A cura di Giacomo Lusardi e Alessandro Ferrari*
Il 28 gennaio scorso, l’European Insurance and Occupational Pensions Authority (EIOPA) ha lanciato una consultazione pubblica sull’accesso e la condivisione dei dati nel settore assicurativo. I dati in senso lato costituiscono un asset fondamentale per il settore, disponibile in quantità e largamente utilizzato a partire dall’analisi del rischio e dalla determinazione dei premi. Il consolidamento delle partnership con fornitori di servizi tecnologici specializzati e le nuove “sorgenti” di dati, quali i social media e i dispositivi dell’Internet of Things (IoT), stanno fungendo da ulteriore propulsore alla corsa del settore verso l’innovazione, portando miglioramenti in termini di efficienza e customer experience.
Ci si chiede, quindi, se e in che misura le catene del valore nel mondo assicurativo debbano essere “aperte”, ossia se e in che misura i dati relativi al settore assicurativo debbano essere condivisi con altri operatori del settore e operatori di settori diversi. Open insurance significa, pertanto, accesso e condivisione di dati, personali e non, generalmente tramite Application Programming Interface (API), set di funzioni e protocolli che consentono l’interazione e integrazione tra diversi applicativi.
Ad oggi sono già numerose le esperienze di condivisione di dati tra gli operatori del settore quali, tra gli altri, le statistiche sul rischio, i dati sulla liquidazione sinistri o l’accesso ai dati meteorologici. Inoltre, recenti iniziative europee di natura programmatica (ad esempio, le comunicazioni della Commissione su “strategia europea per i dati” e “strategia in materia di finanza digitale dell’UE”) e normativa (ad esempio, il Regolamento Generale sulla Protezione dei Dati Personali (GDPR) e la direttiva relativa ai servizi di pagamento nel mercato interno (PSD2)) pongono le basi per un’innovazione incentrata sui dati e sulla loro condivisione. Secondo l’EIOPA, un corretto utilizzo dei dati presenta grandi potenzialità per i consumatori, le compagnie, le autorità di vigilanza e il settore assicurativo in generale, a condizione di trovare il giusto equilibrio con la privacy e protezione dei dati personali, e con il diritto assicurativo e della concorrenza.
Con specifico riferimento al settore assicurativo mancano ancora un quadro normativo armonizzato e livelli accettabili di standardizzazione e interoperabilità. In attesa di interventi e misure volti a facilitare la costituzione di un ecosistema di condivisione dei dati, gli operatori che intendano già sfruttarne le potenzialità sono pertanto chiamati a ricorrere alla contrattazione bilaterale o plurilaterale.
Sono sempre più frequenti le joint ventures o esternalizzazioni tra operatori “tradizionali” di settore e player tecnologici in grado di apportare un valore aggiunto in termini raccolta dei dati e di servizi correlati. Le soluzioni tecnologiche sono spesso orientate ad offrire, da un lato, un’esperienza assicurativa più ricca e personalizzata all’utente finale e, dall’altro, a fornire alle compagnie informazioni preziose per la modulazione della propria offerta. Un esempio è costituito dall’impiego di dispositivi c.d. wearable, che consentono di raccogliere dati sullo stato di salute e l’esercizio fisico svolto. Secondo recenti statistiche, l’utilizzo di tali dispositivi è più che triplicato nel corso degli ultimi quattro anni e più dell’80% dei consumatori di dichiarano disponibili ad indossarli. Altra tendenza in crescita, l’impiego di piattaforme digitali che consentono di fornire servizi avanzati e facilmente fruibili, sia ai clienti aziendali che ai consumatori.
Progetti di questo tipo richiedono un’accurata analisi preventiva in termini di conformità, in particolare alla normativa di settore a quella sulla privacy e la protezione dei dati personali, con attenzione all’impiego di strumenti di intelligenza artificiale. Laddove il progetto venga lanciato in diversi paesi e giurisdizioni per beneficiare di economie di scala e trarre maggior beneficio dall’elaborazione di moli più grandi di dati, l’analisi dovrà anche tenere conto delle specificità esistenti in loco.
Dal punto di vista contrattuale, compagnie assicurative e fornitori sono chiamate a regolare accuratamente molteplici aspetti. Anzitutto vanno definiti con precisione il perimetro di sfruttamento dei dati e i flussi tra i soggetti coinvolti, specialmente se, come spesso accade, è prevista la fornitura di servizi tramite cloud e Software-as-a-Service (SaaS). È poi essenziale, tra l’altro, stabilire in modo chiaro gli obblighi e le responsabilità del fornitore tecnologico, anche con riferimento alla fase pilota del progetto, i livelli di servizio cui si deve attenere, gli strumenti di audit a disposizione del cliente e le regole contrattuali che disciplinano la cessazione del rapporto e la conseguente internalizzazione del servizio o sostituzione con un nuovo fornitore. Un profilo cruciale è costituito anche dai meccanismi contrattuali di tutela dei dati, personali e non, e dagli obblighi di restituzione o distruzione a fine rapporto, cui il fornitore tecnologico è normalmente assoggettato.
La consultazione dell’EIOPA è aperta ai commenti fino al 28 aprile 2021 auspicabilmente i suoi risultati contribuiranno ad accelerare ancora più il processo valorizzazione dei dati e la loro condivisione nel settore assicurativo.
* Studio legale DLA Piper