Una delle opzioni per il trattamento del rischio è quella del suo trasferimento in tutto o in parte ad un altro soggetto, come ad esempio le assicurazioni o i responsabili del trattamento.
Trasferire un rischio equivale, al pari di altre misure, al trattamento del rischio, come lo sono la rimozione della fonte che lo genera, la riduzione della probabilità o della gravità; il trasferimento è una forma di trattamento del rischio che implica la presenza di una terza parte disposto ad accettarlo.
Tale terza parte può essere: un fornitore – nel ruolo di responsabile se tratta dati personali, un contitolare del trattamento, un’assicurazione.
Il trasferimento del rischio non garantisce che l’organizzazione non abbia a patire conseguenze, sia pure indirette.
Ad esempio un furto di dati, anche se risarcito dall’assicurazione o se avvenuto presso un fornitore, impegnato contrattualmente a risarcire i danni, può impattare sull’immagine dell’organizzazione stessa.
Può infatti intaccarne la reputazione, facendo quindi perdere clienti o potenziali clienti o ancora causarne una perdita di attrattività nei confronti dei potenziali collaboratori, che potrebbero scegliere organizzazioni più o “apparentemente più” strutturate.
Ancora, se da un lato un’assicurazione può risarcire in tutto o in parte una richiesta di danni proveniente da un interessato o da un ente di rappresentanza dell’interessato (come previsto dall’art. 80 “Rappresentanza degli interessati”), essa non potrà mai contribuire, in alcun modo, a ridurre la portata di tale evento in termini di richiesta di ispezione da parte degli organismi deputati al controllo, o anche eventuali sanzioni di tipo penale.
In altri termini il trasferimento del rischio è un’operazione di trattamento, ma presenta luci ed ombre; quindi sarebbe più corretto utilizzare il temine “condivisione del rischio” ed essere consapevoli che il rischio non può mai essere completamente trasferito ad una terza parte, ma solo condiviso.
La condivisione del rischio è citata anche dalla UNI ISO 31000:2018 “Gestione del rischio – Linee guida” nel paragrafo 6.5.2 “Scelta delle opzioni di trattamento del rischio” quando individua tra le opzioni possibili anche“…condividere il rischio (ad esempi tramite contratti; stipulando una assicurazione)…”.
Ovviamente chi accetta di condividere il rischio deve anche accettare che si presenti l’evento o gli eventi che comportano una condizione di vulnerabilità, ma lo fa solo per una parte delle eventuali conseguenze.
Per alcune situazioni, tale accettazione si concretizza solo dopo che siano state mese in atto tutte le misure preventive ragionevolmente applicabili.
Ad esempio, un ospedale non può limitarsi a trasferire ad un’assicurazione il rischio dell’incendio dei server che contengono le terapie da somministrare ai pazienti.
Deve definire, applicare e testare, ad intervalli, un piano di business continuity ed anche assicurarsi contro il rischio incendio.
Una delle modalità, forse la più comune, per la condivisione del rischio, è quella di sottoscrivere una polizza assicurativa che, ipotizzando alcuni scenari, permetta, a fronte di un premio versato, che una parte del rischio sia trasferito alla compagnia assicurativa.
Anche tale soluzione, però, presenta delle problematiche che devono essere conosciute, in modo tale che la scelta effettuata si basi su di una ampia consapevolezza.
Gli scenari di rischio vanno rivisti ad intervalli e devono tener conto di eventuali modifiche che possono alterare le condizioni di base:
- se si è assicurata contro il rischio incendio anche la sala server e si decide successivamente di migrare i dati sul cloud, bisognerebbe rivedere la polizza; è peraltro vero anche il contrario;
- se il premio comprende anche eventi che possono verificarsi durante lavorazioni/servizi effettuati nel corso del turno notturno, e l’organizzazione, da parecchio tempo, a causa di una riduzione dei volumi, ha eliminato tale turno, la polizza va rivista; anche in questo caso, ovviamente, vale anche lo scenario opposto.
Altri rischi possono riguardare un rilevante cambio di contesto:
- ad esempio: un’azienda produttrice di pannelli di legno ha ottenuto il CPI (certificato prevenzione incendi) a fronte di un determinato carico di incendio (ad esempio dovuto alla presenza di ingenti quantità di legname, colle e solventi nei magazzini); se nel tempo aumenta la quantità di prodotti infiammabili, superando quella autorizzata dal CPI, in caso di un incendio l’assicurazione potrebbe non riconoscere il danno.
Ancora, potrebbe emergere che dei rischi non sono stai contemplati dalla polizza, come il rischio allagamento originato da eventi naturali (inondazioni), mentre è contemplato quello originato da rotture di tubazioni; o ancora è escluso il riconoscimento degli eventi causati da terremoto o un evento innescato da altre aziende e i cui effetti si propagano sull’organizzazione, come un incendio incontenibile scoppiato in una azienda confinante, durante il fine settimana, senza possibilità di intervento rapido della squadra di emergenza interna e che si estenda anche al perimetro interessato dalla tutela assicurativa.
Infine, il valore di copertura della polizza assicurativa, e quindi del premio, deve essere congruente con il bene/l’informazione/il dato personale che deve essere tutelato.
L’introduzione di una misura di trattamento di dati personali quasi inevitabilmente introduce altre problematiche, come ad esempio nuovi rischi che possono essere dovuti al fallimento dell’assicurazione o al mancato rinnovo della polizza, per disguidi interni all’organizzazione.
Nel caso in cui il rischio sia condiviso con i fornitori, tale aspetto deve essere definito anche contrattualmente ed essere chiarito nel modo più esaustivo possibile.
Se si richiede che il fornitore sia in possesso di una polizza assicurativa, esso deve mettere in atto le misure o parte delle misure definite al paragrafo precedente.
In fase di qualifica o di sottoscrizione del contratto potrà essere richiesta evidenza della copia delle polizze e la esibizione delle stesse ad intervalli. L’accesso a tali documenti ed una verifica dei locali, delle aree e delle attrezzature nel perimetro assicurato può essere svolto in fase di audit.
Tali aspetti possono essere documentati nell’atto di designazione di responsabili, come previsto dall’Art. 28 del GDPR.
Per i contitolari valgono le stesse misure previste per i fornitori, nella misura in cui l’accordo di contitolarità vincola i partner all’applicazione delle misure predefinite. In questo caso le responsabilità possono essere suddivise tra i vari soggetti, ed ognuno potrebbe avere in carico misure specifiche da monitorare. Anche in tale circostanza, come del resto per i fornitori, è importante definire anche le penalità nel caso in cui uno dei contitolari non rispettasse le misure definite.
Il Data Protection Officer deve essere informato; nel caso non lo sia, deve chiedere, nell’ambito dei flussi, quali misure sono state poste in essere per condividere il rischio, e prendere visione delle polizze assicurative e dei contratti con i responsabili e con i contitolari; inoltre deve verificare tali documenti anche in sede di audit. Sottovalutare tali aspetti potrebbe porre il DPO in una posizione di debolezza.
Noi di Compet-e abbiamo sviluppato la suite GRC CORA, tra i vari moduli c’è CORA GDPR, pensato per guidare le aziende all’adeguamento al Regolamento per la protezione dei dati.
Mantieni il registro, genera informative personalizzate e invia le designazioni a tutti i soggetti.