L’IVASS ha posto in pubblica consultazione lo schema di Regolamento, predisposto di concerto dall’IVASS, dal Ministero dello Sviluppo Economico e dal Garante per la protezione dei dati personali, attuativo dell’articolo 32, comma 1 bis, del decreto legge 24 gennaio 2012 n. 1, convertito in legge 24 marzo 2012, n. 27, volto a regolamentare le modalità di raccolta, gestione e utilizzo dei dati raccolti da dispositivi elettronici, c.d. scatole nere o equivalenti, che registrano l’attività del veicolo e a disciplinare l’interoperabilità di tali dispositivi in caso di sottoscrizione di un contratto r.c. auto con impresa diversa da quella che ha provveduto ad installare il dispositivo.
Eventuali osservazioni, commenti e proposte vanno inviati entro il 30 aprile 2013 all’indirizzo di posta elettronica: regolamentoscatolanera@ivass.it.
L’articolo 32, comma 1, del decreto legge 24 gennaio 2012, n. 1, recante disposizioni urgenti per la concorrenza, lo sviluppo delle infrastrutture e la competitività, convertito in legge 24 marzo 2012, n. 27, ha modificato le disposizioni di cui all’articolo 132, comma 1 del Codice delle assicurazioni private (decreto legislativo 7 settembre 2005, n. 209), prevedendo che nel caso in cui l’assicurato che si appresta a stipulare un contratto r.c. auto acconsenta all’installazione sul proprio veicolo di un meccanismo elettronico che registra l’attività del veicolo, quale la c.d. scatola nera o equivalenti, ha diritto ad ottenere dall’impresa di assicurazione una riduzione significativa di premio.
La norma prevede inoltre che i costi di installazione, disinstallazione, sostituzione, funzionamento e portabilità dei meccanismi elettronici sono a carico delle imprese di assicurazione e che la riduzione di premio va riconosciuta all’atto della stipulazione del contratto o in occasione delle scadenze successive, a condizione che risultino rispettati i parametri stabiliti dal contratto.
Il decreto liberalizzazioni demanda l’attuazione della nuova disposizione a tre provvedimenti:
a) un decreto del Ministero delle Infrastrutture e dei Trasporti, di concerto con il Ministero dello Sviluppo Economico, che deve individuare i meccanismi elettronici, denominati scatola nera o equivalenti, o ulteriori dispositivi in grado di registrare l’attività del veicolo (articolo 32, comma 1)
b) un Regolamento ISVAP (ora IVASS), di concerto con il Ministro dello Sviluppo Economico e il Garante per la protezione dei dati personali, che deve definire le modalità di raccolta, gestione e utilizzo, in particolare a fini tariffari e per la determinazione della responsabilità in occasione dei sinistri, dei dati raccolti dai
meccanismi elettronici, nonché le modalità per assicurare l’interoperabilità di tali meccanismi nel caso in cui venga sottoscritto un contratto di assicurazione con impresa diversa da quella che ha provveduto ad installarlo (articolo 32, comma 1 bis);
c) un decreto del Ministro dello Sviluppo Economico, da emanare sentito il Garante per la protezione dei dati personali, che deve definire uno standard tecnologico comune hardware e software per la raccolta, la gestione e l’utilizzo dei dati raccolti dai meccanismi elettronici, al quale le imprese di assicurazione dovranno adeguarsi entro due anni dalla sua emanazione (articolo 32, comma 1 ter).
Il decreto sub a) è stato emanato il 25 gennaio 2013, il decreto sub c) è stato notificato dal Ministero dello Sviluppo Economico alla Commissione UE nel mese di settembre u.s. ai sensi della Direttiva 98/34/CE.
Il presente documento contiene lo schema del Regolamento sub b).
L’articolo 1 dello schema di Regolamento reca le definizioni dei termini più rilevanti utilizzati nel testo. In particolare i meccanismi elettronici sono definiti come i dispositivi in grado di localizzare il veicolo, determinare la sua accelerazione e decelerazione e acquisire i relativi dati. Le caratteristiche tecniche di dettaglio sono state definite dal d. m. 25 gennaio 2013.
