DOMANDA
L’assicurazione è in grado di mitigare l’impatto economico di una violazione del Regolamento europeo in materia di protezione dei dati personali (GDPR)?
RISPOSTA
Certamente, ma è bene che essa venga riscontrata in un contesto di sostanziale compliance e gestione del rischio.
ll GDPR ha ampliato la definizione di data breach e di dato personale e quindi anche la platea delle aziende che devono essere compliant e sono costrette alla disclosure.
Ha inoltre delineato un nuovo approccio culturale – risk based – all’acquisizione e gestione dei dati (security by design e by default, analisi d’impatto), esteso la propria validità a tutti i paesi in cui risiedano dati di cittadini europei e strutturato un sistema sanzionatorio flessibile, ma pesante.
La base di rischio per il business si è allargata dunque al rischio reputazionale e sanzionatorio, entrambi collegati a importanti costi emergenti.
In Italia la polizza cyber può coprire le spese legali, i costi di comunicazione imposti dalle Autorità competenti, i costi per la ricostruzione e il monitoraggio della reputazione dell’assicurato e delle persone danneggiate, quelli per il monitoraggio del credito.
Non fa fronte, invece, alle sanzioni che dovessero essere comminate.
Si consiglia dunque di intraprendere tutte le misure per mitigare il rischio di violazione e prevedere copertura economica per una eventuale sanzione. Inoltre, se i dati sensibili di cui si è titolari sono gestiti da un fornitore esterno, occorrerà verificare i contratti che regolano il servizio e sapere se e come questo sia assicurato per la responsabilità a lui attribuibile (polizza di “Responsabilità professionale ICT”) affinché la supply chain sia resiliente ai meccanismi di rivalsa tra le compagnie.
Mandate i vostri quesiti ai nostri esperti
Quesiti cyber insurance: CyR@margas.it
