Ma per la maggior parte delle aziende, i rischi reputazionali rischiano di pesare molto di più dei rischi normativi. I clienti spesso non perdonano le aziende che subiscono una violazioni dei dati. In uno studio sul consumo effettuato nel 2013 dall’Economist Intelligence Unit, oltre il 32% degli intervistati ha detto di essere “fortemente d’accordo” dopo la domanda: “In caso di violazione dei dati nei confronti di un’azienda con cui avete a che fare, cessereste di fare affari con loro?”. Tra gli intervistati che hanno effettivamente subito una violazione dei dati, il 38% ha detto che non ha più fatto affari con la società in questione e il 46% ha dichiarato di aver suggerito ad amici e parenti di fare attenzione a condividere i dati con la società vittima della violazione.
Per le aziende, una sfida particolare nelle violazioni dei dati è che possono provenire da qualsiasi angolo, come riportato nel grafico a fiancoIl grafico mostra il più grande database di violazioni dei dati esistenti, una registrazione delle violazioni negli Stati Uniti che colpiscono più di un mezzo miliardo di dati personali gestiti dal Privacy Right Clearinghouse (www.privacyrights.org).
Secondo questo database, la più grande causa del numero dei dati violati (56%) è l’hacking o gli attacchi malware. Chiaramente in tali casi il rischio di frode di identità è molto più alto rispetto a quando i dati vengono semplicemente smarriti: sono già per definizione nelle mani sbagliate.
La seconda più grande causa delle violazioni, secondo il database PRC, deriva dalla perdita o il furto di dispositivi personali, come computer, PDAs, smartphone o pennette USB. Queste rappresentano il 30% dei dati violati registrati nel database.
La terza più grande causa delle violazioni, che rappresenta il 6% dei dati presenti nel database PRC, viene dagli interni (insider) – Persone con legittimato accesso che violano intenzionalmente informazioni personali. Anche se il 6% può non sembrare una grande fetta della torta, vista la grande dimensione del database PRC, rappresenta comunque 340 milioni di dati.
Compagnie di assicurazione specializzate offrono polizze create per fronteggiare i rischi che quotidianamente incontrano le società nella gestione dei dati personali e opera sia per risarcire i danni subiti dai terzi, sia per mitigare i danni alla reputazione della società e dei propri amministratori.
La garanzia assicurativa e’ modulare per coprire diversi rischi :
a) Responsabilità per il trattamento dei dati personali
- Responsabilità della società per qualsiasi violazione della normativa in tema di protezione dei dati personali;
- Responsabilità della società per qualsiasi violazione della normativa da parte di un soggetto esterno al quale è stata affidata la gestione dei dati personali;
- Responsabilità della società e di tutti i propri dipendenti nel caso di specifiche violazioni della normativa in tema di protezione relativa ai dipendenti ed ai potenziali dipendenti;
- Responsabilità della società e di tutti i propri dipendenti, amministratori o altri soggetti assicurati per la violazione di qualsiasi dato sensibile fornito all’esterno;
- Responsabilità dei dipendenti della società, del responsabile dell’ufficio legale, del responsabile della compliance, del responsabile della protezione dei dati personali e degli amministratori, sindaci e dirigenti per qualsiasi violazione della normativa in tema di protezione dei dati personali;
- Responsabilità della società per la violazione di qualsiasi sistema di protezione dei dati personali contenuti nel sistema informativo della società.
b) Procedimenti amministrativi
- I costi sostenuti durante le indagini amministrative svolte dalle autorità competenti
- Indennizzo alla società di quanto la stessa ha pagato in qualità di coobbligato solidale in conseguenza dell’insolvenza dell’obbligato principale.
c) Ripristino della reputazione
- della società; e/o
- delle proprie persone chiave quali gli amministratori, il responsabile dell’ufficio legale, il responsabile della compliance ed il responsabile della protezione dei dati personali; in caso di una richiesta di risarcimento coperta dalla polizza.
d) Costi di adeguamento dati
e) Costi per consulenze
