HomeScrittiIl presidio anti frode sui danni preesistenti – Profili di rischio violazione privacy nel lavoro dei Periti RCA

Il presidio anti frode sui danni preesistenti – Profili di rischio violazione privacy nel lavoro dei Periti RCA

Condividi!

Il recepimento del Regolamento europeo sulla privacy (G.D.P.R.), avvenuto nel corso del 2018 e la relativa normativa di adeguamento (Decreto Legislativo n° 101/2018), sembra che – in Italia – abbiano rispolverato la consapevolezza del rispetto dei dati che non ci appartengono.

Eppure vantiamo il 22° anniversario dalla prima legge sulla privacy in Italia, successivamente raccolta ed organizzata sotto forma di “Codice in Materia di Protezione dei Dati Personali” (Decreto Legislativo n° 196/2003) ben sedici anni fa, scanditi da notevole attività e propensione all’ indirizzo, al sostegno ed al sanzionamento, da parte dell’Autorità Garante della Privacy.

Nel caso specifico, analizzeremo un aspetto concreto di rischio violazione, da parte della figura del “perito assicurativo” (così come definito e disciplinato dall’ art. 156 Nuovo Codice delle Assicurazioni e ss.), nel presidio antifrode, in caso di danni preesistenti.

A questo proposito, le Mandanti non dovrebbero sottovalutare il cd “rischio reputazionale” (correttamente evidenziato per iscritto da una Compagnia) ove un trattamento del dato dei propri Clienti, effettuato da parte di un proprio Fiduciario, avvenga in modo difforme dalla prescrizione.

ACQUISIZIONE DEI DATI e TITOLARITA’ DEL TRATTAMENTO.

E’ nel rapporto di collaborazione professionale, fra l’Impresa assicurativa e lo Studio Peritale che si realizza il primo trasferimento del dato per cui, questo, assume il ruolo di ulteriore Titolare del trattamento.

L’origine dei dati, quindi, è da far risalire al primo Titolare del trattamento: l’Impresa assicurativa.

Posto che non esiste vincolo di subordinazione con la Compagnia e che questa non impone modalità di trattamento del dato e che quindi lo Studio si muove, al riguardo, con totale autonomia legata alle finalità, alle modalità ed agli strumenti di sicurezza, lo Studio peritale è da considerare, a tutti gli effetti, quale Titolare autonomo del trattamento dei dati.

TIPOLOGIA DI DATI ACQUISITI

Il Perito acquisisce, in primis, generalità anagrafiche complete, dei soggetti titolari di un diritto al risarcimento ma anche dei soggetti altrimenti coinvolti: in quanto responsabili dei danni o di testimoni degli accadimenti. Tali informazioni comportano attitudine a valutare: stima tecnica, responsabilità, compatibilità e coerenza dei danni, sussistenza della terzietà, contratti.

Le informazioni acquisite possono essere corredate dall’ulteriore precisazione circa la presenza di lesioni personali, pur senza la specifica esatta della tipologia delle stesse.

In una seconda fase, lo Studio acquisisce e tratta:

  1. le informazioni legate alla proprietà dei veicoli, alla loro quotazione di mercato ed alla quantificazione del danno oggetto del risarcimento od indennizzo.
  2. i dati della cd “black box” ovvero di un dispositivo di localizzazione nel tempo e nello spazio, del veicolo coinvolto e quindi su informazioni circa gli spostamenti (in vero limitati esclusivamente al solo giorno ed all’orario di dichiarato avvenimento del fatto).
  3. il codice IBAN del titolare del diritto al risarcimento.
  4. copie dei contratti stipulati dagli assicurati con le rispettive Compagnie Mandanti, ai fini della trattazione di indennizzi legati alle “garanzie dirette”.

FONDAMENTO GIURIDICO

La base giuridica che autorizza lo Studio peritale al trattamento dei dati è da ricondurre alla “tutela degli interessi legittimi del Titolare del Trattamento o di Terzi” (l’ Impresa di Assicurazione) per tutti coloro (controparti) di cui non viene acquisito il consenso (si pensi all’ipotesi del riscontro sui mezzi, ai dati acquisiti in assenza del titolare) mentre risulta comunque opportuna l’acquisizione del consenso da parte dell’ Assicurato, titolare al diritto al risarcimento (G.D.P.R. Considerando 47).

