Che cos’è il GDPR e “come tutelarsi” dalla sua introduzione a partire dal 25 Maggio 2018?

Già, perchè a partire da questa data è entrata ufficialmente in vigore la Nuova Normativa sulla Privacy, il GDPR (General Data Protection Regulation) il cui acronimo ha messo tutti sul “chi va là”. Questa Legge sostituisce il precedente decreto legislativo n. 196 del 2003 poi aggiornato nel 2015, ma ne è stata prorogata al 21 agosto 2018 la sua attuazione poiché il Garante della Privacy ha chiesto che vengano prima ridiscussi alcuni punti.

Che qualcosa sarebbe dovuto cambiare in futuro per via di quella che viene definita come “la quarta rivoluzione industriale” lo aveva già anticipato nel dicembre 2017 il Presidente dell’Ania Maria Bianca Farina nel suo discorso alla Camera dei Deputati e nel giro di un anno, così è stato.

Che cos’è il GDPR e cosa cambia con la sua introduzione?

Ora senza entrare troppo nel dettaglio (per mancanza di competenze specifiche) vediamo però in sintesi cosa stabilisce il GDPR:

  • Si introducono regole più chiare su informativa e consenso;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Poste le basi per l’esercizio di nuovi diritti;
  • Stabiliti criteri rigorosi per il trasferimento di Dati sensibili al di fuori dell’Ue;
  • Fissate norme rigorose per i casi di violazione dei dati (data breach).

Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Il principio di “responsabilizzazione” del nuovo regolamento: ecco che cos’è il GDPR e cosa rappresenta per le Aziende

Rispetto al passato c’è sicuramente un altro importante elemento di novità. Viene infatti introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto oltre che facilitare la creazione di nuovi servizi, come “richiesto” dal Mercato Unico Digitale, ha già portato alla nascita di nuove figure professionali definiti DPO che hanno dei compiti ben specifici ma che non tratteremo in questo articolo 😉

Responsabilità e Sanzioni per le Aziende

Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro. Soprattutto sul discorso delle sanzioni introdotte dal GDPR mi voglio soffermare qualche istante e riporto senza modifiche una parte dell’Articolo 83 del GDPR:

[Esistono zone grigie che influenzano il processo decisionale circa la necessità di imporre o meno una misura correttiva e l’autorità potrebbe dover condurre indagini più approfondite per accertare le circostanze del caso e per garantire che tutte le circostanze specifiche di ciascun caso siano state adeguatamente considerate.

Sebbene i fattori attenuanti o aggravanti siano particolarmente utili per adeguare l’importo della sanzione amministrativa pecuniaria alle particolari circostanze del caso, il loro ruolo nella scelta della misura correttiva appropriata non dovrebbe essere sottovalutato. Nei casi in cui la valutazione fondata su altri criteri lascia l’autorità di controllo nel dubbio circa l’appropriatezza di una sanzione amministrativa pecuniaria, come misura correttiva a sé stante oppure in combinazione con altre misure di cui all’articolo 58, le circostanze aggravanti o attenuanti possono aiutare a scegliere le misure appropriate spostando l’ago della bilancia in favore di quella che sembra essere la misura più effettiva, proporzionata e dissuasiva nel caso in questione.]

“Come Tutelarsi” con una Polizza Cyber dalle Sanzioni previste dal GDPR

Che cosa significano queste poche righe? Come si legge in modo chiaro, l’Autorità di Controllo dovrà e potrà decidere se infliggere o meno Sanzioni più o meno pesanti tenendo conto di quale sia stato il grado di “colpa” o “dolo” del Titolare del Trattamento dei Dati.

Proprio in quest’ottica, “potrebbe giocare in favore di colui che ha subito una perdita o un furto di dati”, creando così un Danno a Terzi, quella che viene volgarmente chiamata Polizza Cyber o Assicurazione per la Sicurezza Informatica.

Tale Assicurazione, infatti, come dice la parola stessa è incentrata sulla Sicurezza Informatica ed è collegata al risarcimento eventuale per i Danni verso Terzi, per il recupero o ripristino dei dati sensibili ed anche per l’interruzione dell’attività che può essere conseguente ad un attacco Hacker.

Quello su cui la Polizza Cyber non interviene, nel senso che non la risarcisce, è sulla Sanzione che può essere inflitta al Titolare del Trattamento dei Dati ritenuto responsabile. Ma, come abbiamo letto prima, questa Assicurazione può giocare lo stesso un ruolo fondamentale in 2 modi:

  1. nell’arginare il danno patrimoniale dell’azienda nel dover risarcire tutte le persone terze danneggiate
  2. facendo pendere l’autorità verso misure sanzionatorie più leggere per aver cercato di tutelare eventuali danni a Terzi

Considerazioni Finali e Possibili Soluzioni

Dopo aver letto questo articolo sul GDPR e sul Come Tutelarsi dalle Sanzioni ad esso collegato con una Polizza Cyber spero che tu abbia in mano molte più informazioni utili rispetto a prima. Un altro passaggio sicuramente fondamentale, richiesto peraltro dalla Normativa, deve essere quello di fare una Valutazione del Cyber Risk collegato ad una eventuale perdita, smarrimento o pubblicazione involontaria di Dati Sensibili.

Come abbiamo visto, una Soluzione, seppur parziale, è quella della Stipula di un’Assicurazione per la Sicurezza Informatica (Polizza Cyber) per Danni a Terzi, in modo da “abbassare” o evitare una possibile sanzione da parte dell’Autorità incaricata. Sembrerebbe, così come è stata scritta la Normativa, che la “Buona Volontà” nel cercare di ridurre, prevenire e tutelare le perdite di dati o gli eventuali risarcimenti a Terzi, venga “premiata e ben vista” dall’Autorità in caso di Violazione involontaria.

A tal proposito, esistono Assicurazioni per Tutte le tasche, con coperture base o con coperture personalizzabili ed il tutto dipende da un’unica domanda:

“Qual è il Prezzo/Valore che dai alla Tua Azienda ed al Rischio di incappare in una Sanzione del GDPR, dovendo inoltre Risarcire di Tasca Tua i Terzi danneggiati?” 

Un Saluto ed un Abbraccio dal Tuo Assicuratore senza Sorprese 😉