L’articolo 2 definisce l’ambito di applicazione del Regolamento precisando che la disciplina regolamentare riguarda i dati raccolti ed utilizzati nell’ambito di un contratto di assicurazione obbligatoria r.c. auto. L’articolo 32 del decreto liberalizzazioni ha infatti introdotto le nuove disposizioni sulla scatola nera nell’ambito dell’articolo 132 del Codice delle Assicurazioni, relativo alla assicurazione r.c. auto, con finalità di contributo alla riduzione dei prezzi praticati in tale ramo e di lotta alle frodi.
L’assicurazione r.c. auto costituisce uno tra i più importanti segmenti dell’economia del Paese: la sua rilevanza sociale (sono oltre 40 milioni i veicoli in circolazione) la pone, in ragione della sua obbligatorietà, al centro dell’attenzione di soggetti pubblici e privati, stimolando la ricerca di soluzioni che consentano la diminuzione dei premi praticati, in particolare in alcune zone del Paese.
La situazione di criticità che interessa il settore trova, almeno in parte, la sua ragione nella asimmetria che caratterizza il sistema: all’obbligo di assicurarsi che grava sul contraente si contrappone l’obbligo a contrarre, statuito ex lege, a carico delle compagnie di assicurazione, con la particolarità che il prezzo è stabilito dalle stesse imprese senza alcuna possibilità di “interventi calmieratori” per effetto della legislazione comunitaria del 1993 che ha introdotto un regime liberalizzato, sottoposto alle regole del mercato e della libera concorrenza.
L’elevato costo delle polizze ha indotto il legislatore ad intervenire, tramite il decreto liberalizzazioni, con una serie di nuove misure, tra cui la previsione del ricorso ad una soluzione tecnologica, la c.d. “scatola nera”, che consente di produrre, oltre ad un risparmio immediato per il consumatore tramite lo sconto sul premio, effetti positivi sul sistema nel suo insieme, offrendo alle imprese di assicurazione la possibilità di:
i. verificare la compatibilità dei danni denunciati rispetto alla dinamica del sinistro
ii. esercitare maggiori controlli sui costi dei risarcimenti
iii. contrastare in maniera più efficace i fenomeni speculativi e fraudolenti, con conseguente creazione di margini per la riduzione dei prezzi r.c.auto.
Inoltre la raccolta e l’utilizzo dei dati raccolti dalle scatole nere, come ad esempio la tipologia di strade percorse, la quantità di chilometri percorsi, le ore e i giorni di utilizzo del veicolo, possono consentire alle imprese di affinare le tecniche di personalizzazione dei rischi e di innovare l’offerta commerciale, a vantaggio degli assicurati.
Le scatole nere, dal punto di vista tecnologico, possono essere in grado di offrire ulteriori funzioni, finalizzate alla prestazione di servizi aggiuntivi rispetto al contratto di assicurazione r.c. auto, legati ad esempio al furto del veicolo o alla prestazione di assistenza sul posto in caso di incidente. L’articolo 2 del Regolamento precisa che le modalità di raccolta e di utilizzo dei dati relativi a tali prestazioni non formano oggetto del Regolamento, che disciplina esclusivamente il loro impiego nell’ambito dei contratti r.c. auto. Lo stesso articolo prevede che la prestazione di servizi assicurativi aggiuntivi non può costituire condizione per l’accesso al contratto di assicurazione r.c. auto con scatola nera.
Il consumatore, in altre parole, ha diritto a stipulare un contratto in cui la scatola nera assolva alle sole finalità r.c. auto e a beneficiare, a fronte della installazione, di una riduzione significativa di prezzo.
Relativamente alle modalità di raccolta e gestione dei dati l’articolo 3 prevede che le imprese di assicurazione, nel rispetto delle disposizioni dell’IVASS in materia di outsourcing, possono avvalersi di soggetti terzi per la raccolta e gestione dei dati rilevati e comunicati dai meccanismi elettronici installati a bordo dei veicoli. In tal caso, le imprese titolari dei trattamenti possono designare quali responsabili dei trattamenti medesimi, e in aderenza al ruolo effettivamente svolto da costoro, i soggetti terzi che per esperienza, capacità e professionalità forniscano idonee garanzie di affidabilità in materia di trattamento dei dati personali.
In relazione alle modalità di utilizzo dei dati, l’articolo 4 stabilisce quali siano le informazioni utilizzabili nel rispetto delle finalità indicate, con particolare riferimento ai dati relativi alle percorrenze del veicolo e a quelli utilizzabili ai fini della ricostruzione della dinamica del sinistro.
