Privacy e black box

di Davide De Giorgi

image

L’introduzione di dispositivi di black box sulle auto aziendali deve essere valutata attentamente dai fleet manager anche alla luce dei recenti provvedimenti legislativi che, progressivamente, stanno definendo le regole della raccolta dei dati affinché non vi siano rischi di violazione della privacy dei conducenti.

Lo spread della rc-auto tra l’Italia e il resto d’Europa ha indotto il legislatore ad intervenire sul settore, prevedendo la possibilità di introdurre sull’auto, con il consenso dell’assicurato, la cosiddetta scatola nera (o dispositivi equivalenti), utilizzabili dalle compagnie assicurative come strumento per differenziare “i driver buoni da quelli cattivi”, contribuendo così, nelle intenzioni, ad abbassare il premio rc-auto fino al 30%. Nel caso delle flotte aziendali, gli indubitabili vantaggi però, potrebbero scontrasi con il diritto alla privacy del guidatore nella misura in cui, i dati raccolti, anziché essere utilizzati con finalità antifrode o con finalità statistiche utili a personalizzare i pani tariffari, vengano raccolti e gestiti con finalità di “controllo”. Sono queste le questioni che il fleet manager dovrà affrontare nei prossimi mesi, in vista dell’emanazione dei provvedimenti attuativi sulla corretta gestione e raccolta dei dati attraverso la scatola nera.

Le novità
Una novità importante è stata già introdotta dal Governo con il decreto sulle liberalizzazioni (art. 32, comma 1, D.L. 24/2012), che ha previsto, per le compagnie assicurative, la possibilità di introdurre nell’auto, (con il consenso dell’interessato), meccanismi elettronici che registrano l’attività del veicolo, la così detta scatola nera. Il tutto, per il momento, con la promessa di una riduzione “significativa” del costo rc-auto.

Dopo non poche polemiche, la norma licenziata dal Governo Monti prevede che i costi di installazione, disinstallazione, sostituzione, funzionamento e portabilità dei meccanismi elettronici siano a carico delle imprese di assicurazione e che la riduzione di premio vada riconosciuta all’atto della stipulazione del contratto o in occasione delle scadenze successive. Il decreto liberalizzazioni demanda l’attuazione della nuova disposizione a tre provvedimenti: a) un decreto del Ministero delle Infrastrutture e dei Trasporti, di concerto con il Ministero dello Sviluppo Economico; b) un Regolamento ISVAP (ora IVASS, Istituto per la Vigilanza sulle Assicurazioni), di concerto con il Ministro dello Sviluppo Economico e il Garante per la protezione dei dati personali; c) un decreto del Ministro dello Sviluppo Economico, da emanare sentito il Garante per la protezione dei dati personali.

Lo stato dell’arte
Come primo passo verso la completa attuazione della norma, il Ministero delle infrastrutture e dei trasporti, di concerto con il Ministero dello sviluppo economico (D.M. 25 gennaio 2013 – GU n. 30 del 5 febbraio 2013) ha stabilito che le scatole nere dovranno essere, sigillate, alimentate e solidamente ancorate ad elementi fissi e rigidi dell’auto. Dal lato delle caratteristiche tecnologiche in dotazione poi, i dispositivi dovranno garantire la rilevazione in modo costante della posizione e della velocità del veicolo, compreso il profilo accelerometrico del moto, consentendo la trasmissione periodica sicura delle informazioni immagazzinate.

 

Il Regolamento IVASS
Lo scorso 1° marzo 2013, è stato pubblicato dall’IVASS il documento di consultazione N. 1/2013, contenente lo schema di Regolamento volto a disciplinare le modalità di raccolta, gestione e utilizzo dei dati raccolti e, a disciplinare l’interoperabilità di tali dispositivi in caso di sottoscrizione di un contratto r.c. auto con impresa diversa da quella che ha provveduto ad installare il dispositivo. Il regolamento, predisposto di concerto dall’IVASS, dal Ministero dello Sviluppo Economico e dal Garante per la protezione dei dati personali, è stato sottoposto a consultazione pubblica al fine di ricevere dei feed back da parte degli utilizzatori.

La fase di consultazione si è chiusa, ma le osservazioni pervenute da privati, associazioni e gestori di flotte aziendali, non sono ancora state pubblicate sui siti istituzionali.

