Assicurazioni e privacy: il punto sulla normativa e suoi aspetti
(ISTITUTO PER GLI STUDI ASSICURATIVI - Atti del Seminario - MERCATO ASSICURATIVO ED AUTHORITIES: ESPERIENZE, PROBLEMI, PROSPETTIVE. Università degli Studi di Trieste maggio-giugno 2000 )
Dr. Benedetto Aluisio∗
Buon pomeriggio a tutti. Ringrazio l'avv. Cecovini di avermi invitato a questo seminario, ma soprattutto ringrazio voi di essere qui nonostante questa giornata estiva. Devo quindi desumere che il vostro interesse per questo tema della privacy abbia assunto la priorità rispetto alla bella giornata di sole che si può godere fuori dall'Università.
La legge sulla privacy è qualcosa che ci interessa sotto un duplice aspetto: sia come cittadini, sia come operatori all'interno delle aziende.
Noi ci Occuperemo principalmente dei problemi che questa legge pone nel suo impatto col settore assicurativo.
È opportuno comunque fare prima un veloce richiamo a quelli che sono i contenuti della legge non solo dal punto di vista delle norme, ma anche come conoscenza della nomenclatura che questa stessa legge introduce e la cui conoscenza è indispensabile per poterci comprendere e quindi per poter colloquiare assieme.
Il senso di questa legge è quello di aver posto al centro di tutta la normativa il soggetto cui i dati personali si riferiscono: la legge chiama questo soggetto «interessato».
L'interessato è l'unico vero proprietario dei suoi dati e li può cedere temporaneamente a quello che, sempre dalla legge, è definito il titolare del trattamento. Questi può utilizzarli ma solo per perseguire ben determinate e dichiarate finalità e per il solo tempo strettamente necessario, dopo di che scatta il così detto diritto all'oblio: i dati vanno cancellati.
I principi basilari della legge sono evidenziati:
-all'art. 1 laddove è previsto che il trattamento dati deve svolgersi nel rispetto dei diritti e delle libertà fondamentali dell'interessato e della sua dignità. La legge tutela sia le persone fisiche, sia le persone giuridiche (in altri paesi le persone giuridiche sono escluse dalla sfera di azione di queste norme);
-all'art. 9 che obbliga i Titolari alla liceità e alla Correttezza del trattamento, mà soprattutto evidenzia il citato diritto all'oblio, cioè la temporaneità del trattamento che deve essere limitato al raggiungimento delle finalità dichiarate all'interessato al momento in cui i dati gli vengono richiesti;
∗ Assicurazioni Generali -Direttore responsabile per la privacy.
-all'art. 13 che riserva all' interessato tutta una serie di diritti che vanno dal controllo dei propri dati personali, al diritto di accesso alle informazioni che lo riguardano possedute dai vari titolari, al diritto di ottenere la rettifica dei suoi dati, a tutta una serie di azioni che l'interessato può esercitare nei confronti dei titolari del trattamento.
Inoltre, la legge, nel caso in cui le richieste dell'interessato non siano soddisfatte, permette, a sua maggior tutela, la possibilità di ricorrere all'autorità garante o all'autorità giudiziaria.
Da quanto sin qui detto, abbiamo potuto notare che sono già emerse alcune figure di cui parla la legge (interessato, titolare, garante), ma la legge ne contempla anche altre. Vediamole.
L'azienda, che il legislatore vede nella sua unitarietà come Titolare del trattamento, può nominare un facente funzione del Titolare, di solito un dirigente di alto livello, con il compito specifico di provvedere all'applicazione in azienda della legge sulla privacy.
L'azienda nomina, o può nominare, direttamente o, tramite il suo delegato, anche dei responsabili in materia di privacy per aree funzionali ben determinate: area ufficio personale, area ufficio commerciale e così via dicendo.
La nomina dei responsabili e il loro numero dipende soprattutto dalle dimensioni e dall'articolazione dell'azienda.
Sicuramente però, in ogni azienda troviamo quelli che la legge definisce incaricati, che sono i dipendenti e che, una volta designati, sono coordinati o dal titolare o dai vari responsabili di area privacy.
Tutte queste figure (titolare, responsabili, incaricati) sono tenute ad applicare le norme di legge, e quindi possono subire, in caso di loro inosservanza, sanzioni che possono essere anche di tipo penale.
Responsabili e incaricati, oltre ad attenersi a quelle che sono le disposizioni di legge, devono anche attenersi alle disposizioni ricevute dal proprio titolare e, gli incaricati anche a quelle del responsabile del trattamento che li coordina.
