- Introduzione
L’attuale sistema economico e sociale è a tal punto guidato e orientato dai “dati” da aver comportato la nascita della c.d. “data driven economy”. Con tale espressione si allude al fatto che il motore dell’economia o le risorse su cui si basano i processi commerciali, produttivi e relazionali, è sempre più determinato dalle risultanze e dalle informazioni ottenibili da enormi quantità di dati (c.d. big data[1]).
La rivoluzione dei big data, associata all’utilizzo di sofisticati algoritmi di profilazione e di predizione dei comportamenti, ha coinvolto anche il settore assicurativo. Settore questo che, da sempre, analizza dati su base statistica al fine di predire la probabilità di un certo rischio. Il settore assicurativo potrà dunque trarre beneficio dai sistemi di big data analytics, dall’uso di algoritmi predittivi e sistemi di intelligenza artificiale.
Questi nuovi strumenti tecnologici possono essere gestiti automaticamente o, usando la nomenclatura del regolamento (UE) 2016/679 sulla protezione dei dati personali (General Data Protection Regulation o “GDPR”)[2], tramite processi decisionali interamente automatizzati.
È facile intuire perché tali tecnologie possono essere di gran interesse per il settore assicurativo, così come lo sono per il settore bancario e finanziario[3]. Queste tecnologie permettono infatti di: sfruttare la potenza dei big data per aumentare la base di dati su cui eseguire le proprie analisi; “profilare” le abitudini, le preferenze, le tendenze degli assicurati al fine di determinare il relativo rischio assicurativo; affidare tali analisi non all’operato umano ma ad un algoritmo, ossia ad un procedimento interamente automatizzato che, in modo più efficiente e veloce, valuterà il rischio assicurativo relativo a un determinato soggetto, la convenienza o meno dell’assunzione di tale rischio e l’ammontare del premio o gli altri elementi del contratto di assicurazione.
Ciononostante, dietro queste straordinarie possibilità si possono annidare rischi legati a una scorretta e superficiale accumulazione dei dati o ad uno scorretto utilizzo degli algoritmi preposti alla loro analisi. Si pone così il problema di algoritmi che conducono a risultati errati, distorti, discriminatori o dannosi[4].
In altre parole, se è vero che l’utilizzo di processi automatizzati semplifica e velocizza l’attività dell’impresa assicuratrice, è altrettanto vero che se i dati di partenza analizzati dall’algoritmo non sono neutrali (e dunque sono viziati da “bias” ossia da preconcetti o in qualche modo fuorviati) o se l’algoritmo non è rispettoso dei principi relativi al corretto trattamento dei dati personali, le risultanze dello stesso possono essere discriminatorie o dannose.
Rinviando l’esame più approfondito del tema ad una futura trattazione, attualmente in corso di realizzazione, si cercherà qui di porre in essere una prima analisi relativa all’utilizzo di trattamenti automatizzati nel settore assicurativo in ottica convergente con la disciplina in materia di protezione dei dati personali.
- Sviluppo tecnologico e valutazione del rischio assicurativo
Lo sviluppo di un’analisi dinamica e continua di dati inerenti alle persone fisiche, anche aggiornati in tempo reale, permette una più accurata e individualizzata valutazione del rischio assicurativo di un soggetto[5], al pari di quanto avviene in altri settori[6], nonché una realizzazione del contratto di assicurazione “a misura” dell’assicurato[7].
L’utilizzo di sofisticati sistemi di profilazione[8] abilita nuove e più precise modalità di previsione dei rischi. Analisi questa che, al di fuori della maggior potenza di calcolo e precisione oggi raggiunta dalla tecnologia, non è del tutto estranea all’attività assicurativa.
Tradizionalmente – ma soprattutto dopo l’introduzione della nuova disciplina prudenziale derivante dal sistema c.d. “Solvency II” – l’impresa assicurativa ricorre a sistemi statistici per misurare il rischio assicurativo di un determinato soggetto. Ciò al fine di determinare la quantità di capitale necessaria per gestire in sicurezza le conseguenze economiche della realizzazione del rischio assicurato. Nel far ciò l’impresa assicurativa prende in esame e valuta una serie di dati dell’interessato e la probabilità, secondo criteri storico-statistici, che il rischio si verifichi. In altre parole, l’attività posta in essere è una previsione della probabilità di realizzazione di un rischio sulla base di informazioni prese dal passato dell’utente[9].