Per quanto concerne le percorrenze si prevede che le imprese utilizzino, in forma aggregata, le risultanze relative ai chilometri percorsi, alla tipologia della strada, alle fasce orarie e ai giorni di utilizzo del veicolo.
I dati necessari per ricostruire la dinamica del sinistro, invece, rilevati a seguito del superamento della soglia di accelerazione o decelerazione predefinita, per almeno un certo numero di volte in un arco temporale limitato, dovranno consentire all’impresa la localizzazione del veicolo al momento dell’incidente e l’ubicazione del punto d’urto, in modo che sia possibile valutare con maggiore attendibilità i danni connessi ai sinistri.
Viene inoltre stabilito che le imprese, per ragioni legate alle esigenze di protezione dei dati personali, potranno conoscere tali dati solo in caso di sinistro.
L’articolo 5 del Regolamento disciplina l’utilizzo dei dati ai fini tariffari, prevedendo che le imprese impieghino i dati raccolti, eventualmente incrociati, per elaborare tariffe specifiche dedicate ai contraenti di polizze r.c. auto che prevedono l’installazione dei meccanismi elettronici e per incrementare le basi tecniche utilizzate per il calcolo delle tariffe ai sensi dell’articolo 35 del Codice delle Assicurazioni.
Ulteriori dati rispetto alle percorrenze e a quelli che consentono la ricostruzione della dinamica del sinistro possono essere raccolti ed utilizzati a fini tariffari nel rispetto delle previsioni in materia di privacy, consentendo una maggiore personalizzazione tariffaria.
L’articolo 6 prevede che i dati raccolti in caso di sinistro siano utilizzati dalle imprese nell’ambito dei processi di valutazione e liquidazione dei sinistri, in modo da consentire un maggior controllo dei costi e una più intensa prevenzione delle frodi, contribuendo in tal modo alla riduzione dei costi dei sinistri e alla conseguente riduzione delle tariffe. Le imprese sono chiamate ad integrare in maniera sistematica l’analisi dei dati di crash e le relative risultanze nell’ambito dei processi liquidativi, verificando in particolare l’accadimento e la dinamica del sinistro, la compatibilità dei danni a cose e dei danni fisici dichiarati in sede di denuncia rispetto alla dinamica del sinistro, l’attribuzione della responsabilità.
Attraverso un corretto utilizzo del meccanismo le imprese potranno ad esempio meglio fronteggiare i cd. “sinistri fantasma”, oggetto di numerose segnalazioni dei consumatori all’IVASS. Si tratta di sinistri, in odore di frode, il cui accadimento viene contestato dall’assicurato presunto responsabile e che si traduce per lo stesso in un indebito aggravio del premio. Qualora fosse presente sul veicolo la scatola nera, attraverso i dati registrati l’impresa potrebbe verificare l’effettivo coinvolgimento del veicolo nel sinistro.
Va inoltre considerato che la giurisprudenza, in particolare negli ultimi due anni, ha mostrato una crescente sensibilità in relazione allo strumento di rilevazione satellitare delle attività dei veicoli accogliendo le relative risultanze agli atti dei processi, ove sono stati utilizzati per ricostruire la dinamica del sinistro ed accertare le responsabilità, nonché per escludere lesioni personali in presenza di impatti registrati dal dispositivo di entità lieve e obiettivamente incompatibili con la tipologia di danno lamentata.
Le informazioni registrate in occasione dei sinistri sono idonee ad incidere sul processo di liquidazione anche in termini di abbreviazione dei tempi del risarcimento, per effetto della maggiore e più tempestiva disponibilità di informazioni.
L’articolo 7 disciplina l’accessibilità ai dati da parte del contraente e/o dall’assicurato, prevedendo, attraverso una specifica applicazione web con accesso riservato messa a disposizione dalle imprese, forme di conoscibilità aggregata dei dati a fini tariffari. I dati personali raccolti dai meccanismi elettronici restano suscettibili di accesso da parte degli interessati ai sensi dell’art. 7 del Codice in materia di protezione dei dati personali.
