GDPR

Il 28 Maggio 2018 è la data in cui entra in vigore il GDPR.

In queste settimane leggiamo la strana parola “GDPR” ovunque, soprattutto nell’accedere ai nostri profili social.

Di cosa si tratta?

È l’acronimo di General Data Protection Regulation (Reg. UE 2016/679), ovvero il nuovo Regolamento Generale sulla Protezione dei Dati che porterà ad un aggiornamento completo delle regole sul trattamento e la protezione dei nostri Dati Personali.

È ironico che questo passaggio stia avvenendo proprio in concomitanza dello scandalo che ha coinvolto Facebook e Cambridge Analytica.

Scandalo Facebook

Lo scottante oggetto della vicenda è stato l’affidamento dei dati “social” di decine di milioni di utenti per essere analizzati ed utilizzati in maniera strategica in occasione delle campagne elettorali a favore della Brexit e in quella per l’elezione di Donald Trump.

Oltre all’imbarazzo di Zuckerberg (ecco le dichiarazioni), la fuga di clienti e le tantissime cause legali insorte hanno addirittura portato alla chiusura la società di elaborazione dati Cambridge Analytica (ecco la notizia)

QUAL È L’ORIGINE E LO SCOPO DI QUESTO CAMBIAMENTO?

Il GDPR e le nuove prassi che saranno introdotte hanno ovviamente un’origine lontana rispetto a questi recenti fatti ed una finalità molto ampia

È infatti il risultato di un lungo processo di adeguamento pensato e portato avanti dall’Unione Europea e che interesserà tutti gli Stati Membri.

GDPR

In una Economia che si sviluppa oltre i confini fisici ed in cui gli attori interagiscono in uno spazio digitale, l’intenzione del Legislatore è stata fondamentalmente quella di rafforzare la fiducia di noi Consumatori nei confronti del sistema.

A tale scopo l’elemento cardine intorno al quale si articolano le previsioni del GDPR è dare agli utenti il massimo controllo dei propri Dati Personali e del modo in cui gli stessi vengono utilizzati.

La nuova normativa è complessa ed è presuntuoso pensare di semplificarla in poche righe; rimandando qualsiasi approfondimento alla Guida ufficiale all’applicazione del Regolamento dell’Autorità Garante, ripercorriamo i passaggi più importanti.

CHI SONO I SOGGETTI COINVOLTI DALLE NUOVE REGOLE?

DPO

Trattandosi di un Regolamento, il GDPR avrà applicazione diretta in tutti gli Stati Membri, i quali dovranno adeguare la attuali normative di riferimento.

Le nuove norme si sovrapporranno a quelle del vecchio Codice della Privacy (D.lgs 196/2003), a sua volta ispirato ad una Direttiva del 1995 (95/46/CE).

Le nuove regole avranno un impatto concreto su ogni Azienda che gestisce qualsiasi tipo di dato personale; sia quelle con sede nel territorio dell’UE, sia quelle esterne ad essa che trattano dati dei cittadini degli Stati Membri.

Ecco cosa si intende esattamente con trattamento dei Dati Personali.

DIRITTI E DOVERI: QUALI SONO LE NOVITÀ INTRODOTTE DAL GDPR?

La nuova Regolamentazione impone alle Aziende di predisporre una Informativa sul Trattamento dei Dati Personali chiara e comprensibile.

Attraverso di essa, infatti, gli interessati dovranno poter essere in grado di comprendere in modo inequivocabile l’oggetto e le finalità del trattamento dei loro dati, anche qualora si modifichino nel tempo, per poter esprimere sempre un consenso esplicito e consapevole.

GDPR

Alle Aziende è ora imposto l’obbligo di comunicare all’Autorità Garante ogni violazione dei Dati Personali in caso di attacchi informatici, accessi abusivi o altri incidenti; la comunicazione dei “data breach” dovrà avvenire entro 72 ore dalla sua conoscenza.

Oltre alle figure già presenti del Titolare e del Responsabile del trattamento, molte Aziende avranno anche l’obbligo di individuare un Responsabile dei Dati Personali (RDP), con i compiti e le responsabilità che vedremo tra poco.

In ultimo, le Aziende saranno tenute ad avere un piano di risposta puntuale alle richieste degli interessati per l’esercizio dei propri diritti.

Tra questi si aggiunge il diritto all’oblio dei propri dati ed alla loro portabilità.

QUALI SANZIONI RISCHIANO LE AZIENDE CHE NON SI ADEGUANO?

Il cambiamento più rilevante che sarà introdotto dal GDPR è sicuramente quello relativo alle sanzioni.