Ciò è la stessa attività posta in essere da un algoritmo predittivo. Le predizioni di questo altro non sono che il frutto di un’analisi approfondita e dettagliata del passato di un soggetto, incrociando moli di dati enormi, al fine di esprimere la probabilità futura di un determinato evento o del comportamento di un soggetto con una precisione e attendibilità che quasi si avvicina alla “preveggenza”. Chiaramente, non c’è nulla di “magico” o “paranormale” in questo processo. L’accuratezza di una previsione è tanto maggiore quanti sono i dati incrociati e, soprattutto, quanto più elevata è la qualità del dato, ma ciò non vuol dire che i fatti si svolgeranno sempre come previsto dall’algoritmo. L’utilizzo di algoritmi predittivi oggi, così come di modelli matematici e statistici prima, non esclude, difatti, la possibilità di eventi non previsti. Eventualità da tenere, sempre e comunque in considerazione con tutto ciò che ne consegue[10].
L’utilizzo di algoritmi predittivi che gestiscono enormi quantità di dati si rivela così uno strumento di grande interesse per l’impresa assicuratrice laddove le permetterebbe di: aumentare l’accuratezza e precisione delle previsioni sul rischio[11], meglio determinare i costi[12] e adempiere ai requisiti della nuova disciplina prudenziale in un’ottica customer centrica[13].
La determinazione degli elementi dei contratti di assicurazione mediante il ricorso a processi automatizzati sposta l’angolo visuale verso le caratteristiche tecniche di tali processi. La tutela del consumatore/assicurato riemerge, pertanto, sotto forme diverse ma altrettanto delicate. Il consumatore, quale parte contrattuale debole, dovrà affrontare non solo la complessità tecnica relativa all’attività assicurativa ma anche l’oscurità tecnologica di processi automatici che seguono regole non immediatamente intellegibili (a volte nemmeno ai suoi creatori)[14].
Un’analisi sempre più personalizzata delle polizze assicurative può provocare squilibri e danni se i risultati di tali processi risulteranno errati, fino all’estremo di lasciare determinate categorie di persone prive di copertura assicurativa.
I soggetti che l’algoritmo dovesse ritenere a più elevato rischio potrebbero avere difficoltà ad accedere al mercato assicurativo o non accedervi del tutto. Ne seguirebbero evidenti problemi di natura equitativa che lascerebbero privi di tutela i soggetti che svolgono attività rischiose (e per le quali sono spesso previste ipotesi di assicurazioni obbligatorie) o i soggetti più deboli che magari necessitano di un’assicurazione sanitaria o altre ipotesi particolari[15].
La soluzione che si intende qui sottoporre, e che verrà approfondita in una prossima trattazione, si incentra sul corretto recepimento della normativa a tutela del dato personale, con riferimento soprattutto all’art. 22 del GDPR.
- I processi interamente automatizzati ex art 22 GDPR nel settore assicurativo
Particolare rilievo riveste il diritto di cui all’art. 22 GDPR rubricato: “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”. Tale norma permette di intervenire sul processo logico seguito dall’algoritmo quando il trattamento sia interamente automatizzato, ossia non preveda il coinvolgimento sostanziale dell’uomo in nessuna fase[16].
Applicando tale articolo alla realtà dei contratti assicurativi si potrebbe ricavare quanto segue.
Se l’impresa assicurativa dovesse avvalersi di sistemi di valutazione interamente automatizzati, senza l’intervento sostanziale di un essere umano, sarà applicabile l’art. 22 GDPR. Ciò comporterà l’aumento degli strumenti a tutela dell’assicurato, onerando l’impresa assicuratrice a garantire particolari misure a tutela degli assicurati nonché spazi di interazione di questi e riconoscendo loro l’esercizio di ulteriori diritti.
Per evitare l’applicazione di tale norma, l’impresa assicuratrice dovrebbe rinunciare a che la situazione dell’interessato sia valutata in toto da un algoritmo. Ciò significa che dovrebbe prevedere l’intervento umano in qualche fase della procedura, purché questo sia effettivamente determinante sugli esiti della valutazione.
