GDPR e distribuzione assicurativa: ecco le cose da sapere sulle misure di sicurezza

La norma cardine a cui devono fare riferimento i player della distribuzione assicurativa in tema di security è rappresentata dall’art. 32 del GDPR a mente del quale le misure tecniche devono “garantire un livello di sicurezza adeguato al rischio” del trattamento.

Al riguardo, per quanto concerne le responsabilità degli intermediari iscritti nelle sezioni A, B, D del R.U.I., non si può prescindere dal ruolo ricoperto in materia di protezione dei dati:

1. titolare autonomo: sul punto, vengono in rilievo le misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio del trattamento che dovrà adottare il distributore per quanto attiene i propri applicativi e/o sistemi informatici sulla base di una preventiva attività di “risk assessment” della propria struttura;
2. responsabile: in tale veste, l’intermediario deve attenersi alle misure prescritte dall’Impresa nell’atto di designazione a responsabile esterno; si pensi, per esempio, al rispetto delle istruzioni in materia di cyber security impartite dalla Compagnia sull’utilizzo dei sistemi informatici e/o applicativi messi a disposizione per l’emissione delle polizze;
3. contitolare: l’intermediario dovrà fare riferimento alle previsioni contrattuali stipulate con la Compagnia nell’accordo di contitolarità; si consideri, a titolo meramente esemplificativo, le pattuizioni con cui sono definiti i profili di responsabilità della sicurezza dei dati trattati nel perimetro della contitolarità sui sistemi informatici/applicativi IT concessi in uso dall’Impresa all’intermediario per la distribuzione dei prodotti.

Informativa e consenso GDPR: guida pratica per gli intermediari assicurativi

Il presidio dei rischi cyber nel contesto del GDPR

Il GDPR ha introdotto un mutamento di paradigma con il principio di “accountability”: sul punto, occorre fin da subito precisare come con l’entrata in vigore del GDPR, la sicurezza (in particolare, si veda l’art. 32^[1] del Regolamento) non sia più un elenco statico e puntuale di misure da rispettare ma diventa un obiettivo.

In particolare, le misure tecniche e organizzative adottate potranno ritenersi adeguate quando in grado di assicurare un livello di sicurezza coerente con le risultanze di una accurata valutazione ex ante dei rischi che i trattamenti specifici posti in essere comportano per i dati personali^[2].

I rischi devono preliminarmente essere individuati per ogni specifico trattamento, valutati e poi mitigati tramite l’attuazione di misure adeguate.

L’ENISA (“European Union Agency for Network and Information Security”) nell’elaborato “Handbook on Security of Personal Data Processing” ha sottolineato come la valutazione dei rischi si suddivida in quattro step (pag. 10):

1. “Definition of the processing operation and its context.
2. Understanding and evaluation of impact.
3. Definition of possible threats and evaluation of their likelihood (threat occurrence probability).
4. Evaluation of risk (combining threat occurrence probability and impact)”.

A seguito della valutazione del livello di rischio, come evidenziato dall’ENISA, sarà possibile adottare le misure di sicurezza tecniche e organizzative (da un elenco proposto dalla stessa Agenzia per la cybersicurezza) che sono appropriate al livello di rischio.

Best practices di compliance cyber security e indicazioni IVASS

Sul piano squisitamente pratico, in ordine alle misure di sicurezza organizzative assumono rilevanza ai fini dell’accountability dell’intermediario assicurativo, la predisposizione delle procedure e delle policy che l’intermediario è tenuto a porre in essere per garantire la conformità delle attività di trattamento al GDPR e a rendere note e disponibili, in particolare, ai dipendenti e/o ai collaboratori.

Oltre alla nomina per iscritto degli autorizzati/referenti interni/responsabili esterni, per quanto riguarda le procedure, si menzionano, per esempio, la procedura di gestione delle violazioni di dati personali; la procedura di conservazione dei dati personali e di gestione dei diritti dell’interessato.

In ordine alle policy, si richiamano, a titolo esemplificativo, le policy di controllo degli accessi e in materia di videosorveglianza (qualora presente), le policy di utilizzo degli strumenti informatici (“disciplinare interno”), di cyber security e dei social media e le privacy e cookie policy per il sito web “personale” dell’intermediario.

