Il DPO di gruppo nelle assicurazioni: ruolo e compiti

Quasi tutti i gruppi finanziari e assicurativi, italiani ed europei, nella fase di adeguamento al GDPR hanno optato per la nomina di un DPO di gruppo.

Considerando che la legge pone come unica condizione per la scelta del DPO di gruppo che questi sia “facilmente raggiungibile da ciascuno stabilimento”, la scelta relativa alla designazione di un DPO di gruppo sembrerebbe puramente strategica e connessa alla preesistente organizzazione aziendale. Nonostante ciò non si deve pervenire ad interpretazioni semplicistiche.

I requisiti per il DPO di gruppo

Leggendo le linee guida del WP29 vengono infatti delineati una serie di requisiti necessari affinché il DPO di gruppo possa adempiere correttamente al proprio ruolo:

• raggiungibilità del DPO e relativa disponibilità dei dati di contatto nei confronti delle Autorità, degli interessati e dei dipendenti dell’intero gruppo;
• strumenti di comunicazione/informativi efficaci; ad esempio, la possibilità di utilizzare unicamente l’e-mail potrebbe non soddisfare totalmente il requisito imposto dalla norma, specialmente se ci si riferisce ad un gruppo internazionale con sede in diversi Paesi UE ed extra-UE;
• eventuale team di collaboratori del DPO, tutti aventi specifiche competenze e requisiti professionali in ambito privacy.

Ogni realtà assicurativa ha dunque dovuto strutturare un’organizzazione al cui vertice inserire la figura del DPO dell’intero gruppo di società.

In particolare, l’architettura prevalente è stata quella di conferire l’incarico ad un DPO (esterno o interno) competente per la holding e per le società controllate aventi sede legale in Italia, secondo un approccio risk-based.

Mentre per le società controllate aventi sede legale in altri paesi dell’Unione si è optato per la nomina di un proprio DPO, ove necessario o ritenuto opportuno, in grado di coordinarsi con il DPO di gruppo sui temi di rilevanza generale.

Pianificare una strategia di gruppo per la protezione dati

Considerando realtà così strutturate, ed i requisiti indicati dal WP29, due degli aspetti più delicati del ruolo di DPO di gruppo, previsti dall’art. 39 GDPR, riguardano:

• informare e fornire consulenza alle società del gruppo, sia in quanto titolari che responsabili, nonché ai dipendenti che eseguono le attività di trattamento, circa gli obblighi derivanti dal GDPR e, in generale, dalle normative nazionali ed europee in materia di privacy;
• sorvegliare l’osservanza del GDPR e delle normative nazionali ed europee in materia di protezione dei dati personali, nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

Evidentemente questo tipo di attività, di consulenza da un lato e sorveglianza dall’altro, non solo possono risultare particolarmente complesse in realtà aziendali come quelle assicurative e bancarie, ma assumono anche una rilevanza strategico-organizzativa non trascurabile.

I vari gruppi assicurativi hanno, dunque, dovuto pianificare una strategia (o politica) di gruppo in materia di protezione dei dati personali, focalizzandosi sulle esigenze di protezione dei dati nell’ambito dei trattamenti effettuati dalle diverse società appartenenti al gruppo, quindi catalogando, di fatto, i diversi trattamenti anche a seconda dei core business delle diverse società appartenenti al gruppo.

Nella pianificazione di questa strategia sono stati definiti per ogni singola società, oltre che per la holding:

• organizzazione e ruoli (persone, cultura e competenze);
• processi, regole e documentazione (anche e soprattutto in ottica di accountability);
• architettura dei trattamenti (classificazione dei dati personali, tecnologie e strumenti).

Accanto ad una struttura così articolata, ogni realtà aziendale ha dovuto strutturare la figura del DPO di gruppo, anche mediante l’applicazione della normativa e delle linee guida del WP29, garantendo quindi: raggiungibilità per tutti i dipendenti di tutte le sedi del gruppo, strumenti di comunicazione efficaci e team di collaboratori aventi un background in ambito privacy.

I diversi compiti del DPO, ed in particolare quelli di consulenza e sorveglianza, in questi tipi di realtà devono articolarsi sia internamente alla funzione/dipartimento del DPO, sia esternamente per tutte le varie funzioni/dipartimenti di tutte le società del gruppo.

Il DPO di gruppo alla luce del nuovo Regolamento IVASS

A tutto ciò si aggiunga che lo scorso 3 luglio 2018 è stato approvato da IVASS il Regolamento n. 38, che, innestandosi sull’architrave della normativa del GDPR, ha previsto una serie di obblighi in materia di gestione IT e sicurezza, ed in particolare relativamente a data quality e cyber security.

