Che fortuna, ho la polizza per il G.D.P.R.!
Nel corso degli ultimi mesi la corsa alla comprensione (prima) e all’adeguamento (poi, e forse) riguardo al nuovo regolamento europeo sulla protezione dei dati ha “scatenato” sul mercato una moltitudine di esperti e pseudo tali, pronti al consiglio risolutore.
Il settore assicurativo è rimasto a guardare? Certamente no.
Vero è che la confusione degli imprenditori sulla possibilità o meno di assicurare i rischi connessi alla nuova normativa è cresciuta, sospinta dalla contigua acerbità del mercato assicurativo e dalla mancanza di riferimenti certi da parte degli operatori.
Proviamo a far chiarezza in merito:
Punto 1. La parola “privacy” è da ritenersi fuorviante; il termine non ha una traduzione in italiano ma soprattutto non è mai richiamata nel testo del Regolamento UE n. 2016/679. Quello che la novella normativa intende tutelare sono i DATI. Ergo, la frase “la mia azienda non ha problemi di privacy” possiamo definitivamente ritenerla superata.
Punto 2. Chiarito che OGNI azienda: possiede, utilizza, gestisce, scambia, produce o analizza dati (almeno una di queste attività), il processo da utilizzare per definire una politica di gestione del rischio scaturisce dalla disciplina del risk management (o più precisamente dallo standard ISO31000). I passaggi per la corretta gestione dei rischi sono:
|
|
DOMANDE PER AUTOVALUTAZIONE | ESEMPI |
| IDENTIFICAZIONE | A quali rischi è soggetta la mia azienda in ambito informatico/IT? | Rischio di attacco esterno, utilizzo di device usb, utilizzo di servizi cloud, fattore umano, phishing e social engineering, richiesta danni per diffusione di dati sensibili. |
| VALUTAZIONE | In virtù della specifica attività svolta, dai sistemi IT che possiedo e dalla qualità dei dati trattati quali sono i rischi prioritari? | Trattamento di dati sensibili, profilazione dati, dati biometrici o sanitari, gestione delle comunicazioni in caso di data breach. |
| TRATTAMENTO | Eliminazione: posso eliminare del tutto qualche rischio? | Un’attività è ritenuta troppo rischiosa e si decide quindi di farla svolgere a terzi (outsourcing) o di non svolgerla più. |
| Prevenzione e protezione: posso compiere azioni che riducano la frequenza o la magnitudo potenziale dei rischi? | Valutazione dei sistemi IT, test di vulnerabilità, Supporto legale per definire procedure adeguate, formazione del personale | |
| Trasferimento: posso trasferire ad un assicuratore alcuni rischi? | Polizza assicurativa | |
| RITENZIONE | Quali rischi devo sostenere in proprio? | Le sanzioni inflitte dall’autority non sono assicurabili per la legge italiana. |
Punto 3. Ora abbiamo uno schema per poter ragionare. Nei passaggi inerenti l’identificazione e la valutazione dei rischi un professionista può far comodo, ma l’unico soggetto che conosce davvero la propria azienda è l’imprenditore.
Nella fase del trattamento affiancarsi a professionisti è la soluzione ideale in quanto questo passaggio richiede approfondimenti e valutazioni troppo specifiche nelle tre aree ove in questo caso si identifica:
- Security IT: valutazione degli assets e della rete IT, test di vulnerabilità da tenere agli atti, antivirus firewall e sistemi di detection e altre mille soluzioni disponibili ad oggi sul mercato.
- Legal: registro dei trattamenti, nomine a responsabili o sub-responsabili del trattamento, procedure idonee ed operative per la comunicazione con l’autority in caso di data breach.
- Insurance: polizza assicurativa efficiente e in grado di trasferire i rischi prioritari attraverso la comunicazione delle azioni intraprese nella prevenzione e nella protezione (vedi sopra).
Punto 4. E finalmente sveliamo il segreto: NON ESISTE la polizza per il G.D.P.R.!; questo perché la copertura assicurativa, che in precedenza veniva concessa per le richieste di risarcimento connesse all’utilizzo dei dati personali (ex 196/03) principalmente ai professionisti, viene ora a fondersi con il concetto di security IT. Tutto ciò modifica sostanzialmente le carte in tavola, aprendo spazi nuovi per il mercato assicurativo che però dovrà ora collegare indissolubilmente i due aspetti (IT e trattamento dati).
Per le caratteristiche delle polizze oggi disponibili sul mercato vi rimando all’articolo specifico sul RISCHIO INFORMATICO
