pa akses në to, siguruesit nuk do të ishin në gjendje të vlerësonin rreziqet nga të cilat duhet të mbrojnë konsumatorët, të zhvillojnë dhe të vlerësojnë politikat e tyre, të përpunojnë pretendimet e konsumatorëve ose të zbulojnë rastet e mashtrimeve.
Me përpunimin e tyre, siguruesit e dinë vlerën e të dhënave dhe rëndësinë e mbrojtjes së tyre.
Kjo nuk është vetëm një kërkesë ligjore dhe rregullatore, por edhe një element themelor i ndërtimit dhe ruajtjes së besimit të konsumatorëve.
Si e tillë, siguruesit kanë qenë gjithmonë mbështetës të fuqishëm të objektivave të Rregullores së Përgjithshme të BE-së për Mbrojtjen e të Dhënave (GDPR).
Tani që GDPR (General Data Protection Regulation) është pothuajse në ditëlindjen e saj të 6-të, është koha për të hedhur një vështrim tjetër dhe për të kontrolluar nëse është ende i përshtatshëm për qëllimin mbi të cilën është ngritur.
Komisioni Evropian ka një detyrim ligjor për të kryer vlerësimin e dytë të GDPR në vitin 2024, pas të cilit mund të vendosë të rishikojë ose ndryshojë rregulloren.
Në rishikimin e parë, i cili u zhvillua në vitin 2020, Komisioni e konsideroi kornizën të përshtatshme për qëllimin. Një histori suksesi që arriti t’u japë individëve më shumë kontroll mbi të dhënat e tyre.
Pothuajse 6 vjet më vonë, peizazhi ligjor dixhital i Evropës ka ndryshuar në mënyrë drastike.
Nga evoluimi i jurisprudencës nga Gjykata e Drejtësisë së BE-së në pjesë krejtësisht të reja të legjislacionit që rrjedhin nga Strategjia Evropiane e të Dhënave, të tilla si Akti i të Dhënave, Akti i Qeverisjes së të Dhënave dhe Akti i Inteligjencës Artificiale, rregullorja dixhitale e BE-së është bërë shumë më e ndërlikuar.
Se si këto iniciativa të reja do të ndërveprojnë me njëra-tjetrën në praktikë mbetet ende për t’u përcaktuar. Ajo që është e qartë është se, të gjitha ato bazohen në themelin e vendosur nga GDPR dhe të gjitha do të ndikojnë ndjeshëm në operacionet e përpunimit të të dhënave të kompanive në muajt dhe vitet e ardhshme.
Ashtu si shumë sektorë të tjerë, industria e sigurimeve ka investuar burime të konsiderueshme për të kuptuar GDPR dhe implikimet e tij dhe për të siguruar që regjimi i ri të zbatohet siç duhet.
Në një kohë kur GDPR është bërë gjithashtu me sukses një standard global, rishikimi i Komisionit duhet të shfrytëzojë këtë mundësi për të trajtuar çështjet e pazgjidhura të interpretimit, për të promovuar mekanizmat ligjorë ekzistues dhe për të forcuar pajtueshmërinë e kompanive.
Le të fillojmë duke parë secilën nga këto pika:
1. Një nga aspektet kryesore që duhet të fokusohet rishikimi i Komisionit është ndikimi i paqëllimshëm i GDPR-së në inovacion. Teknologjitë në zhvillim si blockchain, inteligjenca artificiale etjofrojnë mundësi të mëdha si për siguruesit ashtu edhe për konsumatorët.
Megjithatë, inovacioni mund të minohet, nga njëra anë, nga mungesa e udhëzimeve dhe, nga ana tjetër, nga interpretimi tepër i rreptë i ofruar nga direktivat ekzistuese të propozuara nga Bordi Evropian për Mbrojtjen e të Dhënave (EDPB).
Merrni për shembull blockchain. Ndërsa potenciali i tij për të rritur efikasitetin, besimin dhe transparencën është i njohur gjerësisht, nuk është ende e qartë se si përdorimi i tij mund të pajtohet me të drejtën e GDPR për fshirje dhe të drejtën për korrigjim.
Në mënyrë të ngjashme, për shkak të një interpretimi shumë të ngushtë të ‘domosdoshmërisë’ të proceseve thjesht të automatizuara, udhëzimet EDPB kanë efektin e dekurajimit të siguruesve nga prezantimi i produkteve novatore si sigurimi në kohë reale të ofruar nëpërmjet aplikacioneve të telefonisë celulare.