Il Regolamento, oltre a comportare la necessità di una serie di attività di adeguamento per le aziende del settore, ha previsto che tutti i sistemi di gestione del sistema informativo aziendale siano adeguati rispetto ai principi del Regolamento.

Inoltre, il Regolamento ha delineato una innovativa corporate culture in materia di cyber security e data governance, incentrata su:

• strategia aziendale;
• processi aziendali;
• sistemi di controlli e reporting.

La tecnica legislativa riprende il principio di accountability, il cui effetto (che molti assimilano al principio stesso) è quello della rendicontazione, ossia la necessità dell’azienda di essere in grado di dimostrare, non solo la compliance effettiva dei trattamenti rispetto alla normativa vigente, ma anche e soprattutto le basi sulle quali le decisioni in ambito privacy vengono assunte.

A questo punto, sembrerebbe scontato ritenere che il ruolo di consulenza e sorveglianza del DPO dovrà estendersi alla verifica dell’implementazione di un adeguato sistema di governo societario, nonché delle procedure e dei controlli in materia di protezione dei dati personali e cyber risk rispetto agli elementi innovativi introdotti dal Regolamento IVASS 38/2018.

Il Regolamento 38/2018 IVASS, infatti, delinea una serie di prescrizioni a livello di attività e processi aziendali. Nello specifico queste riguardano:

• l’assetto organizzativo: viene prescritta la designazione degli attori e delle regole relativi alla macrostruttura dell’impresa e alla microstruttura rappresentata da team e dipartimenti;
• controlli e reporting: vengono delineati una serie di controlli e di obbligo di reportistica con scadenze specifiche e vincoli temporali come onere di diverse funzioni interne all’assicurazione;
• comunicazione: aspetto molto curato nel Regolamento, sia quella interna relativa alle scelte aziendali, sia quella verso l’esterno ed in particolare verso l’autorità di controllo IVASS;
• esternalizzazione: il processo ed i controlli per le attività esternalizzate sono molto approfondite nel Regolamento
• informazioni e dati: il sistema di gestione dei dati è posto al centro del Regolamento, quindi sono necessari una serie di processi di data governance strutturati secondo i principi normativi;
• selezione del personale: il Regolamento prevede che per alcune cariche, per la specificità dei compiti assegnati, sono necessari requisiti specifici ed esperienza pregressa nel settore;
• remunerazione ed incentivazione: a seconda del tipo di carica e di responsabilità, il Regolamento statuisce che il soggetto venga remunerato specificamente;
• sistemi informativi e cyber security: l’attenzione che viene posta dal Regolamento a questi due temi è stata già chiarita quando si è parlato di quanto prescritto dall’art. 16, i cui principi e linee- guida vengono a più riprese citati nel Regolamento.

Nuovi adempimenti in materia di data governance e protezione dati

Il Regolamento, seppur redatto seguendo la tecnica legislativa del GDPR, ha introdotto una serie di ulteriori adempimenti in materia di data governance e protezione dei dati personali trattati dall’assicurazione. Ne consegue che i compiti relativi alla consulenza e sorveglianza a carico del DPO dovranno estendersi dalla strategia di data governance delineata dall’organo amministrativo sino alle singole funzioni aventi specifiche cariche in ambito privacy e cyber risk nei processi aziendali strutturati.

Il Regolamento IVASS di fatto incentiva un modello di data governance e cyber security aziendali proattivo e attento alla gestione dei dati sia internamente sia nel trasferimento all’esterno dei dati di cui l’assicurazione è titolare. A tal proposito è specificamente previsto che il piano strategico aziendale sia stabilito dall’organo amministrativo il quale ha inoltre tutta una serie di ulteriori incarichi di controllo su come questo piano viene attuato in concreto dalle singole funzioni aziendali nei vari processi.

Si consideri che la cyber security dovrebbe da tempo rappresentare un punto all’ordine del giorno dei CdA anche e soprattutto come tema di governance. Secondo un’analisi pubblicata lo scorso anno dalla WCD Foundation (Think Tank internazionale che promuove best practice di corporate governance a livello internazionale), soltanto un terzo dei CdA di società quotate in Nord America ha in agenda la cyber security ad ogni riunione e solo il 15% delle perdite derivanti da ransomware sono coperti da polizze assicurative. In Europa le percentuali sono persino trascurabili.

Questo nuovo framework normativo ha evidentemente il fine di invertire questa tendenza, inducendo i vertici societari a monitorare costantemente i necessari adeguamenti tecnologici ed i possibili interventi finalizzati al contenimento del cyber-risk. In questo contesto assume altresì estrema rilevanza anche il ruolo di consulenza e sorveglianza svolto dal DPO che può rappresentare una spinta propulsiva ad un’inversione di rotta e la creazione di una corporate culture in materia di data protection e sicurezza digitale.