RUBRICA accordo Colap Aon e Praesidium SPA
19 Marzo 2018Il nuovo regolamento per la protezione dei dati personali – nuovi rischi – opportunità assicurative
Il 25 Maggio 2018 entra in vigore il regolamento UE 2016/679 General Data Protection Regulation (cosiddetto GDPR) che sostituisce la precedente Direttiva Europea 95/46/CE e abroga nelle parti incompatibili il dlgs.196/03 «Codice in materia di Protezione dei Dati Personali» (Codice Privacy attualmente in vigore in Italia). Il regolamento ha lo scopo di rafforzare e rendere omogenea la protezione dei dati personali dei cittadini e dei residenti dell’UE.
Sono tenute a rispettare questa nuova normativa tutte le società, aziende imprese ed enti con sede legale nell’Unione Europea o fuori dall’Unione Europea qualora trattino Dati Personali [1]riguardanti persone fisiche dell’Unione Europea.
Il nuovo Regolamento Europeo impone infatti ai soggetti interessati di porre massima attenzione ai processi volti a garantire la sicurezza dei dati personali di cui siano in possesso nel normale esercizio della propria professione/attività e all’opportunità di tutelarsi da possibili attacchi cibernetici ai sistemi che possano comportare la perdita o la violazione dei dati stessi.
Rispetto alla precedente normativa (Codice Privacy) al fianco delle figure del “Titolare “ (colui che determina finalità e mezzi del trattamento) e del “Responsabile del trattamento” ( colui che tratta i dati per conto del titolare), si identifica il “Responsabile per la protezione dei dati (DPO)” (una figura con particolari competenze tecniche che effettua un costante e regolare monitoraggio del rispetto del regolamento). Questa nuova figura professionale è chiamata a mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio che garantiscono che chiunque acceda ai dati lo faccia nel rispetto dei propri poteri e dopo idonea istruzione
La nuova normativa si sofferma sul cosiddetto Data Breach (violazione ma non necessariamente sottrazione di dati) imponendo al titolare la notifica all’autorità di controllo senza ingiustificato ritardo e ove possibile entro 72 ore. Se il termine non viene rispettato debbono essere giustificati i motivi del ritardo.
La normativa prevede al riguardo un regime sanzionatorio che si affianca alla potenziale esposizione di richiesta danni da parte degli individui che hanno subito la violazione o sottrazione dei dati in possesso del titolare.
Le soluzioni assicurative: Aon è disponibile alla valutazione di coperture che tutelino il titolare del trattamento e i soggetti responsabili di tutto il processo qualora la violazione dei dati sia dipesa da errori omissioni del titolare stesso ma anche qualora sia dipesa da comportamenti criminosi di terzi (cyber risk) al fine di risarcire i terzi del danno patito ma anche di rifondere il titolare delle spese sostenute a fronte della violazione ai dati subita dall’esterno.
[1]articolo 4 DEL gdpr:«qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere individuata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»). A differenza di quanto accadeva nel D.Lgs 196/2003, il codice sulla privacy non troviamo invece più il riferimento ai dati sensibili che a norma dell’articolo 9 del GDPR, divengono ora categorie particolari di dati personali.