Nuovo regolamento privacy (GDPR): cos’è e cosa cambia per le aziende?

Ne sentiamo parlare ormai da diverse settimane sui media, sui social e negli ambienti professionali in modo tamburellante; alcuni si spingono a dipingere scenari foschi per le imprese che devono aggiornarsi ed adeguarsi alle nuove regole.

Ok, ma quali sono le novità introdotte e che risvolti pratici possono comportare nell’operatività, nella gestione dei rischi e nell’aggiornamento delle coperture assicurative aziendali?

Il GDPR (acronimo di General Data Protection Regulation) è un Regolamento europeo che diverrà operativo dal 25 maggio 2018 e che regola le modalità con cui le aziende raccolgono, elaborano, trattano e/o archiviano i dati personali di qualsiasi cittadino residente nell’Unione europea. Il nostro codice privacy nazionale (196/2003) non verrà abrogato in toto ma resterà in vigore affiancandosi per quanto non disposto dal nuovo regolamento e verrà pertanto derogato solamente nelle parti ove il GDPR disporrà diversamente.

 

IL TEMA DELLA CYBER SECURITY

Secondo l’ultima edizione del “Global risks report 2018” del “World economic forum” i devices connessi nel mondo nel 2017 hanno superato in numero gli abitanti dell’intero pianeta (8,4 miliardi su 7,6 miliardi di persone). Con l’avvento e lo sviluppo dell’Iot (Internet of things) anche in ambito industriale la stima per il 2020 è di 20,4 miliardi di dispositivi che ogni giorno comunicheranno scambiando dati. Un’opportunità certamente spettacolare, ma anche nuovi rischi che minano gli obbiettivi di aziende e professionisti. Il cyber risk è infatti salito al 2° posto nella graduatoria mondiale dei rischi maggiormente percepiti dalle imprese.

In questo scenario e con questa “superficie di attacco” globale, per un malintenzionato non ha più senso tentare rapine o furti; è molto più semplice sedersi ad un pc e scaricare dal dark web applicazioni malevoli pronte all’uso. Il report “2017 Cost of Data Breach Study” curato da Ponemon Institute prevede infatti che le aziende di tutto il mondo hanno una probabilità del 27,7% di subire una violazione materiale dei dati nei prossimi due anni.

Gli hackers traggono quindi profitto sottraendo dati personali da rivendere o per estorcere un riscatto pena la non restituzione. Possono utilizzare dati finanziari sottratti per penetrare nei conti bancari, effettuare acquisti con carte di credito sottratte e così via. In alternativa, possono utilizzare i dati per commettere altri crimini, ad esempio consolidando informazioni personali e sanitarie per creare profili di pazienti da utilizzare ad esempio in schemi di frode assicurativa. Le possibilità sono sconfinate.

 

COSA CAMBIA CON IL GDPR

Qualsiasi azienda che opera nell’Unione europea, o che altrimenti tratta informazioni a carattere personale dei residenti dell’Unione europea, è soggetta a una serie di conseguenze se non garantisce la conformità con il Regolamento generale sulla protezione dei dati (GDPR) di imminente attuazione.

Il GDPR definisce i “dati personali” come informazioni su un individuo che potrebbero essere utilizzate per identificarlo direttamente o indirettamente. Possono includere informazioni quali nome e cognome, foto o dati biometrici per l’accesso a informazioni finanziarie quali conti correnti bancari. Anche i dati di contatto, ad esempio gli indirizzi email, sono considerati dati personali, così come i post pubblicati sui social media e gli indirizzi IP dei computer o i file di cookie. Ulteriori dati personali “particolari” possono essere informazioni cliniche e genetiche, opinioni politiche, orientamento sessuale e informazioni di tipo razziale o etniche.

