MacroambientePrivacy e contrasto frodi: un difficile equilibrio su cui vigila il Garante

Privacy e contrasto frodi: un difficile equilibrio su cui vigila il Garante

Con una interessante decisione il Garante Privacy conferma la necessità del consenso per il trattamento dei dati, anche se a fini antifrode.

Privacy e contrasto frodi: un difficile equilibrio su cui vigila il Garante

La tutela della privacy rappresenta una tematica sempre gravida di ripercussioni applicative, non solo online ma anche offline. Proprio per queste ragioni, del resto, il legislatore, oramai più di vent’anni fa, con la cd. cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675) – che ha attuato nell’ordinamento giuridico italiano la direttiva comunitaria 95/46/CE – ha istituito un’autorità amministrativa indipendente, ovverosia il Garante per la protezione dei dati personali, usualmente denominata Garante per la privacy.

Il Garante privacy: istituzione e attribuzioni

L’Authority, poi, rinviene la regolamentazione dei suoi poteri nel Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003 n. 196), atto-fonte oggi fondamentale per la disciplina della riservatezza, ma destinato ad essere in parte superato dal nuovo Regolamento Generale sulla Protezione dei Dati, con cui la materia è stata uniformata a livello unionistico e si è cercato di fornire risposte efficaci a nuovi problemi, come ad esempio quello del “data breach“.

Le attribuzioni del Garante, ad ogni modo, sono individuate dall’art. 153 del Codice privacy, così che l’Authority è chiamata a:

a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile e in conformità alla notificazione, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico;

b) esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano;

c) prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143;

d) vietare anche d’ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell’articolo 143, e adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

e) promuovere la sottoscrizione di codici di autoregolamentazione;

f) segnalare al Parlamento e al Governo l’opportunità di interventi normativi richiesti dalla necessità di tutelare in maniera dinamica il diritto alla riservatezza e le sue implicazioni, anche in virtù dell’evoluzione del settore;

g) esprimere pareri nei casi previsti;

h) curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati;

i) denunciare i fatti configurabili come reati perseguibili d’ufficio, dei quali viene a conoscenza nell’esercizio o a causa delle funzioni;

l) tenere il registro dei trattamenti;

m) predisporre annualmente una relazione sull’attività svolta e sullo stato di attuazione del codice privacy.

In aggiunta a ciò, poi, il Garante è chiamato a  svolgere la funzione di controllo o assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da regolamenti comunitari.

Bilanciamento di interessi: finalità antifrode giustificano un trattamento nolente domino?

Tra i poteri del Garante, che opera «in piena autonomia e con indipendenza di giudizio e di valutazione» (art. 154), particolare importanza deve essere riconosciuta ai cdd. provvedimenti di bilanciamento degli interessi, ovverosia – tecnicamente – a quegli atti amministrativi con i quali l’Authority, dinanzi ad una richiesta dell’interessato, risolve un conflitto potenziale o attuale tra diritti in contrasto nell’ambito del trattamento dei dati personali, verificando se per una determinata finalità permane o può essere esclusa la necessità del consenso dei relativi titolari per il trattamento dei dati personali.

Tali provvedimenti, si badi, risultano particolarmente importanti, perché contribuiscono a “calare” la norma astratta nella dimensione fattuale, consentendo a operatori economici e titolari dei dati di comprendere cosa risulti al di qua e cosa al di là del lecito.

In tal senso, sicuramente significativo è una recente determinazione (n. 199 del 20 aprile 2017) con la quale l’Autorità Garante è stata chiamata a fornire un responso circa la necessità o meno del consenso degli interessati per la costituzione, da parte di un operatore economico, di una banca dati di coloro i quali avessero richiesto un preventivo, ancorché non seguito dalla stipulazione di un contratto definitivo. Non si trattava, invero, di un mero “capriccio” dell’operatore economico, bensì di una soluzione giustificata da una finalità senz’altro meritevole, ovverosia il contrasto a tanto banali quanto efficaci tecniche di frode nel campo dei sinistri stradali.

In particolare, l’impresa in questione – specializzata nella sostituzione di cristalli per le automobili – aveva smascherato uno stratagemma molto efficace utilizzato da clienti infedeli per ottenere, da parte delle società assicuratrici, l’indennizzo per sinistri verificatisi anteriormente alla stipula del contratto di assicurazione (cd. “polizza-cristalli”) e dunque per periodi per i quali non era stato corrisposto il relativo “premio”: molto banalmente, infatti, i soggetti in questione procedevano a denunce post-datate, così da far apparire il sinistro verificatosi all’interno del periodo di “copertura” del contratto.