La legge poi fa una importante distinzione tra i vari tipi di dati personali.
Non tutti i dati sono uguali, essi vengono classificati in due grandi categorie: i dati particolari e i dati comuni.
I dati particolari comprendono i dati del casellario giudiziario e quelli cosiddetti sensibili. I dati sensibili (art. 22) sono ben individuati dalla legge e sono quelli idonei a rilevare l'origine razziale, etnica, le convinzioni religiose filosofiche od altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni, organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.
La distinzione è importante perché i dati che la legge definisce sensibili e
particolari sono oggetto di specifica e più puntuale tutela da parte del legislatore, infatti per il loro trattamento è necessario il consenso scritto dell'interessato, previa autorizzazione del Garante.
Tutti gli altri dati sono dati comuni e hanno una tutela inferiore rispetto ai primi.
La legge sulla privacy impone al titolare che intende effettuare un trattamento di dati personali di, assolvere a tutta una serie di incombenze.
Innanzitutto il titolare deve, come si è visto nominare, se lo ritiene opportuno dei responsabili, degli incaricati, ma soprattutto deve fare obbligatoriamente una notificazione preventiva al garante, cioè deve preventivamente dire al garante quali dati vuole trattare, i luoghi dove sono conservati questi dati, le misure di sicurezza che addotta nel trattare questi dati, se questi dati vengono comunicati ad altri soggetti o diffusi, se vengono trasferiti all'estero e in quali paesi, quali sono le categorie di interessati, ecc.
Nei confronti dell'interessato il titolare è invece tenuto a dare idonea informativa, cosa vuol dire? Vuol dire che nel momento in cui il titolare acquisisce i dati dall'interessato, deve dargli anche tutta una serie di informazioni. Deve dirgli quali sono le finalità per cui questi dati sono richiesti, qual è la natura (obbligatoria o facoltativa) del conferimento dei dati, quali le possibili conseguenze di un loro mancato rilascio, deve indicare che strumenti utilizza nel trattamento, ossia se questi dati vengono trattati in via manuale o automatica, deve dirgli a chi vengono comunicati eventualmente i dati, se ne è prevista o meno la diffusione, deve fornirgli i suoi dati di titolare e quelli del/i responsabile/i del trattamento, e precisare quali sono i diritti che la legge riserva all'interessato. E solo dopo aver reso tutte queste informazioni il titolare potrà richiedere all'interessato il consenso al trattamento.
Il consenso deve essere espresso liberamente e in forma specifica per ogni finalità del trattamento indicato nell'informativa.
È il caso della comunicazione e diffusione dei dati, che, essendo trattamenti ben definiti e a sé stanti, necessitano di consensi espliciti e separati dell'interessato.
Se ci sono poi dati sensibili il trattamento è ammesso solo con il consenso libero, specifico e scritto dell'interessato e previa autorizzazione del garante.
Va comunque evidenziato che, dovendo il consenso essere comunque documentato, l'orientamento del mercato è quello di chiederlo, se possibile, sempre per iscritto.
L'informativa in alcuni casi potrebbe essere orale, ma anche in questo caso, dovendo dimostrare di averla fornita, si preferisce adottare la forma scritta, riportando in calce la dichiarazione di consenso o diniego dell'interessato.
Ovviamente nei contatti di tipo telefonico, gli operatori dovranno prendere nota di aver dato l' informativa e ricevuto il consenso per poter trattare i dati.
Le informative normalmente dovrebbero essere tante quante sono le tipologie di interessati: azionisti, dipendenti, clienti, fornitori, consulenti, visitatori, candidati, ecc. e in esse dovrebbero essere indicate tutte le finalità del trattamento e in genere tutti gli elementi di cui si è già detto e che sono riportati all'art. 10 della legge.
Per trattamento e per ogni finalità esplicitata si deve richiedere uno specifico consenso.
L'informativa che assume maggior rilevanza nel mondo assicurativo è quella che si rilascia alla clientela. Su tale documento il settore ha trovato i primi ostacoli alla propria volontà di applicare appieno il disposto legislativo per l'impossibilità materiale di poter gestire, attraverso reti di vendita così numerose e variegate, una informativa per ogni ramo e all'interno di ogni ramo, una per ogni tipo o combinazione di coperture, una per ogni soggetto/interessato, sia esso contraente, assicurato, beneficiario, danneggiato, ecc.
