Polizze cyber e GDPR: la tua azienda e’ protetta?

Polizze cyber e GDPR: la tua azienda e’ protetta?

3 luglio 2018 0 Di Yuri Poletto

 

Perfino le organizzazioni che hanno un’assicurazione cyber potrebbero non avere una copertura ottimale per la varietà di esposizioni ai sensi del GDPR

 

Il GDPR e’ finalmente entrato in vigore, dopo anni di attesa. Mentre le aziende continuano a lavorare per la conformità, molti si stanno rendendo conto che, malgrado i loro sforzi, le probabilità di raggiungere e mantenere per sempre il 100% di conformità sono ridotte a zero.
Come con qualsiasi impegno di conformità di massa, errori e passi falsi legati ai requisiti GDPR sono inevitabili, specialmente in un mondo in cui i volumi di dati, la connettività, la mobilità e i rischi continuano ad aumentare. Data questa realtà, le organizzazioni impattate dal GDPR dovrebbero prendere in considerazione il trasferimento dei rischi associati al GDPR attraverso l’assicurazione.
È fondamentale notare che trovare la copertura più completa per le esposizioni GDPR richiede un’attenta analisi delle opzioni di copertura disponibili. Tale analisi dovrebbe includere una revisione approfondita di quanto previsto dal GDPR, nonché delle pratiche aziendali relative ai dati protetti, le attuali coperture assicurative e la legge che disciplina l’interpretazione di tali polizze. È importante sottolineare inoltre che anche le organizzazioni che attualmente dispongono di un’assicurazione cyber potrebbero non avere una copertura ottimale per l’ampia gamma di esposizioni ai sensi del GDPR.


Ti potrebbe interessare anche: 5 modi per Agenti e Brokers per parlare di cyber insurance alle PMI


Un’analisi della copertura assicurativa per i rischi di GDPR di un’azienda dovrebbe essere completa e includere i seguenti aspetti:

Responsabilità per la violazione dei dati personali: il GDPR definisce una violazione dei dati personali personale come “una violazione della sicurezza che porta ad una accidentale o illecita distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai dati personali”. Pertanto, in base al GDPR, ci sono tre diversi tipi di violazioni dei dati personali: una violazione della riservatezza, che implica la divulgazione di dati personali; una violazione della disponibilità, in cui i dati personali non sono accessibili o vengono distrutti; e una violazione dell’integrità, in cui i dati personali vengono modificati.
La maggior parte delle polizze assicurative cyber forniscono una copertura eccellente per la violazione dei dati riservati. Molti assicuratori hanno un team di professionisti specializzati in breach response pronti ad assistere un assicurato in caso di incidente.
Può essere fornita anche la copertura per le azioni intraprese dal regolatore, le multe, i danni alla reputazione e l’interruzione dell’attività.
Le aziende dovranno inoltre esaminare attentamente le polizze cyber esistenti per determinare se la copertura è limitata alle situazioni di violazione della riservatezza. Anche se la copertura dellla disponibilità e delle violazioni dell’integrità potrebbe essere più difficile da trovare, gli assicurati dovrebbero fare il possibile per cercare opzioni di copertura più ampie che ricomprendano anche queste due fattispecie.

Responsabilità per il trattamento dei dati personali: sebbene sia posta molta enfasi sui rischi connessi alle violazioni dei dati, il GDPR impone di prestare molta attenzione anche alle pratiche aziendali relative alla raccolta, archiviazione e utilizzo di informazioni protette, nonché dall’adeguatezza delle policy, avvisi e consensi al trattamento dei dati.
Le aziende non dovrebbero presumere che le loro polizze cyber risponderanno automaticamente a queste esposizioni; la copertura di una polizza cyber spesso e’ infatti subordinata alla presenza di una violazione dei dati riservati. L’analisi della copertura per queste esposizioni aggiuntive derivanti dal GDPR dovrebbe quindi includere una revisione molto attenta delle condizioni di assicurazione della polizza cyber e delle sue definizioni ed esclusioni.

GDPR ammende e sanzioni: praticamente ogni discussione sul GDPR sottolinea le massicce multe che possono essere imposte ai sensi dell’articolo 83. A seconda della violazione in questione, il GDPR prevede multe fino a 20.000.000 di euro o il 4% del fatturato totale annuo mondiale dell’esercizio finanziario precedente.
La copertura assicurativa per multe e ammende GDPR richiede un’analisi completa e ponderata. La risposta alla domanda di copertura accenderà una serie di interrogativi, tra cui:
Che cosa dice la polizza in merito alla copertura delle sanzioni e multe relative a una violazione, una divulgazione e pratiche di utilizzo dei dati in assenza di una violazione o di una divulgazione? Se c’è una violazione intenzionale del GDPR, l’intento di chi commette la violazione sarà imputato all’organizzazione e potenzialmente innescare cosi’ un’esclusione? Ai fini della copertura assicurativa, può essere rilevante che l’articolo 83 rilevi che qualsiasi sanzione dovrebbe essere “efficace, proporzionata e dissuasiva”. Importa se l’assicurato è direttamente o indirettamente responsabile dell’incidente?

Esposizione D & O: è prevedibile che, in caso di danno cyber liability la parte querelante cercherà di ritenere la leadership aziendale responsabile dei danni derivanti da presunte omissioni nel fornire adeguata supervisione in relazione alla conformità GDPR.
Le aziende dovrebbero ricordare di valutare i limiti di copertura e di responsabilità previsti dalle loro polizze D&O in relazione a questa nuova esposizione.

 

A mano a mano che le aziende verranno a conoscenza del GDPR, possiamo aspettarci che le polizze assicurative si evolvano per fornire agli assicurati soluzioni di trasferimento del rischio più trasparenti e complete. Nel frattempo, le aziende dovrebbero essere consapevoli che gli assicuratori sono spesso aperti a negoziare termini di copertura per soddisfare meglio le esigenze dei singoli assicurati. Gli assicurati dovrebbero valutare attentamente le loro potenziali esposizioni ai sensi del GDPR e impiegare il tempo necessario per negoziare con gli assicuratori per trovare la copertura che meglio risponde ai loro bisogni.


Iscriviti alla nostra newsletter

Condividi il post