Regolamento europeo sulla privacy: le opportunità per il mondo assicurativo
La normativa che disciplina il trattamento dei dati personali per tutti i Paesi Ue pone rigide regole per la protezione delle informazioni, ma allo stesso tempo introduce modalità di gestione che possono svincolare dal consenso esplicito
20/02/2017
Il regolamento europeo sulla protezione dei dati personali, definitivamente entrato in vigore il 24 maggio 2016 ma applicabile a partire da maggio 2018, mira ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, prevedendo un corpus unico di norme di protezione dei dati valido per tutti gli Stati membri dell’UEe e direttamente applicabile in ciascuno di essi senza la necessità dell’adozione di strumenti attuativi da parte dei singoli Paesi. Proprio questo dovrebbe comportare una maggiore armonizzazione, obiettivo che era stato di fatto mancato dalla Direttiva 95/46. Tra le varie novità introdotte dal Regolamento, è importante ricordare il concetto di data protection by design, che attiene alla fase della progettazione del trattamento dei dati, e consiste nel fare sì che i procedimenti e le modalità del trattamento rispettino la normativa fin dalla fase iniziale e siano adattati alle tipologie di dati trattati e delle finalità perseguite. La data protection by default riguarda invece il modo tecnico e organizzativo con cui si opera ai fini dell’utilizzazione, conservazione e protezione dei dati trattati, nonché le modalità a tali fini adottate. Tra le conseguenze di questi principii, figurano sia la minimizzazione, sia la pertinenza dei dati rispetto alle finalità del trattamento, concetti già noti ed espressi dal nostro Codice della Privacy.
La ricerca di un equilibrio tra interessi
Un’altra importante novità risiede nella necessità per il titolare del trattamento di procedere a una preventiva valutazione dell’impatto dello stesso sulla protezione dei dati personali, nel caso in cui il tipo di trattamento preveda l’uso di nuove tecnologie che, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
La valutazione di impatto comprende anche un bilanciamento degli interessi in gioco: quello alla protezione dei dati personali degli interessati, e quello legittimo del titolare a procedere al trattamento. Se, all’esito del bilanciamento, con l’adozione di misure tecniche e organizzative idonee, si può ritenere il rischio per gli interessati attenuato, l’interesse legittimo del titolare potrà considerarsi prevalente e valere come base giuridica per il trattamento in alternativa al consenso degli interessati.
Questa previsione costituisce una novità nel nostro ordinamento: in quasi tutti i Paesi europei (sulla base di quanto previsto dalla Direttiva 95/46) il bilanciamento di interessi sopra descritto può essere effettuato dal titolare stesso seguendo i criteri e le linee guida fornite dal Gruppo Articolo 29 (che raggruppa tutte le autorità di privacy europee) a maggio del 2014. In Italia, invece, i titolari non possono fare affidamento su questo bilanciamento di interessi, né seguire le linee guida fornite dal Gruppo Articolo 29, perché il Codice della Privacy prevede che questo bilanciamento sia effettuato dal Garante, attraverso un provvedimento specifico (su richiesta del titolare) oppure generale (adottato d’ufficio dal Garante).
Il Regolamento, invece, consente ai titolari di effettuare autonomamente questo bilanciamento di interessi, e prevede una preventiva consultazione con il Garante soltanto nel caso in cui la valutazione d’impatto sulla protezione dei dati dia esito negativo, e cioè permanga un rischio per gli interessati che non può essere attenuato nonostante le misure adottate, oppure ove non sia possibile adottarne per motivi di costi e tecnologie disponibili. (continua a pag. 4)
(continua da pag. 3)
Dati anonimi, niente consenso
Il Regolamento introduce anche una definizione di pseudonimizzazione, vale a dire il trattamento dei dati personali in modo tale che gli stessi non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, le quali siano conservate separatamente e soggette a misure tecniche e organizzative volte a garantire proprio l’impossibilità di tale attribuzione. Il concetto di pseudonimizzazione è strettamente collegato a quello di minimizzazione e pertinenza, e dunque al principio della data protection by design e by default. Non solo. La pseudonimizzazione costituisce, per espressa ammissione del Regolamento, una misura di sicurezza volta ad attenuare i rischi per gli interessati in relazione al trattamento dei dati personali che li riguardano. Ne consegue che nell’ambito di una valutazione di impatto sulla protezione dei dati personali, nonché effettuazione del bilanciamento di interessi (quale base giuridica del trattamento alternativa al consenso), la pseudonimizzazione potrebbe avere un ruolo fondamentale. Se la medesima è idonea ad attenuare il rischio, a seguito della valutazione di impatto e del bilanciamento di interessi contestuale alla medesima, si potrebbe sostenere la non necessità del consenso degli interessati.