Il rischio era quello di provocare una grande confusione negli addetti ai lavori.
Si è cercato allora di risolvere il problema costruendo una informativa
«omnibus» valida per le finalità di acquisizione, gestione e liquidazione di tutti i prodotti collocati dall'impresa assicuratrice che viene correntemente definita come «informativa industriale».
Va poi sottolineato che la gestione di un contratto assicurativo vede intervenire più soggetti, assicuratore principale, riassicuratore, coassicuratore, agenti, periti, liquidatori, ecc., e, a rigor di legge, ciascuno di questi, come titolare autonomo di un proprio trattamento dovrebbe fornire una sua informativa all'interessato al momento dell'acquisizione dei dati o all'atto della prima comunicazione.
Per risolvere questo problema si è ricorsi al concetto di catena o filiera assicurativa, per cui nell'ambito dell'esecuzione del contratto il titolare principale fornisce una sola informativa per tutti, valida anche per gli altri titolari del trattamento dati.
Questo concetto presupponeva la conoscenza analitica, a priori, di tutti i soggetti cui comunicare i dati, i cui nomi dovevano essere riportati sull'informativa industriale per ricevere tanti specifici consensi degli interessati. Ma ciò risulta praticamente irrealizzabile nel nostro settore!
Dopo una prima interpretazione molto restrittiva, il Garante sembra oggi orientato a consentire che questa conoscenza dei soggetti cui vengono comunicati i dati possa essere realizzata dall'interessato non solo dalla lettura
dell' informativa (vista anche la veloce, varia e continua modificabilità di questi soggetti), ma soprattutto ricorrendo ad uno sportello istituito appositamente presso l'azienda, a disposizione dell'interessato, per rispondere ad ogni sua richiesta in tema di privacy. Questo «sportello di accesso» va ben specificato e indicato nell'informativa.
Discorso pressoché analogo per l'indicazione nell'informativa dei nomi dei vari responsabili del trattamento nominati dal Titolare: anche qui il problema era stato risolto inizialmente con l'indicazione sull'informativa delle aree di responsabilità ed ora, pare accettato che questa conoscenza possa essere acquisita attraverso l'apposito sportello istituito presso l'azienda.
Il settore assicurativo, in sede associativa, ha elaborato più versioni dell'informativa industriale cercando di dare soluzione alla corretta applicazione della ratio della legge e tenendo conto delle anzidette difficoltà operative. Anche nel giugno dell'anno scorso (1999) l'ANIA ha presentato al Garante un nuovo schema di informativa industriale semplificata, sulla falsariga di quella del settore bancario, ma a tutt'oggi non si è avuto nessun riscontro dal Garante.
Prima di proseguire nell'analisi dei problemi che una stretta osservanza dei meccanismi di legge pone all' operatività del settore assicurativo, passiamo ad analizzare un altro tema scottante: quello della sicurezza dei dati.
L'art. 15 delle legge enuncia delle indicazioni di massima in tema di sicurezza dei dati e rinvia al varo di successivi regolamenti l' individuazione di quelle minime da adottare.
In generale, compito del titolare e dei responsabili è quello di introdurre misure di sicurezza idonee a garantire che i dati trattati non venga- no dispersi, non vengano sottratti, vengano trattati in maniera lecita all'interno dell'azienda da personale appositamente autorizzato, soprattutto con riguardo ai dati sensibili e particolari.
Ogni incaricato, ai fini della sicurezza deve avere assegnati specifici compiti e avere accesso solo alle specifiche informazioni necessarie a svolgere la sua attività aziendale.
Nel nostro settore la cosa non è semplice da realizzare in concreto in quanto la formalizzazione di mansioni nelle aziende che fanno del tratta- mento dati il focus del proprio business, comporta delle rigidità che vanno a cozzare con l'alta dinamicità e flessibilità di ruoli.
In concreto tuttavia al disposto della legge si è ottemperato fornendo agli incaricati precise istruzioni sui comportamenti da tenere e responsabilizzandoli nella loro attività quotidiana legata saldamente alle mansioni via a loro attribuite in azienda.
Va tenuto conto infatti che questa legge è valida sia per aziende che trattano dati in pochi limitati uffici che per aziende, come le assicurazioni e le
banche, che trattano dati personali in ogni loro attività.
Pertanto gli incaricati sono stati autorizzati a trattare i soli dati necessari ad eseguire il lavoro per cui sono comandati, sotto lo stretto coordinamento dei vari responsabili.
