GDPR e sicurezza by design: le recenti indicazioni della Cassazione sulle misure tecniche e organizzative GDPR per la distribuzione assicurativa

L’art. 32 del GDPR disciplina specificatamente la tematica delle misure tecniche e organizzative che i distributori assicurativi di primo livello (gli iscritti nelle sezioni A, B, D del R.U.I.) devono mettere in atto per garantire un livello di sicurezza adeguato al rischio.

Recentemente la Corte di Cassazione (Cass. civ., sez. I, 11/10/2023, n. 28385) ha soffermato la propria attenzione sul tema, focalizzandosi sull’obbligo di dei “responsabili del dato” di predisporre le misure organizzative idonee a garantire una tutela effettiva dell’interessato.

In  particolare, gli Ermellini hanno ribadito che “i titolari e responsabili del dato devono predisporre le misure tecniche ed organizzative idonee a garantire una tutela effettiva dell’utente e non meramente formale valutando  il rischio inerente all’attività di impresa al momento della progettazione del trattamento, che costituisce la misura della loro responsabilità, rapportata alla natura, portata, contesto e finalità del trattamento, nonché alla probabilità e gravità dei rischi per i diritti e le libertà degli utenti”. Alla luce di quanto fin qui osservato, si rileva come il contenuto dell’ordinanza sia di indubbia significatività poiché le conclusioni rassegnate dalla Corte di Cassazione ribadiscono come ai fini della corretta definizione di un processo di compliance al GDPR sostanziale e  non meramente formale, gli intermediari assicurativi di primo livello devono partire da una attività di “risk assessment” e così approntare il proprio modello organizzativo privacy (“MOP”) in conformità con i principi di “accountability” e “by design”.