L’articolo 8 contiene disposizioni più specifiche in materia di trattamento dei dati personali, prevedendo, in aderenza al principio di necessità, che i meccanismi elettronici vengano configurati riducendo al minimo la rilevazione dei dati personali e utilizzando tecniche di cifratura adeguate a tutela delle informazioni. E’ inoltre previsto che le imprese e i soggetti terzi trattino i dati personali raccolti attraverso i meccanismi elettronici in modo lecito e secondo correttezza e per le finalità previste dal Regolamento, utilizzandoli anche in operazioni di trattamento compatibili con tali finalità.
I dati personali trattati dalle imprese e dai soggetti terzi dovranno essere esatti, aggiornati e completi, nonché pertinenti e non eccedenti rispetto alle finalità che ne hanno giustificato la raccolta.
La norma prevede inoltre che:
a) gli interessati debbano essere preventivamente informati, anche a mezzo di apposite vetrofanie apposte sul veicolo, sulle caratteristiche dei trattamenti svolti;
b) il trattamento dei dati personali acquisiti, ove non ricorra una delle ipotesi di cui all’art. 24 del Codice in materia di protezione dei dati personali, possa essere effettuato solo con il consenso degli interessati;
c) previa idonea identificazione, sia garantita al richiedente la possibilità di interrompere immediatamente il trattamento dei dati relativi alla localizzazione mediante una semplice funzione (via telefono o sms, ad esempio) ed in modo gratuito; la gratuità si riferisce alla modalità utilizzata per comunicare l’interruzione;
d) il titolare del trattamento dei dati personali adotti le misure minime di sicurezza indicate dagli articoli 33 e seguenti e dall’allegato B del Codice in materia di protezione dei dati personali. In particolare, dovranno essere previste procedure di strong authentication per l’autenticazione informatica degli incaricati e misure idonee a proteggere i dati dal rischio di acquisizione, anche fortuita, dei dati;
e) il titolare effettui al Garante la notifica del trattamento dei dati che indicano la posizione geografica di persone od oggetti ai sensi dell’articolo 37 del Codice in materia di protezione dei dati personali;
f) i dati personali raccolti per le finalità previste dal Regolamento siano conservati per un periodo di tempo non superiore a quello necessario al perseguimento degli scopi per i quali essi sono stati raccolti o trattati, decorso il quale debbono essere resi anonimi o cancellati. In particolare il Garante prevede che per le finalità tariffarie i dati non possano essere conservati oltre il periodo strettamente necessario alla determinazione delle tariffe e, comunque, non oltre un termine massimo (da definire sulla base delle osservazioni che saranno formulate in pubblica consultazione) e, in caso di sinistro, non oltre due anni. I dati rilevati dalle scatole nere, ove memorizzati all’interno dei dispositivi, devono essere cancellati subito dopo la loro trasmissione agli eventuali soggetti terzi.
L’articolo 9 stabilisce che le imprese debbano fornire preventivi personalizzati in relazione a prodotti con installazione di scatola nera attraverso i propri siti internet alimentando inoltre il servizio di preventivazione on line (Tuopreventivatore) fornito da IVASS e MiSE. Tale disposizione, che andrà coordinata con le recenti disposizioni in materia di c.d. “contratto base r.c.auto”, consentirà al consumatore di avere evidenza del risparmio connesso alla stipulazione di polizze che prevedono l’installazione della scatola nera e nello stesso tempo di confrontare i prodotti di diverse imprese.
In merito all’interoperabilità dei meccanismi – volta a consentire l’utilizzo dei dispositivi già installati nel caso in cui l’assicurato decida di stipulare il contratto con altra impresa – nella consapevolezza che ad oggi non sussiste un modello unico di tali dispositivi e che gli stessi presentano differenze tecniche che possono non consentire l’utilizzo da parte di un soggetto diverso da quello originario è stata prevista una soluzione transitoria. L’articolo 10 prevede che – nell’attesa che le imprese si adeguino allo standard tecnologico comune hardware e software che sarà individuato dal decreto attuativo previsto dall’articolo 32, comma 1-ter, del decreto liberalizzazioni – sia consentita, oltre alla sostituzione del dispositivo senza costi aggiuntivi per l’assicurato, la possibilità che i dati raccolti dalle scatole nere siano fruibili dall’impresa con la quale l’assicurato ha stipulato il nuovo contratto, nel rispetto di quanto previsto dalle disposizioni in materia di protezione dei dati personali.