Le novità principali introdotte riguardano:

  • Diritto all’oblio e diritto di limitazione del trattamento: l’interessato ha il diritto di richiedere la cancellazione dei propri dati o la limitazione nell’utilizzo.
  • Registro delle attività del trattamento
  • DPO (Data protection officer): figura obbligatoria per aziende >250 addetti
  • Diritto di portabilità: l’interessato deve essere messo nelle condizioni di trasferire la totalità dei propri dati, senza costi a suo carico
  • Privacy by default e by desing: l’impostazione organizzativa e le policy aziendali devono essere progettate dalla base secondo uno schema adeguato al rispetto della nuova normativa.
  • Obbligo di notifica: In caso di violazione dei dati l’azienda deve segnalare l’evento all’autorità competente entro 72 ore descrivendo:
  • la natura della violazione, inclusi il numero di soggetti interessati e il numero di record di dati personali;
  • le probabili conseguenze della violazione;
  • le misure adottate o proposte per attenuare eventuali conseguenze negative dovute alla violazione.

La modifica più importante riguarda però un cambio generale di approccio: mentre il codice privacy dà di fatto un elenco specifico di attività da svolgere per poter ritenersi adeguati, il GDPR vuole porre sulla singola azienda la responsabilità di dotarsi di misura idonee a garantire la sicurezza dei propri dati (principio di accountability). Sarà quindi necessaria un’attività di valutazione dei rischi per intraprendere gli interventi e strutturare i regolamenti interni ove necessario.

Ultimo, ma non ultimo come importanza, lo schema sanzionatorio è tarato in funzione di percentuali di fatturato (fino a 20 milioni o 4% del fatturato), senza contare che a queste sanzioni potrebbero sommarsi le richieste di risarcimento dei terzi danneggiati dalla perdita o dall’errato trattamento dei propri dati.

ASSICURAZIONI E CYBER RISK

Entriamo quindi a piè pari in tema di coperture assicurative. Come visto la nuova regolamentazione sulla sicurezza dei dati si lega in modo forte alla gestione del rischio informatico, essendo i processi e l’operatività delle aziende oramai completamente digitalizzata e web-based.

Nella tabella riportiamo, per i vari eventi, la polizza adatta a trasferire il rischio ad un assicuratore.

 

Evento

 

Causa

   

Impresa

 

Professionista

 

Data breach e fermo attività Attacco informatico esterno Soluzioni assicurative Polizza cyber risk Polizza cyber risk
Errore umano “interno” Polizza cyber risk  (Attenzione: garanzia non sempre prestata) Polizza cyber risk  (Attenzione: garanzia non sempre prestata)
Fornitore terzo Polizza cyber risk con specifica estensione Polizza cyber risk con specifica estensione
Richiesta di risarcimento da terzi Diffusione di dati particolari a seguito di attacco informatico Polizza cyber risk Polizza Responsabilità civile professionale
Diffusione di dati particolari non dovuto ad attacco o errore informatico Polizza cyber risk Polizza Responsabilità civile professionale
Controversia con Garante Privacy Polizza tutela legale Polizza tutela legale

ATTENZIONE ALLA VALUTAZIONE DEL RISCHIO!

Perché non è consigliabile stipulare una polizza assicurativa senza effettuare un’analisi adeguata dei rischi?

L’assicuratore vincola l’effettiva operatività della copertura a diversi parametri che devono essere rispettati (ad esempio: firewall, antivirus, impostazione delle reti, policy di sicurezza, ecc..) e non è sufficiente un questionario per garantire che la polizza funzioni quando deve. Attraverso un’assessment legale e tecnico sarà invece possibile stilare le priorità di intervento sui rischi più importanti emersi dalla valutazione, per adeguarsi al GDPR e nel contempo fornire i dati utili all’assicuratore per ricevere una proposta CONCRETA ed EFFICACE.

Nella tua azienda o nel tuo studio vi state chiedendo cosa sia meglio fare? Posso esserti utile. Lascia ora i tuoi dati nel form e conosciamoci, potrai approfondire ciò che ti interessa e apprezzare tutte le opportunità a voi riservate.

SCOPRI ORA COME CREARE LA TUA SOLUZIONE SU MISURA

The following two tabs change content below.

Nicola Massagrande

Socio Methis e intermediario assicurativo dal 2004. Diplomato Cineas - Master in risk management nel 2015 e all'Università degli studi di Verona - Corso di perfezionamento in risk management. Coordino l'attività e lo sviluppo dell'area commerciale. Passione, preparazione ed efficienza le parole chiave del futuro! La chitarra il mio hobby scaccia pensieri.
Share