La rilevanza della norma si mostra così di grande impatto, anche in caso di applicazione negativa della stessa: qualora l’impresa assicuratrice volesse evitarne l’applicazione dovrebbe abbandonare il ricorso a processi decisionali interamente automatizzati. Se tale rinuncia può essere avvertita come una limitazione per l’impresa, allo stesso tempo potrebbe essere apprezzata dai cittadini che potrebbero preferire essere valutati da un uomo piuttosto che da una macchina[17].
Sebbene il primo paragrafo dell’art. 22 riconosca all’interessato, e quindi all’assicurato, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, questo potrebbe agilmente rientrare nelle deroghe di cui al par. 2.
In particolare, la lett. a) del par. 2 permette il ricorso a processi decisionali automatizzati se necessari per la conclusione o l’esecuzione di un contratto. In astratto, non è in questa sede possibile escludere che tale modalità di trattamento automatizzato possa essere necessaria per la conclusione e l’esecuzione di un contratto di assicurazione, ancorché il WP29 prescriva che la nozione di necessità debba essere interpretata in maniera restrittiva[18]. Sembra però plausibile che le compagnie assicuratrici possano legittimare il ricorso a trattamenti interamente automatizzati sulla base di tale criterio.
La lett. c) del par. 2 permette inoltre il ricorso a determinati algoritmi anche con il consenso esplicito dell’interessato. Il consenso esplicito, nell’ottica del GDPR, si pone come una forma di consenso rafforzata rispetto al consenso semplice[19], più onerosa da ottenere e giustificare per il titolare[20]. Tuttavia, sebbene anche questa possibilità non sia in generale escludibile per l’impresa assicurativa, magari per l’esecuzione di qualche servizio particolare, viste le caratteristiche del rapporto tra assicurazione e cittadini, caratterizzato da un evidente “squilibrio di potere”, si ritiene che la corretta base giuridica debba rimanere quella contrattuale[21].
Al di fuori di quando un’impresa assicurativa può o meno ricorrere ad algoritmi, se adotta tali strumenti dovrà predisporre specifiche misure a tutela dell’interessato/assicurato e, soprattutto, dovrà riconoscergli la possibilità di influire sul processo automatizzato[22]. In particolare, dovrà permettergli l’esercizio dei diritti previsti dal par. 3, ossia il diritto: all’intervento umano, e quindi dovrà predisporre quanto necessario affinché una persona possa adeguatamente intervenire nel processo altrimenti condotto da un algoritmo; ad esprimere la propria opinione; e in particolare a contestare la valutazione svolta dall’algoritmo.
Ne segue come l’applicazione e il rispetto di tale articolo possa rilevarsi di grande impatto sull’attività assicurativa e, in generale su quelle attività che si sono dotate per il loro svolgimento di meccanismi interamente automatizzati.
- Riflessioni conclusive
Appare evidente come l’innovazione tecnologica, in particolare lo sfruttamento dei big data tramite algoritmi predittivi e sistemi di intelligenza artificiale, stiano ridisegnando il modo di fare business anche del settore assicurativo laddove sistemi algoritmici si stanno sostituendo ai tradizionali modelli matematici e anche, di fatto, all’operatore umano.
Il fenomeno necessita però di analisi più ampie al fine di bilanciare i benefici che l’utilizzo di tali sistemi portano al mercato assicurativo con gli inevitabili rischi.
Operatori e regolatori del mercato non dovrebbero però opporsi alla modernità o limitare il ricorso a tali algoritmi. Al contrario bisognerebbe lavorare per garantirne la sicurezza e la correttezza dei processi, sanzionando e limitando solo le attività illecite e che possono comportare danni[23].
A tal proposito i diritti e gli elementi messi a disposizione dall’art. 22 GDPR possono essere un valido strumento per garantire che l’analisi del rischio assicurativo di un contraente tramite modalità interamente automatizzate sia sempre controllabile e, all’occorrenza, sia possibile intervenire.
Valorizzare questo nuovo articolo potrebbe permettere di scongiurare il rischio che l’assicurato subisca danni dall’elaborazione distorta di dati non corrispondenti alle sue effettive esigenze. In tal senso, una convergenza con i principi in materia di protezione dati e un’integrazione dei suoi istituti nel modus operandi delle imprese di assicurazioni può essere una scelta opportuna. Ciò al fine di rendere leciti, corretti e trasparenti i trattamenti tramite le nuove tecnologie e non di limitare l’evoluzione e le naturali tendenze del mercato.