Kjo çon në pikën e dytë. Roli i EDPB dhe udhëzimet e tij.
Ndërsa udhëzimi i EDPB-së është një mjet i dobishëm zbatimi dhe pajtueshmërie, ka disa fusha, të tilla si transferimet ndërkombëtare të të dhënave dhe e drejta për të hyrë në të dhëna, ku EDPB nuk zbaton në mënyrë të vazhdueshme qasjen e bazuar në rrezik dhe parimet e proporcionalitetit të parashikuara në GDPR.
Për shembull, udhëzimet për të Drejtën për Akses sugjerojnë që, pas një kërkese të shprehur për akses nga një konsumator, një kompani duhet të kërkojë të dhënat e individit në të gjitha sistemet e saj të IT-së, duke përfshirë sistemet rezervë.
Të kërkosh nga auditori që të kërkojë sisteme rezervë, të cilat mund të mos jenë lehtësisht ose lehtësisht të arritshme, është një përpjekje joproporcionale. Të dhënat rezervë janë të dhëna personale të ruajtura vetëm për rikuperimin e të dhënave në rast të humbjes së të dhënave dhe për këtë arsye nuk duhet të përfshihen në fushën e së drejtës së aksesit.
EDPB duhet t’i japë përparësi udhëzimeve praktike për të përmirësuar harmonizimin dhe për të zvogëluar barrën e pajtueshmërisë sa herë që e lejon teksti i GDPR.
Rritja e dialogut me palët e jashtme të interesit do t’i mundësojë EDPB-së të mësojë më shumë rreth çështjeve në zhvillim dhe të zhvillojë udhëzime përkatëse që përputhen më mirë me realitetet praktike me të cilat përballen bizneset, duke promovuar përfundimisht pajtueshmërinë më të fortë dhe më efektive të mbrojtjes së të dhënave.
Së fundmi, një fushë tjetër kritike për vlerësim duhet të jetë mekanizmi i GDPR për transferimet ndërkombëtare të të dhënave.
Sigurimi i rrjedhës së pandërprerë të të dhënave ndërmjet shteteve anëtare të BE-së dhe vendeve të treta është jetike për bizneset evropiane. Këtu, Komisioni duhet të marrë hapa për të siguruar që kompanitë të mund të përdorin plotësisht të gjitha mjetet për transfertat ndërkombëtare të parashikuara në GDPR. Në këtë fazë, përdorimi i mjeteve ekzistuese si Kodet e Sjelljes dhe Rregullat Detyruese të Korporatës janë kufizuar për shkak të kërkesave të larta të vendosura nga EDPB dhe proceseve të gjata dhe komplekse të miratimit. Komisioni duhet gjithashtu të përshpejtojë punën e tij në zhvillimin e vendimeve të reja të përshtatshmërisë. Këto janë mjetet më të përshtatshme për transferimin e të dhënave në nivel ndërkombëtar, pasi ato ofrojnë garancitë më të përshtatshme për kompanitë dhe konsumatorët. Megjithatë, lista aktuale e vendeve të mbuluara nga një “vendim i përshtatshmërisë” është ende mjaft e kufizuar në një mjedis në të cilin shkëmbimi global i të dhënave po rritet çdo ditë.
Në përgjithësi, ka ende nevojë për punë. Prandaj, vlerësimi i ardhshëm është një mundësi e artë për të siguruar që teksti përmbush plotësisht objektivat e tij të synuara, duke përfshirë udhëzimin e bizneseve për të konkurruar me përgjegjësi në mjedisin dixhital.
Industria ka nevojë për një rishikim të fokusuar të GDPR që trajton sfidat e jashtëzakonshme të interpretimit, e bën më të lehtë pajtueshmërinë për kompanitë dhe forcon tregun e vetëm të Evropës. Ai duhet të promovojë udhëzime praktike nga EDPB, të sigurojë transferime ndërkombëtare të të dhënave dhe përdorimin e plotë të të gjithë mekanizmave GDPR.
E gjithë kjo do të hapë rrugën për rishikimin e ardhshëm në vitin 2028, kur ndikimi i legjislacionit të strategjisë së të dhënave të miratuar së fundmi mund të vlerësohet më mirë dhe të mund të kryhet një vlerësim më gjithëpërfshirës i rregullores dixhitale të BE-së.
