OPEN INSURANCE, LA LINEA DI EIOPA SUL DATA ACT
Nel suo documento di pubblica consultazione l’Autorità ha fornito spunti interessanti sulla regolamentazione del trattamento dei dati, mentre sarà interessante valutarne i rapporti e le interazioni con il Gdpr e le altre direttive sul tema
08/09/2022
Lo scorso 15 giugno Eiopa ha reso noto il proprio feedback relativo alla pubblica consultazione sull’open insurance del gennaio 2021. Il documento, di sicuro interesse per l’intero mondo assicurativo, oltre a riportare gli elementi salienti tratti dalle risposte degli stakeholder, ha evidenziato una serie di spunti sui prossimi passi che l’Autorità intende compiere. Tra questi, evidenziamo il monitoraggio delle iniziative normative impattanti sul settore, come la proposta di Data act, sulla quale ci concentreremo.
Ne vedremo i punti salienti, nonché i rapporti dello stesso con il Gdpr, alla luce del parere congiunto, espresso dal Garante europeo della protezione dei dati (Edps) e dal Board europeo per la protezione dei dati (Edpb).
CHE COSA C’È NEL DATA ACT
Il Data act, ovvero la proposta di regolamento recante norme armonizzate sull’accesso e sull’uso equo dei dati, avanzata dalla Commissione Europea il 23 febbraio 2022, si colloca nell’ambito dell’European strategy for data (Strategia europea per i dati), il cui primo pilastro è costituito da un altro regolamento comunitario, il Data governance act (Dga).
Ricordiamo al proposito che obiettivo del Dga, entrato in vigore il 23 giugno 2022 e applicabile dal 15 settembre 2023, è quello di dare luogo a uno spazio di condivisione di dati all’interno dell’Ue. La proposta di Data act nasce, invece, con lo scopo di regolarne in chiave commerciale l’utilizzo, sia da parte delle aziende, sia da parte dei singoli, nell’ambito di una serie di prodotti e servizi, compresi gli oggetti connessi (IoT), i dispositivi medici o sanitari e gli assistenti virtuali.
La proposta di Data act comprende tra l’altro:
- misure per consentire agli utenti dei dispositivi connessi di accedere ai dati da essi generati e condividerli con terze parti, affinché possano fornire servizi aftermarket o altri servizi innovativi (pensiamo ai dati generati, ad esempio, da un’automobile o da un dispositivo wearable);
- misure per riequilibrare il potere negoziale per le Pmi, prevenendo l’abuso degli squilibri contrattuali nei contratti di condivisione dei dati;
- strumenti a disposizione del settore pubblico per accedere e utilizzare i dati detenuti dal settore privato in circostanze eccezionali, come ad esempio nel caso di inondazioni o incendi;
- nuove regole che consentano ai clienti di passare in modo efficace tra diversi fornitori di servizi cloud e di implementare efficaci misure di salvaguardia contro il trasferimento illegale di dati;
La designazione delle Autorità di controllo nazionali (in Italia il Garante della privacy) come autorità responsabili del monitoraggio dell’applicazione del Data act per quanto riguarda la protezione dei dati personali.
Inoltre, il Data act rivede alcuni aspetti della direttiva sui database, (direttiva 96/9/CE, recepita in Italia con dlgs 169/1999) per proteggere gli investimenti nella presentazione strutturata dei dati. In particolare, lo stesso chiarisce che i database contenenti dati da dispositivi e oggetti Internet of things non dovrebbero essere soggetti a una protezione legale separata, al fine di renderne possibili l’accesso e l’utilizzo.
UNA MAGGIORE DISPONIBILITÀ DI DATI
Alla luce di quanto abbiamo appena visto, il quadro normativo pensato dal legislatore comunitario dovrebbe assicurare, dunque, agli operatori economici una maggiore disponibilità di dati, consentendo loro di trarre dei vantaggi da un mercato più competitivo, nella prospettiva dello sviluppo di nuovi servizi digitali.
La proposta della Commissione può sbloccare l’enorme potenziale che hanno i dati generati dagli oggetti connessi in Europa, una delle aree chiave per l’innovazione nei prossimi decenni, creando valore, ma allo stesso tempo equità tra i diversi soggetti coinvolti, anche sotto il profilo contrattuale.
Il Data act può, inoltre, garantire ai singoli e alle aziende un maggiore controllo sui propri dati attraverso un diritto alla loro portabilità rafforzato, copiandoli o trasferendoli facilmente dai diversi servizi, in cui vengono generati tramite oggetti, macchine e smart object.
Ad esempio, il proprietario di un’automobile o di un macchinario, come ci dice la Commissione stessa, potrebbe scegliere di condividere i dati generati dal loro utilizzo con la propria compagnia assicurativa, di modo che gli stessi, aggregati da più utenti, potrebbero anche aiutare a sviluppare o migliorare altri servizi digitali per quanto riguarda il traffico, o zone ad alto rischio d’incidenti.
LE INTERAZIONI CON IL GDPR
Non è tutto oro, però, quello che luccica, come evidenziato nel parere congiunto espresso dal Garante europeo della protezione dei dati e dal Board europeo per la protezione dei dati del 4 maggio scorso.
Ai legislatori comunitari è stato richiesto di intervenire, per non pregiudicare il sistema delle tutele accordato ai cittadini comunitari dal sistema normativo-regolamentare disegnato dal Gdpr.
Edps ed Edpb hanno raccomandato, per esempio, di introdurre chiare limitazioni per quanto riguarda l’uso dei dati pertinenti a fini di marketing diretto o pubblicità, monitoraggio dei dipendenti, calcolo, modifica dei premi assicurativi e credit scoring livello di crediti, nonché limitazioni all’uso dei dati per proteggere gli interessati vulnerabili, in particolare dei minori.
Un’altra importante raccomandazione è stata espressa in relazione all’accesso e all’utilizzo da parte di soggetti pubblici di dati del settore privato, con particolare riferimento alla necessità di definire in modo molto più rigoroso le ipotesi di emergenza o di “necessità eccezionale” che giustificano, appunto, il già menzionato utilizzo e accesso.
UN MONDO FRAMMENTATO E COMPLESSO
Seguiremo con particolare attenzione l’iter che condurrà all’approvazione definitiva del Data act, in un contesto normativo che secondo alcuni commentatori appare essere eccessivamente frammentato e, aggiungiamo noi, sicuramente complesso da ricostruire.
Oltre al Data act e al Dga la Commissione Europea ha affrontato il mondo (anche) digital e dei dati con ulteriori iniziative come il Digital services act, relativo alle reti e ai servizi e il Digital market act, relativo alle piattaforme e alla concorrenza, mentre manca ancora una cornice normativa comunitaria che consideri il fenomeno dell’open insurance, come avviene nel settore bancario con l’open banking, oramai prossimo al varo della direttiva Psd3.
© RIPRODUZIONE RISERVATA
👥