Lo schema di regolamento
Nello schema di regolamento si legge una chiusura netta a quelle che possono essere le altre utilità tecnologiche che i dispositivi possono offrire in aggiunta rispetto al contratto di assicurazione rc-auto, legate ad esempio, al furto del veicolo o alla prestazione di assistenza sul posto in caso di incidente. Il documento si limita a precisare solo le modalità di raccolta e di utilizzo dei dati a “fini tariffari”, e nella “gestione dei sinistri”.

Informativa all’interessato
secondo il codice della privacy

Il codice della privacy prevede l’obbligo di informare l’interessato del trattamento dei suoi dati personali e tale operazione può essere effettuata sia con la forma scritta che oralmente ai sensi tutti dell’art. 13 del Codice.
In particolare dovranno essere evidenziati da parte del Titolare del trattamento nei confronti del soggetto interessato al trattamento le seguenti informazioni:
1) le finalità e le modalità del trattamento svolto;
2) la natura obbligatoria o facoltativa del conferimento dei dati;
3) le conseguenze dell’eventuale rifiuto del conferimento;
4) l’ambito di comunicazione e diffusione dei dati;
5) l’eventuale trasferimento dei dati all’estero;
6) i diritti dell’interessato;
7) l’indicazione del Titolare;
8) l’indicazione del Responsabile individuato o di quello designato per l’esercizio dei diritti dell’interessato;
9) l’indicazione degli Incaricati che compiono le operazioni di trattamento.
Una volta raccolte, le informazioni devono essere inserite nell’informativa che dovrà essere firmata dall’interessato, utilizzando modelli informativi ad hoc a seconda della tipologia di categoria dell’interessato.

I dati utilizzati per finalità diverse da quelle richiamate sopra, infatti, potranno formare oggetto di trattamento, da parte delle imprese, solo a seguito di preventivo esame da parte del Garante per la protezione dei dati personali, anche nell’ambito di un’apposita procedura di verifica preliminare ai sensi dell’art. 17 del Codice in materia di protezione dei dati personali. Relativamente alle modalità di raccolta e gestione dei dati viene prevista anche la possibilità per le imprese di assicurazione, di avvalersi in outsourcing, di soggetti terzi (con esperienza nel settore, capacità ed affidabilità).

La tutela dei dati personali
Nel caso delle flotte aziendali, il fleet manager deve fare molta cura alla mole di dati potenzialmente in suo possesso, perché i dispositivi che registrano e trasmettono informazioni dalla macchina al satellite e poi ad una banca dati, spesso secondo per secondo, o comuni sistemi di posizionamento globale (GPS), riescono ad elaborare milioni di dati, che incrociati, possono fornire tutte le informazioni sull’auto e sul guidatore. Proprio per questo, devono essere ridotte al minimo le rilevazioni dei dati personali, utilizzando adeguate tecniche di cifratura a protezione degli stessi. Dal punto di vista degli obblighi informativi, gli interessati dovranno essere previamente informati in ordine alle complessive caratteristiche dei trattamenti svolti, con formule chiare e di immediata comprensione.

Inoltre, le auto aziendali con a bordo la scatola nera, devono essere ben visibili. A tutela anche del diritto alla riservatezza del passeggero è stato così imposto di adottare tutte le soluzioni atte a segnalare, anche a mezzo di apposite vetrofanie, la presenza della scatola nera sul veicolo. A tutela dell’utilizzatore deve essere garantita inoltre, in forma gratuita e mediante una funzione semplice, la possibilità di interrompere immediatamente il trattamento dei dati relativi all’ubicazione, anche attraverso modalità telefoniche o telematiche.

Insomma, il tracciamento deve poter essere disattivabile in qualsiasi momento. Nell’attesa che le imprese si adeguino allo standard tecnologico comune che sarà individuato da un successivo decreto attuativo, è stata consentita, oltre alla sostituzione del dispositivo senza costi aggiuntivi per l’assicurato, la possibilità che i dati raccolti dalle scatole nere siano fruibili dall’impresa con la quale l’assicurato ha stipulato un nuovo contratto, nel rispetto di quanto previsto dalle disposizioni in materia di protezione dei dati personali.