La guida

Polizze auto Usage-Based Insurance (UBI) e tutela della privacy: come essere compliant con il GDPR

Le polizze assicurative Usage-Based Insurance (UBI) potrebbero rappresentare una minaccia per la privacy delle persone assicurate: ecco un vademecum da seguire per non violare il GDPR

16 Giu 2020
G
Grazia Galdi

Avvocato - Privacy, compliance & corporate crimes


La polizza assicurativa basata sull’uso del veicolo, cosiddetta Usage-Based Insurance (UBI), è l’ultima innovazione nel campo dell’assicurazione auto: calcolando il rischio sulle caratteristiche di guida effettive tenute da ciascun assicurato, tali nuove tipologie di polizze sono in grado di offrire una copertura assicurativa ad un premio inferiore rispetto a quello tradizionale.

Nonostante gli indiscutibili vantaggi economici, le UBI potrebbero costituire una minaccia per la privacy dell’assicurato. È alto, infatti, il rischio che l’utente venga inconsapevolmente profilato e monitorato per scopi diversi da quelli per i quali i dati sono stati inizialmente raccolti e trattati.

I dati sull’utilizzo dell’auto

La guida dell’assicurato viene monitorata in tempo reale attraverso dispositivi telematici, quali i sensori del proprio veicolo, le scatole nere inserite all’interno dell’autovettura o specifiche applicazioni mobile scaricate sul proprio cellulare.

Tali dispositivi raccolgono ed inviano alla Compagnia Assicurativa (o ad un terzo soggetto incaricato dalla stessa compagnia), una serie di dati grezzi inerenti all’utilizzo dell’autovettura, quali, le miglia percorse, l’ora ed il giorno in cui il veicolo viene utilizzato, eventuali brusche accelerazioni, frenate e/o curve.

Sebbene generati da un veicolo ovvero dal dispositivo telematico ad esso collegato, i dati di utilizzo dell’auto sono, direttamente o indirettamente, connessi ad una identificata, o identificabile, persona fisica. Per tale motivo, essi vanno considerati e trattati alla stregua di dati personali, con la conseguente applicazione della normativa dettata dal GDPR.

Pensiamo al numero di serie o al numero di targa dell’autovettura che ci consentono di risalire alla identità del conducente, oppure, all’elenco dei percorsi preferiti o dei luoghi di interesse, che possono rivelare informazioni sensibili sulla vita di una persona quale l’orientamento religioso, politico o sessuale.

Infatti, analizzando l’elenco dei luoghi frequentemente visitati dall’assicurato è facile dedurne il luogo di lavoro, la residenza ovvero i luoghi di interesse. Di conseguenza, tutti i soggetti coinvolti nel trattamento dei dati relativi all’uso di un’autovettura, quali le compagnie assicurative, le case automobilistiche e, in generale, qualsiasi fornitore di servizi relativi alle polizze usage-based, agiscono nei confronti dell’assicurato quali titolari e/o responsabili del trattamento dei dati personali ai sensi del GDPR.

Polizze auto Usage-Based Insurance: le linee guida EDPB

L’European Data Protection Board (EDPB), nell’analizzare le principali problematiche relative al trattamento dei dati personali poste nel contesto dei veicoli c.d. connessi, ha fornito rilevanti indicazioni in tema di assicurazioni Pay as you drive, una tipologia di polizza usage-based che basa il suo premio sulle miglia percorse.

In particolare, l’EDPB ha individuato una serie di misure che i titolari del trattamento dei dati relativi all’uso dell’autovettura devono adottare affinché la loro attività possa dirsi compliant con i principi posti dal GDPR.

L’EDPB ha individuato la base giuridica del trattamento dei dati personali nella sottoscrizione del contratto di assicurazione da parte dell’assicurato.

Dunque, così come stabilito dall’art. 6(1)(b) del GDPR, sarà da ritenersi lecito il trattamento dei dati personali effettuato dalla Compagnia Assicurativa perché necessario per l’esecuzione del contratto di assicurazione di cui l’interessato è parte.

Tuttavia, l’EDPB ha evidenziato che nel contesto dei c.d. veicoli connessi trova applicazione anche la Direttiva E-privacy, poiché tale tipologia di veicolo, così come tutti i dispositivi ad esso collegati, devono essere considerati apparecchiature terminali ai sensi dell’articolo 5, paragrafo 3, della Direttiva E-privacy.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Pertanto, tutti i dati personali elaborati dalle “apparecchiature terminali” godranno anche della specifica protezione prevista dalla Direttiva E-privacy, che richiede il consenso preventivo dell’utente sia per la memorizzazione delle informazioni che per l’accesso alle informazioni già archiviate nella stessa apparecchiatura.

Di conseguenza, i titolari del trattamento dei dati personali non potranno invocare la copertura dell’art. 6(1)(b) del GDPR per eludere il consenso dell’assicurato allorquando stiano effettuando un trattamento dati non necessario per l’esecuzione del contratto di assicurazione.

In altre parole, è il consenso – espresso in sede di stipula del contratto, ovvero, espresso in una fase successiva in relazione ad altre tipologie di prestazioni – la principale base giuridica per il trattamento dei dati personali.

Ciò tanto più nel caso di utilizzo di un veicolo usato, noleggiato o preso in prestito da parte di un soggetto diverso dal proprietario del veicolo.

È importante che i titolari del trattamento dati ottengano un consenso specifico da parte dei soggetti che subentrano al proprietario nell’uso dell’autovettura. Infatti, soprattutto l’ultima generazione di veicoli connessi è in grado di raccogliere automaticamente dati durante l’uso del veicolo, ad esempio, per scopi di manutenzione.