Il controllo che queste disposizioni siano rispettate è più stringente allorché il trattamento dei dati avviene con strumenti informatici, stante l'obbligo di attribuire a tutti gli incaricati specifici codici di accesso alle base dati (user ID e password) che li autorizzano a vedere alcuni archivi e non altri.
È chiaro tuttavia che tutta la materia (Legge, D.P.R.) è molto scabrosa e desta qualche preoccupazione se viene vista sotto il profilo delle responsabilità che possono derivare al titolare per i comportamenti tenuti in tema di privacy da tutti gli incaricati ovunque essi si trovino. Pensiamo ad esempio alle strutture delle reti di vendita.
E visto che le abbiamo citate, vediamo quale è stato l'impatto della legge sull'organizzazione delle agenzie in appalto e parliamo in primis degli agenti.
Gli agenti di assicurazione quando trattano i dati dei propri dipendenti, fornitori, ecc. sono titolari del trattamento, mentre allorquando svolgono attività commerciale per conto dell’Azienda mandante sono venuti ad assumere in quasi tutto il mercato il ruolo di incaricato di quest'ultima.
Nell'ambito delle Agenzie, i dipendenti e/o i collaboratori dell'Agente sono andati ad assumere il ruolo di incaricati dell'Agente/Titolare, non di incaricato del Titolare/Compagnia, anche per evitare il pericolo di innescare problematiche non facilmente risolvibili dal punto di vista della contrattualistica da adottare per questi dipendenti che in realtà non sono conosciuti e non hanno alcun rapporto contrattuale con la Compagnia.
Come si vede esistono dei problemi e delle difficoltà per l'applicazione dei tecnicismi della legge nel nostro settore: essi derivano dal fatto che la legge non tiene conto delle peculiarità dei vari settori di attività. Speriamo che, trascorso il periodo di prima applicazione, forti dell'esperienza acquisita, si possa cominciare a ragionare meglio e di più sulle varie situazioni, cercando di tener conto, sempre nel rispetto dei principi fondamentali della normativa e della tutela degli interessati, anche delle realtà operative, organizzative e di contesto in cui si muovono le aziende nei singoli settori di attività, guardando più alla sostanza che alla forma.
E va detto che la legge già prevede la possibilità di tener conto di situazioni operative particolari, adottando ad esempio dei codici deontologici con la supervisione e l'approvazione del Garante.
La legge già contempla in sé norme particolari che si rifanno al codice deontologico dei giornalisti e ora il Garante sta pensando di promuovere appositi codici deontologici per le banche e per le società finanziarie.
Anche il settore assicurativo, attraverso l'ANIA, ha manifestato al
Garante la volontà di intraprendere questa strada.
In tutto il discorso che 'abbiamo fatto va infatti sempre tenuto presente che se un cliente viene da me e mi chiede un contratto assicurativo, egli è pienamente conscio che mi deve dare alcuni dati essenziali per la valutazione del rischio, anche se sono dati relativi alla salute.
L'attività assicurativa del resto è un'attività con notevoli risvolti di carattere sociale e se certe notizie sono rese disponibili ad altri enti del settore, parlo per intenderci del case Ilari o infortuni, piuttosto che del consorzio dei rischi tarati del ramo vita, lo scopo è solo quello di selezionare i rischi per non far ricadere i maggiori costi su tutta la comunità degli assicurati ed evitare l'antiselezione.
Quindi un codice deontologico per le imprese di assicurazione andrebbe a posizionare meglio gli obiettivi reali che la normativa sulla privacy si pone nello scenario in cui si muovono le Compagnie, tenendo conto e salvaguardando le giuste esigenze di tutti gli attori.
Ritornando alle misure di sicurezza, osserviamo che il D.P.R. 318 del 1999 descrive in maniera molto dettagliata ed articolata le misure minime di sicurezza da adottare in ambito aziendale.
Sulla scorta di quanto previsto e dei tempi stabiliti, ci si è resi conto che il progetto non poteva essere attuato in un lasso di tempo così breve da tutte le aziende, specie da quelle con organizzazioni complesse come le imprese del settore assicurativo.
Il legislatore pertanto, alla vigilia della scadenza del 29 marzo 2000 si è attivato per rinviare di almeno un anno questa scadenza, anche per allontanare lo spauracchio delle sanzioni penali che scatterebbero inesorabilmente in caso di non attuazione delle norme previste dal decreto. Tuttavia le elezioni regionali, i referendum, le modifiche al D.d.l. apportate dalla Camera e dal Senato hanno fatto sì che a tutt' oggi la situazione sia che il termine del 29 marzo è scaduto e chi non ha attuato le misure minime di sicurezza rischia di incorrere in sanzioni penali.
