Sicurezza dei dati e della reputazione
Dal 25 maggio 2018, l’applicazione del regolamento europeo sulla privacy (2016/679) comporterà l’obbligo di comunicazione delle violazioni sia al Garante sia agli interessati. Un provvedimento che, con l’evoluzione delle tecnologie adottate da compagnie, intermediari e clienti, impone al settore assicurativo l’adozione di misure adeguate per minimizzarne l’impatto
18/11/2016
Gli attacchi informatici sono in forte crescita anche in Italia, e difficilmente possono essere evitati attraverso politiche difensive individuali (si veda l’Italian cyber security report 2015, pubblicato dall’Università La Sapienza di Roma e dal Cyber security national lab). Questo rende le violazioni dei dati eventi né rari, né imprevedibili.
In caso di violazione, avvisare il Garante può permettere di concordare rimedi adeguati e mitigare eventuali sanzioni. Avvisare, inoltre, gli interessati può contribuire a minimizzare i danni (si pensi al blocco delle carte di credito con numeri violati) a vantaggio della responsabilità del titolare stesso. In altri casi, invece, la comunicazione della violazione può compromettere la fiducia di clienti e mercato, oltre a provocare accertamenti forieri di sanzioni monetarie e blocchi dei trattamenti di dati.
Non sempre però la comunicazione è una scelta rimessa alla valutazione interna del rischio. La comunicazione al Garante e ai singoli interessati è già un obbligo per fornitori di servizi telefonici e di accesso a internet. La comunicazione al Garante è inoltre un obbligo per strutture sanitarie, pubbliche amministrazioni e chiunque tratti dati biometrici.
Con l’applicazione, dal 25 maggio 2018, del regolamento europeo sulla privacy (2016/679), l’obbligo di comunicare al Garante violazioni di dati personali sarà generalizzato, e riguarderà tutti i casi nei quali le violazioni comportino un “rischio per i diritti e le libertà delle persone fisiche”. Inoltre, quando il rischio sia “elevato”, sarà obbligatorio informare senza ritardo anche i singoli interessati.
Contrastare le violazioni
Il Garante ha affermato in vari provvedimenti che la natura delle informazioni contenute nelle banche dati assicurative presenta effettivamente questi rischi.
In effetti le banche dati assicurative sono sempre più ampie e profonde (si pensi ai dati di geolocalizzazione e stile di guida provenienti dalle scatole nere e dalle applicazioni software a disposizione degli utenti, così come ai dati di pagamento e a quelli sanitari). Gli strumenti di analisi basati su cluster comportamentali e intelligenza artificiale permettono poi trattamenti mirati e automatizzati.
In definitiva, a eventuali violazioni di dati contenuti in banche dati assicurative è ragionevole che debba seguire una comunicazione quantomeno al Garante e, nei casi più gravi, a tutti gli interessati.
In queste comunicazioni occorrerà indicare, tra l’altro, le misure adottate o pianificate per rimediare alla violazione o attenuarne gli effetti. Inoltre occorrerà mostrare di avere a suo tempo adottato misure idonee a garantire, almeno secondo quanto lo stato della tecnica consentiva, la sicurezza dei dati in questione.
Ebbene, queste misure, se idonee a minimizzare le possibilità d’uso dei dati da parte degli autori delle violazioni (come la cifratura sicura), possono evitare, in base al nuovo regolamento Ue, l’obbligo di comunicare la violazione agli interessati.
Esistono vari disciplinari dedicati alle misure di sicurezza nella gestione del big data, come quelli recenti dell’agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione. Il regolamento Ivass sulle scatole nere, in attesa di adozione, potrebbe fissare alcuni standard.
I progetti legati ai big data nel settore assicurativo possono quindi essere l’occasione per l’adozione di misure che già ora, e ancor più dal 2018, saranno essenziali per la sicurezza dei dati, della reputazione e, in ultima analisi, del valore delle compagnie.
In caso di violazione, avvisare il Garante può permettere di concordare rimedi adeguati e mitigare eventuali sanzioni. Avvisare, inoltre, gli interessati può contribuire a minimizzare i danni (si pensi al blocco delle carte di credito con numeri violati) a vantaggio della responsabilità del titolare stesso. In altri casi, invece, la comunicazione della violazione può compromettere la fiducia di clienti e mercato, oltre a provocare accertamenti forieri di sanzioni monetarie e blocchi dei trattamenti di dati.
Non sempre però la comunicazione è una scelta rimessa alla valutazione interna del rischio. La comunicazione al Garante e ai singoli interessati è già un obbligo per fornitori di servizi telefonici e di accesso a internet. La comunicazione al Garante è inoltre un obbligo per strutture sanitarie, pubbliche amministrazioni e chiunque tratti dati biometrici.
Con l’applicazione, dal 25 maggio 2018, del regolamento europeo sulla privacy (2016/679), l’obbligo di comunicare al Garante violazioni di dati personali sarà generalizzato, e riguarderà tutti i casi nei quali le violazioni comportino un “rischio per i diritti e le libertà delle persone fisiche”. Inoltre, quando il rischio sia “elevato”, sarà obbligatorio informare senza ritardo anche i singoli interessati.
Contrastare le violazioni
Il Garante ha affermato in vari provvedimenti che la natura delle informazioni contenute nelle banche dati assicurative presenta effettivamente questi rischi.
In effetti le banche dati assicurative sono sempre più ampie e profonde (si pensi ai dati di geolocalizzazione e stile di guida provenienti dalle scatole nere e dalle applicazioni software a disposizione degli utenti, così come ai dati di pagamento e a quelli sanitari). Gli strumenti di analisi basati su cluster comportamentali e intelligenza artificiale permettono poi trattamenti mirati e automatizzati.
In definitiva, a eventuali violazioni di dati contenuti in banche dati assicurative è ragionevole che debba seguire una comunicazione quantomeno al Garante e, nei casi più gravi, a tutti gli interessati.
In queste comunicazioni occorrerà indicare, tra l’altro, le misure adottate o pianificate per rimediare alla violazione o attenuarne gli effetti. Inoltre occorrerà mostrare di avere a suo tempo adottato misure idonee a garantire, almeno secondo quanto lo stato della tecnica consentiva, la sicurezza dei dati in questione.
Ebbene, queste misure, se idonee a minimizzare le possibilità d’uso dei dati da parte degli autori delle violazioni (come la cifratura sicura), possono evitare, in base al nuovo regolamento Ue, l’obbligo di comunicare la violazione agli interessati.
Esistono vari disciplinari dedicati alle misure di sicurezza nella gestione del big data, come quelli recenti dell’agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione. Il regolamento Ivass sulle scatole nere, in attesa di adozione, potrebbe fissare alcuni standard.
I progetti legati ai big data nel settore assicurativo possono quindi essere l’occasione per l’adozione di misure che già ora, e ancor più dal 2018, saranno essenziali per la sicurezza dei dati, della reputazione e, in ultima analisi, del valore delle compagnie.
© RIPRODUZIONE RISERVATA