Tali dati, però, non possono essere comunicati di default alla compagnia assicurativa, a meno che chi stia utilizzando la macchina non abbia espresso il proprio consenso in un atto separato rispetto al contratto di acquisto o di noleggio.

Privacy by design e by default

I produttori di automobili, le compagnie assicurative ed i fornitori di servizi sono stati invitati dall’EDPB ad offrire all’utente dispositivi e applicazioni mobile o in-car che siano in grado di trattare i dati di utilizzo dell’autovettura nel rispetto del principio della privacy by design e by default.

Innanzitutto, dovrebbe essere garantito agli utenti il controllo sulle modalità con le quali i loro dati vengono raccolti ed elaborati all’interno del veicolo. Gli utenti dovrebbero essere in grado di attivare o disattivare il trattamento ed eliminare definitivamente tutti i dati personali raccolti prima che i veicoli siano nuovamente messi in vendita. Inoltre, dovrebbero essere in grado di avere accesso diretto ai dati aggregati generati dalle applicazioni telematiche.

Inoltre, per quanto riguarda i dati relativi alla geolocalizzazione, l’EDPB suggerisce ai titolari del trattamento di evitare che la geolocalizzazione sia attivabile di default, lasciando all’utente la possibilità di attivarla quando intenda avviare una funzionalità che richieda la conoscenza della posizione del veicolo.

In particolare, si suggerisce il ricorso a specifiche icone (sugli schermi interni del veicolo o sullo smartphone) che informino l’utente dell’attivazione della geolocalizzazione e della possibilità di disattivarla in qualsiasi momento.

Per evitare che i dati personali possano essere raccolti dai titolari del trattamento al fine di creare un profilo preciso del conducente, i dati grezzi relativi alla guida, quali luoghi visitati, percorsi effettuati ecc., dovrebbero essere elaborati esclusivamente all’interno dei veicoli ovvero nelle scatole nere inserite all’interno dell’autovettura, in modo che l’assicuratore possa avere accesso solo ai risultati di tale elaborazione c.d. dati aggregati relativi, ad esempio, al valore complessivo della miglia percorse in un dato arco temporale.

Se, invece, la raccolta e l’elaborazione di dati grezzi è esternalizzata ed assegnata dalla compagnia assicurativa ad un soggetto terzo, è di fondamentale importanza che uno stesso soggetto non abbia temporanea conoscenza dei dati grezzi, relativi alla guida, e dei dati direttamente correlati all’identità del conducente.

In particolare, il terzo fornitore di servizi potrà avere conoscenza dei dati relativi alla guida dell’utente in tempo reale, ma non potrà conoscere il nome o il numero di targa dell’assicurato; mentre le compagnie assicurative, che conoscono l’identità degli assicurati propri clienti, non potranno avere accesso ai dati di guida grezzi ma solo ai valori complessivi generati dal fornitore di servizi telematici.

Ciò garantisce che i principi di minimizzazione e anonimizzazione dei dati siano soddisfatti by default.

Polizze auto Usage-Based Insurance: conservazione dei dati

Quanto al periodo di conservazione dei dati, bisogna distinguere tra i dati commerciali ed i dati di utilizzo dell’auto.

I primi dovrebbero essere conservati dalla Compagnia Assicurativa in un database attivo per l’intera durata del contratto e, successivamente, conservati in archivio in caso di un eventuale contenzioso. Dopo la fine dei termini di prescrizione legali, i dati commerciali dovranno essere cancellati o resi anonimi.

Per quanto riguarda invece i dati di utilizzo, si consiglia un trattamento diverso a seconda che si tratti di dati grezzi o dei dati aggregati. In particolare, i dati grezzi dovrebbero essere conservati per un breve periodo, fino a quando siano necessari per elaborare i dati aggregati e per verificare la validità del processo di calcolo.

Al contrario, i dati aggregati dovrebbero essere conservati fino a che siano necessari per la fornitura della prestazione da parte della Compagnia Assicurativa.

Polizze auto Usage-Based Insurance: l’informativa

Al momento della firma del contratto delle polizze auto Usage-Based Insurance, gli assicurati devono essere informati in forma concisa, trasparente, comprensibile e facilmente accessibile, sulle modalità del trattamento dei dati relativi l’utilizzo dell’autovettura, così come previsto dall’art. 13 del GDPR.

In particolare, gli utenti dovranno essere informati sul periodo di conservazione dei dati personali, con la dovuta distinzione tra i dati grezzi ed i dati aggregati. Nel caso in cui i dati grezzi vengano trattati all’esterno dell’autovettura da soggetti terzi, la Compagnia Assicurativa dovrà spiegare che provvederà alla raccolta e al mantenimento dei soli dati aggregati, mentre i terzi avranno conoscenza dei soli dati grezzi da elaborare senza alcun riferimento ai dati relativi all’identità del conducente cui i dati fanno riferimento.

Infine, l’EDPB ricorda di menzionare nell’informativa ex art. 13 del GDPR che all’assicurato sono riconosciuti il diritto di accesso, di rettifica e di cancellazione dei dati personali, nonché il diritto di limitazione e di opposizione al trattamento.

L’assicurato, inoltre, avrà anche la facoltà di esercitare il diritto alla portabilità dei suoi dati grezzi poiché trattasi di dati “forniti” dall’interessato trattati ai sensi dell’art. 6(1)(b) del GDPR.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 5