Il GDPR interessa le assicurazioni e le insurtech sotto un doppio aspetto, di business e di compliance. Come titolare del trattamento dati il GDPR chiede una grande sforzo alle Compagnie, ma d’altro canto il regolamento si sta rivelando un’incredibile spinta sulle polizze cyber risk

Saranno soggetti al GDPR i trattamenti di dati personali effettuati da un titolare o da un responsabile con sede nell’Unione Europea, oltre che i trattamenti di dati personali posti in essere da un titolare o da un responsabile non stabilito nell’Unione, qualora essi riguardino l’offerta di beni o servizi o il monitoraggio di comportamenti di interessati che si trovano nel territorio dell’Unione. Ciò significa che società di brokeraggio assicurativo o Compagnie extra-europee che vendano polizze a cittadini dell’Unione Europea saranno soggette all’applicazione del GDPR.

Le aziende di qualunque dimensione hanno avuto tempo per adeguarsi e per maggio dovranno essere pronte: la compliance rispetto al GDPR sarà stimolata dall’introduzione di pene piuttosto severe, si parla di multe fino a 20 milioni di euro o al 4% del fatturato. Non essere compliant diventa piuttosto costoso, ma non solo: ne va della reputazione dell’azienda, della fiducia del consumatore, fatto che in un’industria come quella assicurativa basata sul ‘trust’ non può essere ignorato.

 

 

LA COMPLIANCE

Le assicurazioni sono una di quelle industrie da sempre basate sulla raccolta di dati, dati che oggi sono nativamente digitali o dematerializzati (quindi resi digitali). Dati personali, spesso sensibili, dati sempre più numerosi grazie all’utilizzo di nuove tecnologie per la raccolta (vedi smartphone o wearable, p.e.) e alla necessità di strutturarli e renderli una leva per stare al passo con il mercato di oggi, che chiede nuovi prodotti, più snelli e personalizzati, polizze on-demand, micropolizze, ecc.

Il problema della tutela dei dati è quindi abbastanza chiaro all’industria assicurativa, ma con l’arrivo del GDPR, cosa cambia per le assicurazioni? E per il mondo delle insurtech?

Cominciamo col dire che il GDPR riguarda aziende di ogni dimensione, non sono state infatti previste esclusioni per settori o per grandezza aziendale dall’applicabilità del Regolamento europeo fatta eccezione per il registro dei trattamenti (art. 30 del GDPR), ciò che rileva è se la società, in qualità di titolare o di responsabile, tratti i dati personali di soggetti interessati che si trovano nell’Unione.

Per cui ogni prescrizione che interessa una grande Compagnia, sarà applicabile anche alla giovane insurtech.

Vi sono diverse novità introdotte da GDPR, prima di tutto l’approccio stesso della disciplina che non è più di carattere prescrittivo, cioè non fissa ciò che deve (o non deve) essere fatto per risultare compliant, ma indica determinati obiettivi da raggiungere a garanzia della tutela dei dati personali, attorno ai quali è stata costruito il regolamento, attraverso una serie di passaggi e disposizioni che guidano l’azienda nel processo di adeguamento.

Il GDPR ha introdotto il concetto di accountability del titolare del trattamento, una responsabilizzazione dello stesso che deve essere in grado di comprovare il rispetto dei principi fissati dall’articolo 5 del GDPR (liceità, correttezza e trasparenza nel trattamento dei dati; limitazione delle finalità di trattamento; minimizzazione ed esattezza dei dati trattati; integrità e riservatezza nonché limitazione della conservazione dei dati trattati) che permeano tutti i relativi adempimenti e obblighi.
In linea con questo approccio, è stato introdotto il concetto di “Privacy by Design e by default” “, ai sensi dell’art. 25 del GDPR, ovvero il rispetto e la considerazione di possibili future implicazioni (lato privacy) durante la progettazione di un nuovo bene/servizio che verrà offerto in futuro sul mercato. Potrebbe, in tal caso, risultare necessaria l’implementazione di tutte le misure tecniche ed organizzative adeguate (quali, ad esempio, la pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente).

Il concetto di ‘Privacy by default‘  significa che i responsabili del trattamento dei dati devono attuare adeguate misure tecniche e organizzative ad assicurare che solo i dati personali necessari per uno scopo specifico vengano trattati.

IL BUSINESS

Come abbiamo sopra descritto, il GDPR introduce disposizione specifiche in materia di sicurezza dei dati e di eventuale perdita o sottrazione degli stessi. Il crescere in tutto il mondo di cyber attacchi diventati oramai una vera emergenza ha portato anche l’Unione europea a utilizzare questa nuova regolamentazione per imporre un cambiamento organizzativo e anche culturale a tutte quelle aziende che hanno a che fare con i dati personali, che grazie ai dati degli utenti fanno business e sono di conseguenza i primi responsabili della sicurezza di tali informazioni.

L’articolo 33 del GDPR – Notifica di una violazione dei dati personali all’autorità di controllo – noto come Data Breach pone l’onere in capo al Titolare del trattamento di comunicare all’Autorità Garante le violazioni di dati personali che si siano verificate (“Data Breach”), presuppone che all’interno dell’azienda siano definite delle procedure al riguardo, che siano idonee a scoprire eventuali violazioni verificatesi, tenendo in considerazione che la stessa deve essere comunicata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare è venuto a conoscenza della suddetta violazione.

Questo obbligo di notificazione, e la pubblicità che ne consegue, mette pertanto a rischio la reputazione di un’azienda e comporta dei costi.

La domanda di ‘polizze cyber risk’ e ‘polizze data breach’, capaci di arginare il danno finanziario e di mettersi ‘al fianco’ dell’impresa per gestire la situazione,  sta già crescendo. L’Insurance Information Institute già nel 2016 pronosticava che i premi per coperture cyber risk avrebbero raggiunto i 7,5 miliardi entro il 2020. Munich Re ha affermato recentemente che il volume dei premi in Europa dovrebbe aumentare da 300 milioni $ nel 2016 a  900 milioni $ nel 2018 – un tasso di crescita del 200% in due anni.

Persino in Italia, dove si è notoriamente lenti nella trasformazione, secondo i più recenti dati dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, riportati da CorCom,  nel 2017 il mercato delle soluzioni di information security in Italia, sulla spinta del GDPR,  ha raggiunto un valore di 1 miliardo di euro, in crescita del 12% rispetto al 2016. Rilevante la crescita del nuovo mercato dell’assicurazione del rischio cyber, embrionale ma con importanti potenzialità di espansione. Oggi esistono svariate possibilità di copertura riguardanti la perdita o la divulgazione di dati personali e sensibili, la compromissione del sistema informativo e la sua interruzione di servizio, che possono tutelare danni causati a terzi o all’azienda stessa. Il 27% delle imprese ha sottoscritto una polizza nel 2017, un numero ancora limitato ma in decisa crescita rispetto al 15% del 2016, mentre persiste un 11% di imprese che non conosce l’esistenza dell’assicurazione dal rischio cyber.

Il GDPR ha messo le aziende di ogni dimensione, anche quelle più restie ad affrontare il tema della sicurezza informatica, la maggior parte delle quali non si sentono toccate dal problema, di fronte alla necessità di gestire i propri processi e la propria digitalizzazione: non adeguarsi al GDPR può essere ancora più costoso, quindi meglio farlo e mettersi al riparoapplicando la normativa e una polizza è a quel punto un passo indolore. Adeguarsi al GDPR, avere una copertura cyber risk dovrebbero essere viste come investimenti, non come costi.

Fonte: InsuranceUP