E, a ben guardare, ciò non è un’assoluta novità nel nostro ordinamento: il Garante, in alcuni ambiti specifici, ha di fatto riconosciuto la pseudonimizzazione e la separazione logica quali misure idonee ad attenuare i rischi e – riconoscendo la prevalenza dell’interesse legittimo del titolare e richiedendo l’adozione di ulteriori misure di sicurezza – ha ammesso il trattamento dei dati personali degli interessati senza il consenso di questi ultimi (si veda il Provvedimento sulle attività di profilazione svolta dai fornitori di servizi di comunicazione elettronica del 25 giugno 2009).
Alla luce delle considerazioni sopra esposte, riteniamo che il Regolamento offra delle opportunità per le assicurazioni che intendano effettuare trattamenti dei dati personali e maggiori dettagli sulle regole e sulle modalità con cui tali opportunità possano essere colte e sviluppate. Ulteriore chiarezza verrà dalle linee guida delle autorità europee sugli aspetti più nuovi e rilevanti introdotti dal Regolamento.
La ricerca di un equilibrio tra interessi
Un’altra importante novità risiede nella necessità per il titolare del trattamento di procedere a una preventiva valutazione dell’impatto dello stesso sulla protezione dei dati personali, nel caso in cui il tipo di trattamento preveda l’uso di nuove tecnologie che, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
La valutazione di impatto comprende anche un bilanciamento degli interessi in gioco: quello alla protezione dei dati personali degli interessati, e quello legittimo del titolare a procedere al trattamento. Se, all’esito del bilanciamento, con l’adozione di misure tecniche e organizzative idonee, si può ritenere il rischio per gli interessati attenuato, l’interesse legittimo del titolare potrà considerarsi prevalente e valere come base giuridica per il trattamento in alternativa al consenso degli interessati.
Questa previsione costituisce una novità nel nostro ordinamento: in quasi tutti i Paesi europei (sulla base di quanto previsto dalla Direttiva 95/46) il bilanciamento di interessi sopra descritto può essere effettuato dal titolare stesso seguendo i criteri e le linee guida fornite dal Gruppo Articolo 29 (che raggruppa tutte le autorità di privacy europee) a maggio del 2014. In Italia, invece, i titolari non possono fare affidamento su questo bilanciamento di interessi, né seguire le linee guida fornite dal Gruppo Articolo 29, perché il Codice della Privacy prevede che questo bilanciamento sia effettuato dal Garante, attraverso un provvedimento specifico (su richiesta del titolare) oppure generale (adottato d’ufficio dal Garante).
Il Regolamento, invece, consente ai titolari di effettuare autonomamente questo bilanciamento di interessi, e prevede una preventiva consultazione con il Garante soltanto nel caso in cui la valutazione d’impatto sulla protezione dei dati dia esito negativo, e cioè permanga un rischio per gli interessati che non può essere attenuato nonostante le misure adottate, oppure ove non sia possibile adottarne per motivi di costi e tecnologie disponibili. (continua a pag. 4)
(continua da pag. 3)
Dati anonimi, niente consenso
Il Regolamento introduce anche una definizione di pseudonimizzazione, vale a dire il trattamento dei dati personali in modo tale che gli stessi non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, le quali siano conservate separatamente e soggette a misure tecniche e organizzative volte a garantire proprio l’impossibilità di tale attribuzione. Il concetto di pseudonimizzazione è strettamente collegato a quello di minimizzazione e pertinenza, e dunque al principio della data protection by design e by default. Non solo. La pseudonimizzazione costituisce, per espressa ammissione del Regolamento, una misura di sicurezza volta ad attenuare i rischi per gli interessati in relazione al trattamento dei dati personali che li riguardano. Ne consegue che nell’ambito di una valutazione di impatto sulla protezione dei dati personali, nonché effettuazione del bilanciamento di interessi (quale base giuridica del trattamento alternativa al consenso), la pseudonimizzazione potrebbe avere un ruolo fondamentale. Se la medesima è idonea ad attenuare il rischio, a seguito della valutazione di impatto e del bilanciamento di interessi contestuale alla medesima, si potrebbe sostenere la non necessità del consenso degli interessati.
E, a ben guardare, ciò non è un’assoluta novità nel nostro ordinamento: il Garante, in alcuni ambiti specifici, ha di fatto riconosciuto la pseudonimizzazione e la separazione logica quali misure idonee ad attenuare i rischi e – riconoscendo la prevalenza dell’interesse legittimo del titolare e richiedendo l’adozione di ulteriori misure di sicurezza – ha ammesso il trattamento dei dati personali degli interessati senza il consenso di questi ultimi (si veda il Provvedimento sulle attività di profilazione svolta dai fornitori di servizi di comunicazione elettronica del 25 giugno 2009).
Alla luce delle considerazioni sopra esposte, riteniamo che il Regolamento offra delle opportunità per le assicurazioni che intendano effettuare trattamenti dei dati personali e maggiori dettagli sulle regole e sulle modalità con cui tali opportunità possano essere colte e sviluppate. Ulteriore chiarezza verrà dalle linee guida delle autorità europee sugli aspetti più nuovi e rilevanti introdotti dal Regolamento.
© RIPRODUZIONE RISERVATA
👥