L’impresa di manutenzione, allora, aveva ipotizzato di realizzare una piattaforma informatica, da rendere accessibile alle società di assicurazione, finalizzata alla raccolta di informazioni utili a stanare eventuali condotte fraudolente di tal fatta, essenzialmente incamerando i dati che gli interessati rilasciano in occasione della richiesta di manutenzione se essa non sia seguita, nei sei mesi successivi, dall’esecuzione di un intervento di riparazione e/o sostituzione. In particolare, sarebbero incamerati: a) il numero di targa del veicolo sinistrato; b) la data della richiesta di preventivo; c) il tipo di cristallo danneggiato; e) gli estremi dell’eventuale polizza assicurativa.

In questo modo, le società di assicurazione avrebbero potuto ottenere informazioni rilevanti circa quelle denunce di sinistro presentate da soggetti che nel semestre precedente avevano richiesto un preventivo per la sostituzione dei cristalli, ma non aversano proceduto ad un intervento di riparazione e che quindi, verosimilmente, denunciavano strumentalmente un fatto verificatosi prima della stipula del contratto di assicurazione: ad un riscontro in banca dati “sospetto” avrebbe corrisposto un semaforo rosso; mentre ad un riscontro negativo, un semaforo verde.

Senonché, l’efficacia della contromossa era stata presto neutralizzata: l’operatore economico, infatti, a fronte di una prima fase di sperimentazione del dispositivo informativo, aveva registrato un elevato incremento dei casi di diniego al rilascio del consenso per lo specifico trattamento, tale da indurlo a formulare una istanza di esonero dalla necessità di previa acquisizione del consenso ai sensi dell’art. 24, comma 1, lett. g, del Codice Privacy.

La risposta del Garante

Il Garante, tuttavia, ritiene che la richiesta dell’istante non possa trovare accoglimento. In primo luogo, infatti, rileva come le attività di prevenzione e contrasto di fenomeni fraudolenti risultino disciplinate, nel settore assicurativo, da norme di legge che attribuiscono a soggetti pubblici muniti di idonee garanzie di terzietà la gestione delle banche di dati: diversamente, nel caso in questione, la banca dati, fornita con informazioni acquisite nolente dominoovverosia indipendentemente e anche contro il volere dell’interessato, verrebbe istituita e regolata da un soggetto privato.

In altri termini, una società privata – quale è quella che effettua la manutenzione dei cristalli delle auto – non può arrogarsi il diritto di creare,  senza il consenso degli interessati, banche dati da utilizzare come strumenti di auto-difesa dalle truffe. Testualmente, infatti, il Garante ritiene che non risultino evidenti «le ragioni per cui risulterebbero minusvalenti, rispetto all’interesse perseguito dal titolare o da terzi destinatari dei dati, i diritti o le libertà degli interessati (art. 24, comma 1, lett. g, del Codice)».

Infatti l’Authority mette bene in evidenza come, alla stregua delle modalità con cui è congegnato il meccanismo di raccolta, concreto sia il rischio che nella piattaforma in questione possano anche essere censiti soggetti non animati da intenti fraudolenti, come ad esempio coloro i quali, dopo aver richiesto un preventivo, decidano di rivolgersi a terzi per l’esecuzione dell’intervento di riparazione e, solo successivamente, si determinino a stipulare una polizza “cristalli” con una delle compagnie convenzionate con la prima officina.

Il rischio in questione, peraltro, è duplice, perché riguarderebbe non solo l’effettuazione, come si diceva, di un trattamento nolente domino in assenza di una preminente ragione giustificativa (con pregiudizio per la riservatezza dei soggetti interessati), ma potrebbe anche compromettere, in capo a detti soggetti, la possibilità stessa di stipulare polizze assicurative del tipo qui in esame (con evidente pregiudizio patrimoniale).

Il Garante, allora, conclude nel senso della non ricorrenza dei presupposti per l’adozione del richiesto provvedimento di bilanciamento di interessi in conformità alla normativa vigente (artt. 24, comma 1, lett. g e 154, comma 1, lett. d, del Codice): chi vorrà raccogliere i dati dei (potenziali) clienti, dovrà necessariamente acquisire il loro consenso.


Marco Fiorillo
A cura di: Marco Fiorillo Autore Inside Marketing
© RIPRODUZIONE RISERVATA E' vietata la ripubblicazione integrale dei contenuti

Corsi Formazione

Tutti i corsi
Le vostre Opinioni