Risulterebbe interessante esplorare l’ipotesi in cui un Assicurato rifiuti di fornire il proprio consenso al trattamento ad uno Studio peritale (ritenuto per es. non affidabile sulla cura dei dati). E’ vero che l’Impresa è autorizzata al trattamento anche in forza di un contratto di cui l’Assicurato è cliente ma ciò non autorizzerebbe l’Impresa a negare il servizio di liquidazione del danno reso impossibile dal rifiuto al trattamento del Cliente (servizio di liquidazione sinistri cui è obbligata per Lagge).

Questo scenario – non esplorabile nella seguente trattazione – riporta comunque alla forte necessità che le Imprese pretendano dai propri Fornitori un pedissequo rispetto della Normativa Privacy in quanto titolari del trattamento dei dati dei propri Assicurati

Orbene, comunque gestito tale passaggio, giunti alla fase della stima ed accertamento del danno da parte del Perito, il G.D.P.R. impone un trattamento per il periodo strettamente necessario al proprio adempimento (perizia) ed i dati acquisiti dovrebbero essere disimpegnati con le modalità previste dal proprio Registro dei Trattamenti (di cui dovrebbe essere dotato – per opportunità – lo Studio) dal momento della trasmissione dell’ elaborato alla Mandante poiché esaurita la finalità dell’acquisizione e del relativo trattamento. (GDPR considerando n° 39 “..l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” e dove prevede che “…il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica”.

Dopo la restituzione della perizia – in sintesi – non c’è più nulla che autorizzi il Perito a trattenere i dati acquisiti (tutti) per l’espletamento del proprio incarico. Successivi trattamenti (conservazione ed utilizzo) devono competere esclusivamente all’ Impresa Mandante per due profili di fondamento giuridico:

  1. L’obbligo di Legge (alimentazione della Banca Dati Sinistri);
  2. Il contratto con il proprio Cliente.

LA QUESTIONE

Il punto è che le peculiarità professionali, dei periti assicurativi, inducono gli stessi ad una consuetudinaria conservazione ulteriore di tutti i dati senza limiti di scadenza, svincolata da indicazioni sulle finalità e – generalmente – sottratta a qualsiasi organizzazione tecnica che ne tuteli la sicurezza fisica e/o informatica.

Tale ulteriore trattamento, da parte dei Periti Assicurativi, non trova alcun fondamento giuridico.

E’ vero che il G.D.P.R. (Considerando 47) riporta quale “legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi” ma tale interesse va da intendersi come tutelato in via esclusiva, alle Imprese stesse, per via della BDS appositamente istituita dal Legislatore per la prevenzione delle frodi nel settore.

Non v’è dubbio che i Periti assicurativi non figurino fra coloro obbligati all’alimentazione della BDS (il cui obbligo ricade sulle Imprese) né fra i soggetti identificati quali fruitori della stessa (le Imprese medesime nonché le Autorità od Enti pubblici, fra l’altro per finalità specifiche).

Se ne ricava che la consuetudinaria conservazione senza limiti temporali e senza alcuna garanzia di conservazione, accesso, utilizzo – pur se basata sul lecito, teorico, presupposto di verifica di sinistrosità pregressa – avverrebbe in clamorosa violazione della Normativa sulla Privacy ed esporrebbe:

  1. il Perito, alle sanzioni del Garante o della Magistratura civile (ed, in entrambi i casi, all’ipotesi di segnalazione al Giudice penale ove il fatto integri gli estremi del reato);
  2. l’Impresa, al su richiamato “rischio reputazionale”.

Non è raro – anzi sempre auspicabile – che gli Studi peritali forniscano informazioni su sinistrosità pregressa, alle Imprese, ricavando i dati dai loro sistemi informatici e fornendo documentazione all’una su sinistri di altra Impresa, per loro, Mandante.

Tale scambio di informazioni, si ritiene, avvenga per un trattamento senza fondamento giuridico:

Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali” (G.D.P.R. Considerando 47).

In tutto questo, esiste un ulteriore elemento che rende nebuloso lo scenario sulla tutela dei dati personali: il passaggio dei dati personali dei Clienti – e non solo – dalle Mandanti agli Studi ed il successivo ritorno in restituzione, avviene attraverso i server di Software House private.

Un inesplorato passaggio (l’aggettivo non vuol avere alcuna presunzione negativa ma solo una presa d’atto) per cui torna utile ricordare la precisa indicazione del Garante che a tutta la filiera del trattamento vada garantita una rigorosissima tutela degli Interessati.

