1asig.ro
1asig.ro

Sunt sanctiunile de nonconformitate GDPR asigurabile?

5 min. / 1.540 cuvinte
Conformitatea cu regulamentul UE privind protectia generala a datelor (GDPR), in vigoare de la 25 mai 2018, este in prezent una dintre cele mai mari provocari pentru multe organizatii. Chiar si in absenta unui incident privind securitatea datelor cu caracter personal, companiile se pot confrunta cu amenzi si sanctiuni primite in urma unor controale de conformitate. In plus, companiile care opereaza global, inclusiv in tari UE, pot intampina situatii care intereseaza mai multe jurisdictii cu legislatie diferita. Cat de mult pot ajuta asigurarile in gestionarea unor astfel de riscuri operationale?

PROMO


Pe masura ce evolutia tehnologica a permis companiilor sa colecteze si sa gestioneze volume imense de informatii despre clientii lor, existenti sau potentiali, datele cu caracter personal au devenit o clasa noua de active, foarte importanta pentru multe companii. In paralel, GDPR nu numai ca se refera la o problematica mai extinsa si contine prevederi mai dure decat reglementarile anterioare in materie, dar acorda autoritatilor de reglementare si control puteri sporite. Pe scurt, desi normele de protectie a datelor existau si inainte de GDPR, sanctiunile financiare pentru incalcarea normelor de securitate a datelor aveau valori considerabil mai mici, iar actiunile de control erau rare.

Brokerul international AON si firma de avocatura DLA Piper au lansat impreuna un raport intitulat "The price of data security - A guide to the insurability of GDPR fines across Europe". "Sanctiunile GDPR pot ajunge pana la 20 de milioane de euro sau pana la 4% din cifra de afaceri globala anuala a unui grup, daca aceasta valoare este mai mare", subliniaza paginile introductive ale raportului, adaugand ca "amploarea acestor amenzi a nascut ingrijorare in Consiliile de Administratie ale companiilor".

Acestea fiind spuse, acoperirea prin asigurare pentru riscurile financiare legate de GDPR ar fi mai mult decat interesanta si de dorit pentru organizatii. Politele clasice de asigurare cyber - subliniaza raportul - acopera sanctiuni numai atunci cand acestea sunt "asigurabile prin lege" si stipuleaza ca posibilitatea cuprinderii in asigurare a amenzilor sau penalitatilor se determina potrivit "legislatiei oricareia dintre jurisdictiile interesate, care favorizeaza cel mai mult acoperirea acestor amenzi sau sanctiuni".

Raportul AON si DLA Piper prezinta o imagine de ansamblu asupra tarilor europene din perspectiva posibilitatii de cuprindere in asigurare si a duritatii reglementarilor privind protectia datelor, precum si o serie de studii de caz care dezvaluie complexitatea pe care scenariile daunelor cibernetice internationale le-ar putea atinge.


Sursa: DLA Piper

Stadiul actual: nu exista o suprapunere totala intre expunerea potentiala la "riscul financiar GDPR" si acoperirea oferita de cea mai mare parte a politelor de asigurare, care se refera cel mai adesea la incidentele de confidentialitate sau de securitate a datelor; in plus, incalcari ale GDPR pot fi identificate, de asemenea, chiar fara ca un incident de securitate a datelor sa aiba loc (de exemplu, neconformitatea). De fapt, una dintre principalele intrebari aparute este daca amenzile de nerespectare a GDPR sunt asigurabile sau nu.

Raspunsul variaza de la o tara la alta, deoarece normele legale care reglementeaza asigurarea sunt adesea derivate din principiile de politica publica. De asemenea, in cazurile internationale, depinde foarte mult de jurisdictia aleasa, mai ales ca nu intotdeauna aceasta alegere va prevala asupra altor consideratii juridice.

Potrivit raportului AON si DLA Piper, sanctiunile GDPR sunt asigurabile in Finlanda si Norvegia, in timp ce in 20 de tari aceste amenzi sunt in mod clar neasigurabile. Pe de alta parte, costurile juridice, alte costuri si obligatii survenite ca urmare a "scurgerii" de date sunt asigurate aproape peste tot, cu exceptia Bulgariei si Poloniei, unde autorii raportului au declarat ca situatia actuala este neclara. Doar 4 tari au un mediu de reglementare a datelor care poate fi definit ca fiind "moderat": Bulgaria, Croatia, Lituania si Malta.

De fapt, in multe tari in care amenzile GDPR au fost marcate ca fiind neasigurabile, contractele de asigurare care acopera amenzi administrative sau penale nu sunt interzise in mod expres, ceea ce inseamna ca, de asemenea, amenzile GDPR pot fi teoretic acoperite de contracte de asigurare. Cu toate acestea, exista un risc ridicat ca aceste contractele sa fie inoperante daca "se considera ca intentia partilor era de a evita sanctiunile administrative sau penale. Este o conditie de asigurare ca pierderea sa fi fost cauzata de circumstante care nu puteau fi controlate de asigurat".

In concluzie, cel putin pentru moment, contributia potentiala a industriei de asigurari la gestionarea riscurilor financiare legate de GDPR este oarecum limitata, mai ales atunci cand vine vorba de sanctiunile de neconformitate. Pe de alta parte, implementarea GDPR este doar la inceput, lasand spatiu pentru evolutii viitoare si construirea unei cazuistici relevante. Avocatii vor avea cu siguranta un cuvant de spus.

Ultima ora: La cea mai recenta conferinta AIRMIC din Liverpool, Insulele Bermude au fost mentionate de mai multe surse ca o posibila alegere extraeuropeana pentru cei care se afla in cautarea unei jurisdictii unde o polita de asigurare ar putea fi folosita pentru a acoperi situatia in care o companie multinationala ar fi amendata pentru neconformitate cu GDPR de autoritatea europeana de reglementare. Tarile din Singapore sau din America Latina, precum Mexicul si Columbia, sunt de asemenea destinatii posibile pentru plasarea acestui tip de risc. Cu toate acestea, desi Insulele Bermude sunt deja "in uz" ca jurisdictie pentru asigurarea amenzilor punitive emise de autoritatile de stat americane, nu exista nicio garantie ca experienta poate fi replicata si in cazul amenzilor GDPR. Dupa cum s-a subliniat la Conferinta AIRMIC, legislatia GDPR este prea noua pentru a permite, cu exceptia speculatiilor, o estimare privind dimensiunea reala a amenzilor si alte urmari ale procedurilor legale.

Accesati aici, in intregime, "The price of data security - A guide to the insurability of GDPR fines across Europe", raportat de AON si DLA Piper.

2.179 accesari