Privacy, pericolo “far west” con le “scatole nere” sulle auto: articolo di Franco Pizzetti su Formiche.net

La storia della scatola nera nel quadro dei contratti assicurativi in Italia sembra un romanzo, o incubo, ma è la dura realtà: norme inapplicate, consumatori ignari, organizzazioni dei consumatori silenti, assicurazioni e loro organizzazioni nazionali orientate unicamente al diffonderne l’uso.

E ancora: costi di impianto generalmente a carico dell’assicurato, senza alcun vincolo in ordine alle garanzie da dare da parte delle assicurazioni e generalmente in violazione delle leggi sulla protezione dei dati relativo all’informazione e al consenso informato sui molti e complessi usi dei dati, la durata della loro conservazione, la loro cancellabilità e, soprattutto, chi possa averne accesso e in quali circostanze, e come sia assicurato che solo che chi ne ha diritto possa vederli.Inoltre, pur trattandosi di dati personali, perché ricondotti per principio al titolare del contratto assicurativo, manca spesso ogni informativa su come l’utente possa esercitare il diritto di accesso, la richiesta di correzione e di cancellazione.

A questo si aggiunga che, almeno nelle offerte pubbliche e nei contratti accessibili al pubblico, non sono quasi mai specificate le misure di protezione di dati che, per loro natura, possono facilmente rientrare fra quelli sensibili, posto che le scatole con GPS consentono di tracciare e conservare moltissimi dati sul percorso del veicolo, cominciando dall’itinerario seguito fino alla sua durata, comprese le soste e i luoghi e la durata delle soste.

Non manca nella storia una Autorità di vigilanza, l’Ivass, che nella fase di attuazione della normativa relativa a questi strumenti, si è mostrata inadempiente, sottraendosi al suo obbligo di emanare un regolamento specifico in materia, e che comunque sembra non aver mai esercitato alcuna vigilanza nota su questo settore.

Ma andiamo con ordine.La l. n.120 del 2010, introducendo una della tante modifiche al Codice della strada, previde all’art. 49 che “il Ministro delle infrastrutture e dei trasporti potesse emanare, sentito il Garante per la protezione dei dati personali, direttive al fine di prevedere, compatibilmente con la normativa comunitaria e nel rispetto della disciplina in materia di protezione dei dati personali,..l’impiego in via sperimentale….dell’equipaggiamento degli autoveicoli per i quali è richiesta la patente C, D,E con un dispositivo elettronico protetto, denominato “scatola nera”, idoneo a rilevare, allo scopo di garantire la sicurezza stradale, la tipologia del percorso, la velocità media e puntuale del veicolo, le condizioni tecnico-meccaniche del medesimo e la condotta di guida, nonché in caso di incidente di ricostruirne la dinamica”.Successivamente intervenne il d.l. 1 gennaio 2012 n.1, convertito con legge 24 marzo 2012 n. 27. L’art. 32 di questa legge prevede al comma 1 che il comma 1 dell’art. 132 del codice della assicurazioni private di cui al decreto legislativo 7 settembre 2005 n.209 sono aggiunti i seguenti periodi: “…nel caso in cui l’assicurato consenta all’istallazione di meccanismi elettronici che registrano l’attività del veicolo, denominati scatola nera o equivalenti, o ulteriori dispositivi individuati con decreto del Ministero delle infrastrutture e dei Trasporti di concerto con il Ministero dello sviluppo economico, i costi di installazione, disinstallazione, sostituzione, funzionamento e portabilità sono a carico delle compagnie, che praticano inoltre una riduzione significativa rispetto alle tariffe stabilite, all’atto della stipulazione del contratto o in occasione di scadenze successive…”.