Quindi possiamo dire che il legislatore, pur rendendosi conto dell'importanza di far slittare i termini per consentire agli operatori di mettersi in regola, non è riuscito a porre riparo a questa situazione.
Venendo alle disposizioni di questo D.P.R. sulle misure minime di sicurezza, constatiamo che si fa un distinguo a seconda di come i dati vengono trattati: dati trattati con strumenti elettronici o comunque automatizzati e dati trattati su supporti cartacei.
Si pone poi particolare attenzione ai dati di tipo particolare (sensibili e del casellario giudiziario). Il D.P.R. prevede anche l'istituzione di nuove figure: amministratore di sistema, preposti alla custodia delle parole chiavi, depositari delle chiavi degli archivi, ed è richiesta anche la stesura da parte del
Titolare di un documento programmatico sulla sicurezza (D.P.S.) quando si trattano dati particolari con strumenti elettronici. In questo D.P.S. (v. art. 6) vanno descritti i criteri tecnici e organizzativi per la protezione delle aree dei locali interessati alla sicurezza, nonché le procedure per controllare l'accesso delle persone autorizzate nei locali medesimi, i criteri e le procedure per assicurare la integrità dei dati (v. antivirus), i criteri e le procedure per la sicurezza nella trasmissione dei dati (v. firewall), l'elaborazione di un piano di formazione per tutti gli incaricati, controlli periodici. Il documento è soggetto a revisione almeno annuale.
È veramente un impegno notevole che viene richiesto alle aziende, soprattutto a quelle più dinamiche sotto il profilo organizzativo che si troveranno ad inseguire con affanno tutti i mutamenti in atto. Tutto ciò ha dei costi che possono essere anche rilevanti e che in qualche modo devono essere controbilanciati da un valore aggiunto in termini di sicurezza nei trattamenti e da miglioramenti nelle procedure dei trattamenti stessi.
L'ultima notizia in tema di applicazione della legge sulla privacy è che sono iniziate le ispezioni del Garante. Le ispezioni vengono effettuate sulla base di scelte e principi di massima trasparenza, avvalendosi della collaborazione di tutti gli altri organi dello stato: dagli organi di polizia, a quelli giudiziari, ecc. Le ispezioni programmate verranno eseguite con le seguenti modalità:
• il 50% nei settori dove ci sono state le maggiori segnai azioni di irregolarità;
• il 25% dove ci sono delle sospette irregolarità relativamente al tratta- mento dei dati;
• l'altro 25% per verificare lo stato di attuazione della legge in generale.
Le ispezioni vengono effettuate o con autorizzazione del presidente del Tribunale competente per territorio oppure attraverso un preventivo assenso scritto del titolare e i controlli e le ispezioni non potranno avere inizio prima delle sette e dopo le ore 20 della giornata. Avendo partecipato ai lavori del gruppo ANIA che si occupa di privacy, posso dire che le imprese di assicurazione stanno facendo tutto il possibile per rispettare la legge in ogni dettaglio, ma come dicevo prima il percorso non è semplice. Basti pensare alle tante sedi in cui sono conservati i dati, ai tanti dipendenti sparsi su tutto il territorio nazionale, alla complessa articolazione della rete di vendita, alle continue variazioni organizzative in atto per rendersi conto della difficoltà di avere sempre sott'occhio una situazione aggiornata.
Le imprese del settore assicurativo hanno da sempre evidenziato una lunga tradizione di riservatezza e di applicazione del segreto professionale nel
trattamento dei dati, per cui l'auspicio è che il legislatore fermi di più la sua attenzione sui risultati conseguiti in tema di diffusione e realizzazione della cultura della privacy, evitando, ove possibile, l'imposizione alle aziende di regole rigide che possono risolversi in un mero sostenimento di costi. E sappiamo che i costi prima o poi ricadono sui clienti e possono ledere la stessa competitività delle aziende, soprattutto se le norme italiane dovessero risultare più gravose di quelle esistenti negli altri paesi.
Risulterebbe forse più proficuo per tutti fissare gli obiettivi da raggiungere e prevedere sanzioni, anche pesanti, nei casi di danni provocati agli interessati nell'uso dei dati personali.
Grazie per l'attenzione prestatami.