Per quanto concerne le misure di sicurezza tecniche (tecnologiche), a titolo esemplificativo, si pensi al controllo degli accessi, all’autorizzazione, al back-up, al log management e via dicendo.

Relativamente al settore assicurativo e ai profili di cybersecurity, si rileva come l’IVASS abbia fornito utili indicazioni ai fini dell’istituzione di un corretto presidio dei rischi cyber da parte degli intermediari con la Lettera al mercato del 29 dicembre 2017 (“PROT, N° 0235755/17”).

L’Istituto raccomanda che gli intermediari si dotino di specifiche policy sul cyber risk aventi i seguenti requisiti:

1. “siano redatte all’esito di un assessment approfondito dei processi e dei sistemi informatici in uso;
2. individuino le misure idonee ad accrescere la cyber security aziendale;
3. siano condivise con i propri collaboratori e dipendenti;
4. siano sottoposte a revisione con cadenza almeno biennale; in ogni caso, in presenza di modifiche normative o per adeguarsi all’evolversi della tecnologia e ogni qual volta si verifichino “incidenti informatici” che comportino l’inaccessibilità, anche temporanea, ai dati e alle informazioni o la loro perdita anche parziale;
5. abbiano contenuti e livelli di dettaglio commisurati alla complessità dell’attività aziendale e al grado di esposizione al rischio”.

L’IVASS, inoltre, evidenzia l’opportunità che la conformità dell’operatività aziendale alle previsioni contenute nella politica adottata sia verificata, almeno semestralmente ed anche con l’eventuale ricorso a consulenti esterni e ribadisce l’importanza dell’accrescimento delle conoscenze informatiche degli intermediari stessi e dei collaboratori e dipendenti.

“Per quanto riguarda la protezione, al fine di offrire un adeguato livello di resilienza contro gli attacchi informatici”, la Vigilanza raccomanda:

1. “di innalzare la sicurezza dei sistemi utilizzati (configurazione dei sistemi, accessi protetti, ecc.), aumentare la frequenza dei backup dei dati (almeno giornaliera), incrementare i sistemi di monitoraggio e il ricorso ai test antintrusione, prevedere un piano di gestione di eventuali crisi”.
2. “(…) un aggiornamento costante nell’analisi delle vulnerabilità aziendali e nella identificazione di elementi potenzialmente oggetto di attacchi o di tentativi di intrusione”.

Conclusioni

Alla luce di quanto fin qui esposto, si rappresenta che – come recentemente evidenziato dalla Corte di Cassazione (Cass. civ., sez. I, 11/10/2023, n. 28385^[3]) che si è focalizzata sull’obbligo dei “responsabili del dato” di predisporre le misure organizzative idonee a garantire una tutela effettiva dell’interessato, ai fini della corretta definizione di un processo di compliance al GDPR sostanziale e non meramente formale, gli intermediari assicurativi di primo livello devono partire da una attività di “risk assessment” e così approntare il proprio modello organizzativo privacy (“MOP”) in conformità con i principi di “accountability” e “by design” tenuto conto puntualmente del ruolo “data protection” da essi ricoperto (titolare autonomo, responsabile, contitolare) nei rapporti instaurati con le Compagnie assicurative.

NOTE

1. In specie, l’art. 32 del Regolamento (par. 1) prevede che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

   a) la pseudonimizzazione e la cifratura dei dati personali;

   b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

   c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

   d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. ↑

2. Il secondo paragrafo dell’art. 32 precisa che, nel contesto della valutazione attinente all’adeguato livello di sicurezza, sarà necessario tenere conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. ↑

3. In particolare, gli Ermellini hanno ribadito che “i titolari e responsabili del dato devono predisporre le misure tecniche ed organizzative idonee a garantire una tutela effettiva dell’utente e non meramente formale valutando il rischio inerente all’attività di impresa al momento della progettazione del trattamento, che costituisce la misura della loro responsabilità, rapportata alla natura, portata, contesto e finalità del trattamento, nonché alla probabilità e gravità dei rischi per i diritti e le libertà degli utenti”. ↑