Sempre l’art. 32 prevedeva poi che all’art. 132 del Codice delle Assicurazioni fosse aggiunto un comma 1 bis così formulato: “Con regolamento emanato dall’Isvap (ora Ivass), di concerto con il Garante per la protezione dei dati personali, entro novanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono stabilite le modalità di raccolta, gestione e utilizzo, in particolare ai fini tariffari e della determinazione delle responsabilità in occasione dei sinistri dei dati raccolti dai meccanismi elettronici di cui al comma 1 nonché le modalità per assicurare l’interoperabilità dei meccanismi elettronici di cui al comma 1 in caso di sottoscrizione da parte dell’assicurato di un contratto di assicurazione con impresa diversa da quella che ha provveduto ad installare tale meccanismo”.

In sostanza con questa normativa, che nel punto che ci interessa è stata oggetto di profonde modifiche in sede di conversione, a dimostrazione che le cautele previste sono di volontà parlamentare, si è stabilito un quadro normativo chiaro, preciso e certamente condivisibile.Un sistema che trova il suo completamento nel comma 1 ter, che recita “con decreto del Ministro dello sviluppo economico, da emanare entro la data di novanta giorni dall’entrata in vigore della legge di conversione del presente decreto, sentito il Garante per la protezione dei dati personali, è definito uno standard comune di hardware e software, per la raccolta, gestione e utilizzo dei dati raccolti dai meccanismi elettronici di cui al comma 1, al quale tutte le imprese di assicurazione dovranno adeguarsi entro due anni dalla sue emanazione”.

In sostanza l’art. 32 del d.l. n. 1 del 2010 come convertito in legge 24 marzo 2012 n. 27 delineava in questa materia una disciplina estremamente minuziosa, molto chiara e fortemente orientata alla tutela dell’assicurato. A partire dall’onere dell’installazione a carico della assicurazione, fino ad arrivare alla specifica di modalità regolamentate di hardware e software comuni per la raccolta e il trattamento dei dati, era evidente lo sforzo i proteggere e tutelare innanzitutto la parte più debole, e cioè l’assicurato. Nello stesso senso la previsione del comma 1 bis, secondo il quale le modalità di raccolta, gestione e utilizzo, in particolare ai fini tariffari e della determinazione dei sinistri, dei dati raccolti dai meccanismi elettronici dovevano essere disciplinate da un regolamento dell’Autorità vigilante (allora ISVAP, poi IVASS) sentito il Garante.

In questo quadro, se attuato e rispettato, avrebbero potuto trovare risposta convincente e chiara i mille problemi che l’utilizzo della scatola nera su un autoveicolo comporta, sia rispetto alla protezione dei dati personali che, ove dotati di strumenti elettronici di comunicazione dei dati o di GPS, anche ai fini del rischio di intercettazioni e, ancor più oggi, anche di hackeraggio. Costituisce dunque uno degli episodi più disdicevoli di questi anni che questa normativa non abbai avuto applicazione.Merita sottolineare che la mancata attuazione non è dovuta al Ministero dei Trasporti, che tempestivamente emanò il regolamento di sua competenza relativo agli aspetti tecnici (solo di recente annullato dal Tar Lazio su istanza di un fabbricante di scatole nere) ma soltanto all’Ivass.

Questa Autorità, infatti, predispose a suo tempo, anche con la collaborazione de Garante, lo schema di regolamento di cui al comma 1 bis, e lo mise anche in consultazione pubblica il 19 marzo 2013, dando tempo fino al 30 aprile per eventuali osservazioni. Tuttavia il procedimento non si concluse e il regolamento non fu mai emanato. A mia conoscenza non è mai stato spiegato perché.Le assicurazioni hanno potuto così continuare ad operare sulla sola base di quanto previsto dall’art. 49 della l. 120 del 2010 che, come si è detto, modificando il Codice della strada, aveva autorizzato “l’equipaggiamento in via sperimentale degli autoveicoli… con un dispositivo elettronico protetto, denominato scatola nera, idoneo a rilevare, al (limitato) scopo di garantire la sicurezza stradale, unicamente la tipologia del percorso, la velocità media e puntuale del veicolo, le condizioni tecnico-meccaniche dello stesso e la condotta di guida, nonché in caso di incidente di ricostruirne la dinamica”.Poiché questa norma lasciava del tutto indeterminato a chi spettassero i costi, quali vantaggi dovesse averne l’assicurato, chi potesse venire a conoscenza dei dati registrati, in quali occasioni e per quanto tempo, e mille altre cose ancora, essa si è rapidamente dimostrata un habitat perfetto per le assicurazioni.

Queste infatti in presenza di una norma autorizzante ma pochissimo limitante, hanno cominciato a proporre agli assicurati le più svariate forme di contratto di RCA auto basate sull’uso di scatole nere “fai da te”, le cui spese di impianto nel veicolo sono generalmente a carico del destinatario ma le specifiche tecniche e il funzionamento è stabilito dall’assicurazione.

Inoltre, in mancanza di ogni vincolo normativo.

Va aggiunto che, stante l’inattuazione della normativa che avrebbe dovuto essere emanata da Ivass sul tariffario da applicare ai contratti con scatola nera, nella realtà in questi anni gli sconti sui premi assicurativi sono stati molto diversi da compagnia a compagnia e generalmente molto contenuti. In qualche caso, sembra, inferiori persino al costo di impianto della scatola nera a carico dell’assicurato.

Insomma si è sviluppato un vero e proprio Far West, nel quale le assicurazioni si sono sbizzarrite senza limiti, anche per quanto riguarda il collegamento delle scatole nere con apparecchiature satellitari. Cosa questa particolarmente grave se si pensa che a livello europeo si è discusso per anni di una direttiva e-book, e cioè di una normativa che prevede l’esistenza obbligatoria a bordo degli autoveicoli di una sorta di scatola nera collegata direttamente ed esclusivamente con le strutture pubbliche di interventi in caso di incidente e del veicolo.

La recente approvazione di questa proposta, anche grazie al ruolo svolto presso il Parlamento europeo dai Garanti europei, che ne hanno esaminato tutti i possibili vantaggi ma ancora di più tutti i possibili pericoli, detta norme precise in materia e soprattutto impone agli Stati membri di dettare regole specifiche relativamente a installazione e uso di queste apparecchiature.

Insomma, l’uso di scatole nere a bordo di veicoli collegate con GPS è cosa che non può avvenire senza discipline e garanzie precise, perché troppo elevati sono i rischi.Pericoli oggi aggravati dal fatto che, come già è accaduto in più di un caso, famosissimo quello recente che ha costretto FCA a ritirare un numero molto alto di jeep dotate di collegamenti satellitare e di tecnologie di avanguardia, gli hacker possono usare i collegamenti GPS per entrare nei sistemi con questi connessi, rubandone o modificandone i dati e, in alcuni casi, anche alcune modalità di funzionamento e e alcuni comandi della macchina.

Di qui l’obbligo di denunciare una situazione che, utilizzando la fragilissima base normativa dell’art. 49 della l. n.120 del 2010, impone spesso agli automobilisti, e a loro carico, apparecchi sofisticati, costosi e anche potenzialmente molto pericolosi.

Vi sono poi ulteriori problemi, questi relativi all’uso dei dati in caso di sinistri, che solo un intervento normativo può superare.

Nella mancata attuazione della normativa richiamata, non è a chiaro quale sia il valore giuridico dei dati raccolti dalla scatola nera quando si vuole farli valere nel corso di un processo finalizzato a definire la responsabilità dei veicoli coinvolti.

Il che rende ancora meno conveniente l’uso della scatola nera da parte di chi sia incorso in un incidente non per sua colpa. Nella confusione giurisprudenziale in materia di utilizzabilità di questi dati è possibile persino che il loro utilizzo da parte avversa conduca al determinarsi di una situazione negativa per chi sia rimasto coinvolto nell’indicente per esplicita colpa altrui.

A questo problema, ben noto alle assicurazioni, si è tentato di dare una risposta col decreto legge n.145 del 23 dicembre 2013 (emanato, si noti, quasi nel medesimo spazio temporale in cui Ivass rinunciava ad adottare il regolamento previsto dalla legislazione vigente).

Questo decreto legge, finalizzato esplicitamente a definire meglio il valore giudiziale dei dati raccolti dalle scatole nere, conteneva un articolo, specificamente dedicato alla materia delle assicurazioni R.C. auto.
L’art. 8 di questo decreto, infatti, interveniva nuovamente sull’art. 132 del Codice delle assicurazioni, prevedendo tre cose:
a) che le imprese potessero (non dovessero) proporre all’assicurato l’installazione di scatole nere aventi i requisiti del Regolamento dei Trasporti già adottato in base all’art. 32 della legge n. 27 del 2012;
b) che l’installazione della scatola nera fosse a carico delle imprese;
c) che il premio dovesse avere una “riduzione significativa” e, nel caso di stipula con un nuovo assicurato, “non inferiore al 7%”.

Inoltre il comma 1 bis dell’art. 132, come modificato alla legge n. 27 del 2012, veniva nuovamente modificato, proprio al fine di chiarire meglio la portata giudiziale dei dati raccolti.

Si stabiliva, infatti, che quando (e solo quando) “uno dei veicoli coinvolti in un incidente risulti dotato di un dispositivo elettronico che presenta le caratteristiche indicate dalla l. n. 27 del 2012, allora “le risultanze del dispositivo formano piena prova, nei procedimenti civili, dei fatti cui esse si riferiscono, salvo che la parte contro la quale sono state prodotte dimostri il mancato funzionamento del dispositivo”.

Insomma l’art. 8 del d.l. 25 dicembre 2013 n. 145, da un lato prevedeva alcuni vincoli per l’assicuratore, quali l’impianto a suo carico e sconto vincolato del premio in caso di primo assicurato, dall’altro dava effetti probatori certi nel giudizio civile per danno nel caso in cui uno dei veicoli fosse dotato di scatola nera.

Lo stesso articolo però faceva salva tutta la normativa contenuta su questo punto nell’art. 32 della l. 24 febbraio del 2012, il che rende ancora più grave la inadempienza di Ivass nella mancata emanazione del regolamento di sua competenza.

Senonché, forse anche per i costi a carico delle imprese, questo articolo non piacque, fu accantonato e, in sede di conversione, soppresso.

Allo stato dunque ci continuiamo a trovare in una situazione che definire lunare è poco.
Norme di ottima fattura tuttora vigenti (quelle del d.l. 1 gennaio 2012 n.1 convertito con l.n.27 del 2012) non applicate.
Tipologie di scatole nere che, per prestazioni richieste, vanno ben oltre quanto previsto dalla inattuata normativa in vigore, e comunque in via generale non rispettano profili essenziale della protezione dati personali.

Assoluta incertezza circa gli effetti giuridici dei dati raccolti dalle scatole nere.

Verrebbe da chiedersi dunque perché nessuno, né tra le assicurazioni e le loro associazioni, né tra le organizzazioni a tutela dei consumatori, si adoperi affinché le norme siano applicate, e questa incredibile situazione, che certo non ci onora agli occhi dell’Europa, sia rimossa.

Per completezza merita far cenno anche alle norme in materia di assicurazioni contenute nel DDL Concorrenza, presentato dal Governo Renzi il 20 febbraio 2015.

Il Capo I, dedicato appunto alle Assicurazioni, per un verso conferma la validità della normativa dell’art. 32 della l. n. 24 del 2012 e per l’altro complica ulteriormente la situazione.

Da un lato all’art. 3 si modifica l’art.132 ter del Codice delle assicurazioni obbligando queste a garantire sconti obbligatori nel caso in cui vengano installati su proposta dell’impresa o siano già presenti meccanismi elettronici che registrano l’attività del veicolo, prevedendo a tal fine un nuovo decreto del Ministero dei trasporti di intesa con lo Sviluppo economico che stabilisca i criteri tariffari anche con riferimento alla responsabilità dei sinistri.(art. 3 modificativo art, 132 ter lett. b)

Da un altro lato, stabilisce, sempre al comma 3, che nel caso in cui il veicolo sia dotato di scatola nera o questa debba essere installata, “la riduzione di premio praticata dalla compagnia è superiore agli eventuali costi di installazione, disinstallazione, sostituzione e funzionamento sostenuti direttamente dall’interessato”.
L’aspetto più interessante del DDL concorrenza è però all’art. 8.

In questa norma, nel disciplinare il valore probatorio delle scatole nere e degli altri dispositivi elettronici si riscrive, per senza richiamarlo, l’art. 8 del d.l. 23 dicembre 2013 n. 145, a suo tempo accantonato.
Una norma che di fatto torna così a rivivere proprio nella parte in cui stabiliva che i dati raccolti costituiscono prova, salvo dimostrazione che lo strumento non funzionava, solo a condizione che essi siano raccolti e trattati ai sensi dell’art. 132-ter comma 1 lettere b) e c) nonchè dell’art.32, commi 1-bis e 1-ter del decreto legge 24 gennaio 2012 n. 1, convertito con modificazioni, dalla legge 24 marzo 2012 n.27.

Sembra insomma di essere dentro un eterno giro dell’oca che costringe sempre a tornare al punto di partenza.
Un regolamento Ivass, previsto già dal decreto legge n. 1 del 2012, convertito in legge 24 marzo 2012 n.27, continua a mancare, ma la norma che lo prevede continua a essere richiamata, sia pure attraverso un richiamo per relationem anche nel nuovo art. 8 del DDL Concorrenza del 20 febbraio 2015.5. Che conclusioni trarre da tutto questo?
Come cittadini dobbiamo riconoscere che viviamo in un Paese nel quale le leggi, specialmente di settore o di microsettore, si aggrovigliano l’una all’altra. Con la conseguenza che, lungi dal semplificare l’ordinamento, lo si complica in continuazione, fino a riservare di fatto la sua conoscenza a un numero ristretto e altamente professionalizzato di super esperti.
Come consumatori dobbiamo denunciare che siamo indifesi e privi di ogni tutela, anche da parte delle organizzazioni che pure campano sull’erigersi a tutela dei consumatori (unica lodevole eccezione, ma solo in tempi recentissimi, il Codacons).
Come esperti di protezione dei dati personali, siamo indignati, allibiti e anche un po’ vergognati di come il nostro Paese tutto, dai cittadini alle imprese alla classe politica, non dia alcuna importanza a questa materia, malgrado la solerzia dimostrata, anche in questo caso dal Garante.

Né possiamo applicare, rispetto alle assicurazioni italiane e alle loro associazioni e a chi dovrebbe vigilare su di esse, una frase che detta da Gesù in punto di morte è tuttavia frequentemente usata anche nel parlare comune: “Signore, perdona loro perché non sanno quello che fanno”.Purtroppo lo sanno benissimo, e anche quando si cerca di spiegare loro i pericoli che fanno correre ai loro assicurati, se ne ha in cambio soltanto un cortese e distratto disinteresse.
Ma se nella Germania di Federico di Prussia il mugnaio poteva dire: “Ci sarà ben un giudice a Berlino” (e lo trovò), un ex Garante che, teme talvolta di abbaiare inascoltato alla luna potrà bene dire “ci sarà pur sempre un cittadino in Italia” (e magari lo troverà anche).Recentemente interventi puntuali su questi problemi fatti da Federprivacy e l’attenzione che questa organizzazione dimostra a questi temi, fa ben sperare.Essa testimonia, infatti, che di cittadini attenti a questi temi ve ne sono sempre di più.

Prima parte di un articolo più ampio a cura di Franco Pizzetti, costituzionalista ed ex presidente dell’Autorità Garante per la Privacy e pubblicato su www.formiche.net