SEGUITO

Detto ciò, l’ipotesi del successivo trattamento e la radicata consuetudine di cui accennato, si basano, comunque, su finalità lecite e, per certi aspetti, anche auspicabili.

Nello specifico, per i seguenti motivi:

  1. Attività giudiziale in caso di mancato accordo fra il Danneggiato e l’Impresa assicurativa. E’ prassi dei Giudici di Pace ammettere la produzione della perizia, del corredo fotografico e di qualsiasi ulteriore lavoro espletato, agli atti di causa. I Periti sono, sovente, chiamati anche a testimoniare davanti al Giudice ed a giurare la perizia prodotta.
  2. Indagini di Polizia Giudiziaria. Sono frequenti i casi in cui le Autorità di Polizia ovvero la medesima Autorità Giudiziaria, nel corso di proprie attività investigative, sul tema delle frodi assicurative, convochino i Periti richiedendo la produzione di elaborati peritali, fotografie e qualsiasi lavoro svolto in merito a particolari sinistri od a nominativi specifici di Danneggiati.
  3. Attività antifrode di cui all’ art.135 Codice delle Assicurazioni (D. LGS n° 209/2005. Vedere anche Regolamento IVASS n° 23 del 1 giugno 2016).

E’ consequenziale, quindi, che lo status professionale dei Periti assicurativi li renda comunque quale parte integrante del virtuoso meccanismo di presidio sulle attività antifrode. Presidio che può essere irrobustito anche mediante la conservazione degli atti lavorati che avvenga, però, con tutte le garanzie di Legge.

Ad ogni buon fine, nello spirito di responsabilizzazione e di trasparenza auspicato dalla Normativa, considerato anche che la quantità dei dati e l’estensione geografica a livello nazionale integrano il “trattamento su larga scala” chi scrive suggerirebbe una preventiva consultazione del Garante, per acquisirne l’autorevole parere, in base al quale sarebbe qualificata l’ulteriore attività dei Periti.

Si potrebbero assumere a fondamento giuridico le fattispecie che non richiedono il consenso esplicito del Destinatario del trattamento, supportate dalle seguenti misure di sicurezza:

  1. Informativa su finalità, modalità e tempistica dell’ulteriore conservazione ed eventuale trattamento, rilasciata al Destinatario (del quale non necessita il preventivo consenso);
  2. Espressione delle modalità della conservazione (vedere il Registro dei Trattamenti);
  3. Chiara valutazione della non eccedenza delle informazioni rispetto agli scopi previsti;
  4. Netta precisazione circa la tempistica dell’ulteriore conservazione: 5 anni.

L’ ulteriore conservazione, in affinità con quanto prescritto per BDS dal Regolamento IVASS 23/2016, esisterebbe per un ulteriore periodo di 5 anni (cinque), spirato il quale i dati verrebbero cancellati ovvero anonimizzati per finalità statistiche (da riportare nel Registro dei Trattamenti).

CONSIDERAZIONI FINALI

Questa trattazione, assume la mera finalità di sensibilizzare su quanta esposizione esista, in ogni ambito professionale, rileggendo la propria organizzazione aziendale ma anche le proprie procedure, le consuetudini e le modalità del lavoro.

I dati personali degli altri non ci appartengono ed il loro trattamento, anche ove basato su solido fondamento giuridico, richiama l’articolo 2050 del codice civile (Attività pericolose). Tale richiamo, oltre a qualificare ulteriormente la particolare delicatezza della questione, impone l’inversione dell’onere della prova rispetto all’ art 2043 c.c. (Risarcimento del danno da fatto illecito).

Questa previsione comporta che, in caso di violazione del dato – che, ricordiamo, può consistere anche nella cancellazione fortuita, nello smarrimento – che comporti un danno all’ Interessato del trattamento, pone il Titolare e/o il Responsabile nell’obbligo di  provare di avere posto in essere tutte le misure organizzative, comportamentali e tecniche (misurate con lo stato della conoscenza) idonee ad evitare la violazione, dovuta – a questo punto in via residuale – al fatto fortuito od alla forza maggiore.

Il ruolo sociale delle Imprese deve sempre basarsi su di un solido sentimento di affidabilità e trasparenza che impone loro una costante revisione, migliorativa, dei metodi organizzativi e lavorativi anche dei loro primi Partner lavorativi.

La filiera non si esaurisce, affatto, al di fuori delle mura aziendali.