Sanzioni

L’applicazione delle sanzioni pecuniarie andrà oltre la competenza dei singoli Stati Membri.

La loro entità è stata armonizzata a livello europeo, secondo i criteri della effettività, della proporzionalità e soprattutto della dissuasività.

Rispetto ad un passato in cui le Autorità nazionali non si sono dimostrate abbastanza incisive nel disincentivare i trasgressori, oggi le violazioni più gravi del Regolamento saranno punite con multe fino al 4% del fatturato globale, con il massimo di 20 milioni di Euro.

Con questa impostazione, il Legislatore ha voluto “farsi sentire” commisurando le penalità al gigantesco fatturato dei più grandi attori dell’economia digitale.

Quali implicazioni assicurative ci sono?

L’adeguamento al GDPR e le eventuali sanzioni non costituiscono un rischio assicurabile.

Di per sé il GDPR non è un argomento “assicurativo”, almeno direttamente.

Per quale motivo allora ne stiamo parlando insieme in questo articolo?

Sono due gli aspetti che ci riguardano.

A) LE CONSEGUENZE DI UNA VIOLAZIONE DEI DATI

Cyber Risk

Un’Azienda, pubblica o privata, che si sia dotata di un’organizzazione e di strumenti idonei per adeguarsi al GDPR, è un passo avanti verso la prevenzione di una violazione dei Dati Personali.

Tuttavia esistono eventi prevedibili ma non completamente controllabili che potrebbero comunque scatenarla; le cause sono sia esterne che interne all’Azienda stessa.

NE DERIVANO DIVERSE CONSEGUENZE ECONOMICHE:

  • i costi di ripristino della situazione e di rimozione della crisi;
  • perdita economica causata dalla temporanea mancata operatività;
  • richieste di risarcimento da parte di chi subisce un pregiudizio;
  • pericolo di una crisi di reputazione e perdita di fiducia;
  • costi di istruttoria verso l’Autorità Garante (inevitabili, visto l’obbligo di notifica della violazione);
  • eventuali sanzioni in caso di colpose mancanze organizzative.

Tutti questi aspetti rappresentano rischi assicurabili e possono essere ben gestiti attraverso una soluzione assicurativa Cyber Risk, di cui ti parlo in maniera più approfondita nel link.

B) LA RESPONSABILITÀ DEL DATA PROTECTION OFFICER (DPO)

Come accennato, in capo alle Aziende c’è il nuovo obbligo di individuare un Responsabile dei Dati Personali (RPD), altrimenti definito Data Protection Officier (DPO).

DPO

Questa nuova figura si aggiunge a quelle già previste del Titolare e del Responsabile del Trattamento dei Dati Personali, con cui dovrà interagire nella veste di “supervisore” delle loro attività.

Nel suo vigilare sull’adeguatezza delle attività di analisi dei rischi e sulle misure di sicurezza adottate, dovrà garantire la conformità dell’operato dell’Azienda alle previsioni del GDPR, ponendosi come punto di contatto con l’Autorità Garante.

Ne consegue che su questo nuovo ruolo, svolto da un dipendente interno oppure da un soggetto esterno ed indipendente, grava una importante questione di responsabilità.

Qualora questa mansione fosse svolta da un Professionista esterno, la questione si configurerebbe come RC Professionale.

Se invece il soggetto incaricato fosse un dipendente interno su di lui non potrebbe esserci responsabilità diretta, ma l’Azienda averebbe la facoltà di esercitare rivalsa in seguito a gravi inadempienze relative ai suoi compiti.

A seconda che si tratti di un dipendente Pubblico o Privato, la soluzione sarebbe una polizza Colpa Grave oppure una Directors And Officers (D&O).

IN CONCLUSIONE

Sia la protezione del Patrimonio di una Azienda che della Responsabilità Civile o Colpa Grave di un suo incaricato sono questioni tutt’altro che banali.

Consiglierei a chiunque di affrontarle con la massima attenzione e soprattutto di farlo avvalendosi del supporto di qualcuno che dimostri di essere competente in materia.

Vogliamo parlarne insieme?

Parlarne non costa davvero nulla e ti arricchirai di UTILI INFORMAZIONI.

 


SONO A DISPOSIZIONE,
per questa e per qualsiasi altra esigenza assicurativa.

Chi sono

Alessio Cioeta

Intermediario Assicurativo


Se hai trovato utile questo articolo

CONDIVIDILO,

oppure

lascia la tua opinione in un commento.

TI RINGRAZIO IN ANTICIPO!

 

Se sei direttamente interessato

GDPR: nuovo assetto della Privacy, rischi aziendali e responsabilità

Potrebbe anche interessarti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *