Dal 25 maggio il GDPR, General Data Protection Regulation, regolamento europeo in materia di protezione dati personali n. 2016/679 entrato in vigore il 24 maggio 2016, è direttamente applicabile in tutti gli Stati membri.
Saranno soggetti al GDPR i trattamenti di dati personali effettuati da un titolare o da un responsabile con sede nell’Unione Europea, oltre che i trattamenti di dati personali posti in essere da un titolare o da un responsabile non stabilito nell’Unione, qualora essi riguardino l’offerta di beni o servizi o il monitoraggio di comportamenti di interessati che si trovano nel territorio dell’Unione. Ciò significa che società di brokeraggio assicurativo o Compagnie extra-europee che vendano polizze a cittadini dell’Unione Europea saranno soggette all’applicazione del GDPR.
Le aziende di qualunque dimensione hanno avuto tempo per adeguarsi e per maggio dovranno essere pronte: la compliance rispetto al GDPR sarà stimolata dall’introduzione di pene piuttosto severe, si parla di multe fino a 20 milioni di euro o al 4% del fatturato. Non essere compliant diventa piuttosto costoso, ma non solo: ne va della reputazione dell’azienda, della fiducia del consumatore, fatto che in un’industria come quella assicurativa basata sul ‘trust’ non può essere ignorato.
LA COMPLIANCE
Le assicurazioni sono una di quelle industrie da sempre basate sulla raccolta di dati, dati che oggi sono nativamente digitali o dematerializzati (quindi resi digitali). Dati personali, spesso sensibili, dati sempre più numerosi grazie all’utilizzo di nuove tecnologie per la raccolta (vedi smartphone o wearable, p.e.) e alla necessità di strutturarli e renderli una leva per stare al passo con il mercato di oggi, che chiede nuovi prodotti, più snelli e personalizzati, polizze on-demand, micropolizze, ecc.
Il problema della tutela dei dati è quindi abbastanza chiaro all’industria assicurativa, ma con l’arrivo del GDPR, cosa cambia per le assicurazioni? E per il mondo delle insurtech?
Cominciamo col dire che il GDPR riguarda aziende di ogni dimensione, non sono state infatti previste esclusioni per settori o per grandezza aziendale dall’applicabilità del Regolamento europeo fatta eccezione per il registro dei trattamenti (art. 30 del GDPR), ciò che rileva è se la società, in qualità di titolare o di responsabile, tratti i dati personali di soggetti interessati che si trovano nell’Unione.
Per cui ogni prescrizione che interessa una grande Compagnia, sarà applicabile anche alla giovane insurtech.
Vi sono diverse novità introdotte da GDPR, prima di tutto l’approccio stesso della disciplina che non è più di carattere prescrittivo, cioè non fissa ciò che deve (o non deve) essere fatto per risultare compliant, ma indica determinati obiettivi da raggiungere a garanzia della tutela dei dati personali, attorno ai quali è stata costruito il regolamento, attraverso una serie di passaggi e disposizioni che guidano l’azienda nel processo di adeguamento.
Il GDPR ha introdotto il concetto di accountability del titolare del trattamento, una responsabilizzazione dello stesso che deve essere in grado di comprovare il rispetto dei principi fissati dall’articolo 5 del GDPR (liceità, correttezza e trasparenza nel trattamento dei dati; limitazione delle finalità di trattamento; minimizzazione ed esattezza dei dati trattati; integrità e riservatezza nonché limitazione della conservazione dei dati trattati) che permeano tutti i relativi adempimenti e obblighi.
In linea con questo approccio, è stato introdotto il concetto di “Privacy by Design e by default” “, ai sensi dell’art. 25 del GDPR, ovvero il rispetto e la considerazione di possibili future implicazioni (lato privacy) durante la progettazione di un nuovo bene/servizio che verrà offerto in futuro sul mercato. Potrebbe, in tal caso, risultare necessaria l’implementazione di tutte le misure tecniche ed organizzative adeguate (quali, ad esempio, la pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente).
Il concetto di ‘Privacy by default‘ significa che i responsabili del trattamento dei dati devono attuare adeguate misure tecniche e organizzative ad assicurare che solo i dati personali necessari per uno scopo specifico vengano trattati.
Altri pilastri del GDPR sono:
Il Registro dei trattamenti – Al fine di censire in maniera dettagliata e completa le operazioni di trattamento effettuate all’interno dell’azienda, dovrà essere predisposto il registro dei trattamenti, documento che dovrà essere redatto sia qualora la società assuma il ruolo di titolare che nel caso la stessa sia un responsabile del trattamento. L’unica ipotesi di esclusione riguarda le imprese con un numero di dipendenti inferiore a 250 (come le startup), a meno che il trattamento da esse effettuato possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (ex art. 9 co. 1 GDPR) o i dati personali relativi a condanne penali e reati (ex art. 10 GDPR).
Esso dovrà essere redatto tenendo conto degli elementi obbligatoriamente previsti dall’art. 30 del GDPR, ma potrà contenere anche elementi ulteriori, quali ad esempio la base giuridica del trattamento o l’indicazione degli applicativi utilizzati. L’elencazione di quest’ultimi, infatti, potrebbe risultare utile per mappare con esattezza le misure di sicurezza implementate/da implementare, oltre che per condurre efficacemente la valutazione dei rischi.
Quindi sebbene la classica startup abbia un numero ridotto di dipendenti e non sia pertanto obbligata al registro del trattamento, la sua predisposizione può tra l’altro costituire non solo un utile strumento organizzativo e di lavoro, ma anche uno strumento utile a garantire il rispetto, all’interno della singola startup, del cosiddetto principio di accountabilty. In base a quest’ultimo, il titolare del trattamento è il soggetto competente a garantire il rispetto dei principi applicabili al trattamento di dati personali e deve al contempo essere in grado di comprovarlo. Dunque, sebbene la tenuta del registro sia obbligatoria esclusivamente per le aziende con un numero di dipendenti superiore a 250, o in alcune ipotesi specificamente previste dalla nuova normativa (di cui sopra), esso potrebbe comunque costituire un efficace supporto di carattere probatorio per il titolare/responsabile del trattamento, nell’ottica del principio appena menzionato.
Il Data Protection Officer – Sarà necessario procedere con la stesura/modifica della documentazione da utilizzare. Ad esempio, le informative andranno aggiornate inserendo gli ulteriori elementi previsti dal Regolamento, mentre altri documenti, quali l’eventuale atto di nomina del Data Protection Officer, dovranno essere redatti ex novo.
La Sicurezza – Definire delle politiche di sicurezza ed effettuare la valutazione dei rischi. Tale fase comprende l’analisi delle misure tecniche ed organizzative da adottare, tenendo conto dell’obbligo imposto in capo al Titolare di garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al GDPR (“accountability”). Rispetto alla normativa precedente non vi è un riferimento alle misure minime di sicurezza (disciplinate all’interno dell’Allegato B del D.lgs. 196/2003, c.d. Codice Privacy), ma dovranno essere, ai sensi del GDPR, delle misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguate al rischio. A titolo meramente esemplificativo, il Regolamento europeo fa riferimento alla pseudonimizzazione e alla cifratura dei dati personali. In tal senso, è utile sottolineare che le misure di sicurezza dovranno essere individuate tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Il Data Breach – L’onere in capo al Titolare del trattamento di comunicare all’Autorità Garante le violazioni di dati personali che si siano verificate (“Data Breach”), presuppone che all’interno dell’azienda siano definite delle procedure al riguardo, che siano idonee a scoprire eventuali violazioni verificatesi, tenendo in considerazione che la stessa deve essere comunicata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare è venuto a conoscenza della suddetta violazione. Da ciò ne consegue di essere in grado anche di generare un’adeguata reportistica che indichi almeno gli elementi minimi previsti dall’art. 33 co. 3 del GDPR.
La Valutazione d’impatto – Non può non essere parte di un efficace processo di adeguamento alla nuova normativa da parte delle startup, anche l’effettuazione della valutazione d’impatto sulla protezione dei dati personali. La stessa andrà compiuta nei casi specificamente previsti dal Regolamento, oltre che nelle ipotesi in cui vengano compiute operazioni di trattamento da considerarsi “rischiose”. Non definendo il GDPR quali trattamenti debbano ritenersi a rischio, sarà onere del Titolare compiere una valutazione caso per caso, tenendo conto anche delle indicazioni di ordine pratico fornite al riguardo dal WP29.
Appare evidente che il GDPR pone un cambio di prospettiva rispetto alla disciplina previgente, non contenendo più meri oneri burocratici, ma imponendo, al contrario, di considerare la data protection come parte integrante di tutti i processi aziendali.
Qui tutto il regolamento in italiano, come pubblicato su Gazzetta ufficiale dell’Unione Europea.
In questo altro documento di DacBeachcroft una guida specifica al GDPR per le assicurazioni.
IL BUSINESS
Come abbiamo sopra descritto, il GDPR introduce disposizione specifiche in materia di sicurezza dei dati e di eventuale perdita o sottrazione degli stessi. Il crescere in tutto il mondo di cyber attacchi diventati oramai una vera emergenza ha portato anche l’Unione europea a utilizzare questa nuova regolamentazione per imporre un cambiamento organizzativo e anche culturale a tutte quelle aziende che hanno a che fare con i dati personali, che grazie ai dati degli utenti fanno business e sono di conseguenza i primi responsabili della sicurezza di tali informazioni.
L’articolo 33 del GDPR – Notifica di una violazione dei dati personali all’autorità di controllo – noto come Data Breach pone l’onere in capo al Titolare del trattamento di comunicare all’Autorità Garante le violazioni di dati personali che si siano verificate (“Data Breach”), presuppone che all’interno dell’azienda siano definite delle procedure al riguardo, che siano idonee a scoprire eventuali violazioni verificatesi, tenendo in considerazione che la stessa deve essere comunicata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare è venuto a conoscenza della suddetta violazione.
Questo obbligo di notificazione, e la pubblicità che ne consegue, mette pertanto a rischio la reputazione di un’azienda e comporta dei costi.
La domanda di ‘polizze cyber risk’ e ‘polizze data breach’, capaci di arginare il danno finanziario e di mettersi ‘al fianco’ dell’impresa per gestire la situazione, sta già crescendo. L’Insurance Information Institute già nel 2016 pronosticava che i premi per coperture cyber risk avrebbero raggiunto i 7,5 miliardi entro il 2020. Munich Re ha affermato recentemente che il volume dei premi in Europa dovrebbe aumentare da 300 milioni $ nel 2016 a 900 milioni $ nel 2018 – un tasso di crescita del 200% in due anni.
Persino in Italia, dove si è notoriamente lenti nella trasformazione, secondo i più recenti dati dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, riportati da CorCom, nel 2017 il mercato delle soluzioni di information security in Italia, sulla spinta del GDPR, ha raggiunto un valore di 1 miliardo di euro, in crescita del 12% rispetto al 2016. Rilevante la crescita del nuovo mercato dell’assicurazione del rischio cyber, embrionale ma con importanti potenzialità di espansione. Oggi esistono svariate possibilità di copertura riguardanti la perdita o la divulgazione di dati personali e sensibili, la compromissione del sistema informativo e la sua interruzione di servizio, che possono tutelare danni causati a terzi o all’azienda stessa. Il 27% delle imprese ha sottoscritto una polizza nel 2017, un numero ancora limitato ma in decisa crescita rispetto al 15% del 2016, mentre persiste un 11% di imprese che non conosce l’esistenza dell’assicurazione dal rischio cyber.
Il GDPR ha messo le aziende di ogni dimensione, anche quelle più restie ad affrontare il tema della sicurezza informatica, la maggior parte delle quali non si sentono toccate dal problema, di fronte alla necessità di gestire i propri processi e la propria digitalizzazione: non adeguarsi al GDPR può essere ancora più costoso, quindi meglio farlo e mettersi al riparoapplicando la normativa e una polizza è a quel punto un passo indolore. Adeguarsi al GDPR, avere una copertura cyber risk dovrebbero essere viste come investimenti, non come costi.
Anche il mondo delle startup può giocare la sua partita e la gioca in particolare sul fronte B2B, vendendo ad imprese e Compagnie tecnologie per lo scoring, l’analisi dei rischi, ecc. Una di queste è la statunitense Cyence, che dopo aver raccolto circa 40 milioni di venture capital è stata acquisita in questi giorni da Guidewire.
Qui 12 startup che stanno trasformando la cyber insurance.
Ma non è tutto. Il GDPR può essere visto dalle Compagnie anche come leva, o meglio come occasione, di fidelizzazione dei clienti.
Secondo Capgemini Italia i consumatori affidano il proprio denaro e i propri dati alle assicurazioni e alle banche con una fiducia basata sull’errata convinzione che gli istituti siano sicuri al 100%. Sebbene le banche si stiano evolvendo per contrastare le sofisticate minacce lanciate dai cybercriminali, la consapevolezza delle minacce e della complessità delle sfide da parte del pubblico rimane limitata. Banche e assicurazioni sono, agli occhi dei più, delle fortezze. Ma non è proprio così.
“Quando il GDPR entrerà in vigore e tutte le violazioni verranno probabilmente rese pubbliche poco dopo essere avvenute, saranno in molti a sorprendersi”, ha commentato Massimo Ippoliti, Data & Cloud Practice Leader di Capgemini Italia. “L’introduzione del regolamento GDPR rappresenta un’eccezionale opportunità per banche e assicurazioni di trasformazione del business per diventare quelle fortezze digitali che i consumatori già credono che siano”.
Lo sforzo richiesto alle assicurazioni dal GDPR sarà ben ripagato: al di là della compliance, sarà una vera e propria leva di business.