[1] Il concetto di big data è tradizionalmente spiegato facendo ricorso alla teoria delle cc.dd. “3V” per indicare che tali dati sarebbero caratterizzati da: Volume (ossia grandi quantità di dati), Velocità (ossia la rapida disponibilità e analisi degli stessi) e Varietà (ossia, da un punto di vista qualitativo, l’enorme tipologia di dati presenti). Lo studio del fenomeno ha portato ad individuare una quarta “V” rappresentata dal Valore che dipende dal crescente potenziale economico e dalla valenza sociale dei dati. Cfr. ITMedia Consulting con il contributo scientifico dell’Università Bocconi, L’economia dei dati. Tendenze di mercato e prospettive di policy, Roma, Gennaio 2018, 9 ss.
La letteratura sul tema dei big data è ormai ampia. Sia consentito sul punto rinviare solo ad alcuni dei recenti contributi in materia: M. Delmastro-A. Nicita, Big data. Come stanno cambiando il nostro mondo, Bologna, 2019; M. Maggiolino, I big data e il diritto antitrust, Milano, 2018; V. Zeno-Zencovich, Dati, grandi dati, dati granulari e la nuova epistemologia del giurista, in questa Rivista, 2, 2018, 32 ss.; M. Orefice, I big data e gli effetti su privacy, trasparenza e iniziativa economica, Roma, 2018; con specifico riferimento al settore assicurativo: D. Porrini, Big data, personalizzazione delle polizze ed effetti nel mercato assicurativo, in V. Falce-G. Ghidini-G. Olivieri (a cura di), Informazione e big data tra innovazione e concorrenza, Milano, 2017, 319 ss.; si veda anche L. Califano-C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017.
[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
[3] M.T. Paracampo, FinTech tra algoritmi, trasparenza e algo-governance, in (Rivista) Diritto della banca e del mercato finanziario, 2, 2019, 213 ss.
[4] A tal riguardo, lo stesso WP29 ritiene che: «la profilazione e il processo decisionale automatizzato possono comportare rischi significativi per i diritti e le libertà delle persone fisiche, che richiedono garanzie adeguate. Questi processi possono essere poco trasparenti. Le persone fisiche potrebbero non sapere di essere profilate o non comprenderne le conseguenze. La profilazione può perpetuare stereotipi e la segregazione sociale. Può anche confinare una persona in una categoria specifica e limitarla alle preferenze suggerite per tale categoria. Ciò può minare la libertà delle persone di scegliere, ad esempio, determinati prodotti o servizi quali libri, musica o newsfeed. In taluni casi, la profilazione può portare a previsioni imprecise, in altri al diniego di servizi e beni e a discriminazioni ingiustificate», in Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, WP 251 rev.01, 6; si veda anche A. Moretti, Algoritmi e diritti fondamentali della persona. Il contributo del regolamento (UE) 2016/697, in Diritto dell’informazione e dell’informatica, 4-5, 2018, 802 ss.
[5] B. Keller, Big Data and Insurance: Implications for Innovation, Competition and Privacy, The Geneva Association, 2018, spec. 9.
[6] G. Biferali, Big data e valutazione del merito creditizio per l’accesso al peer to peer lending, in Diritto dell’informazione e dell’informatica, 3, 2018, 487 ss; C. Alvisi, I trattamenti nel settore bancario, finanziario e assicurativo, in L. Califano-C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017.
[7] Sono tematiche, queste, che si inseriscono nel più ampio concetto del “risk score”, ossia la tendenza ad attribuire un punteggio al cittadino sulla base del quale erogare o meno un certo servizio. Ancora, ci si trova nell’ambito delle discriminazioni operate da algoritmi, a partire dalla c.d. polizia predittiva, dal calcolo del merito creditizio, o del rischio dell’utilizzo di algoritmi nella P.A. per l’espletamento di attività vincolate. A tal riguardo si vedano: A. Bonfanti, Big data e polizia predittiva: riflessioni in tema di protezione del diritto alla privacy e dei dati personali, in questa Rivista, 3, 2018, 206 ss.; G. Biferali, op. cit. A livello giurisprudenziale, in Italia, sul tema si sono registrati anche alcuni contrasti. Si veda la pronuncia del TAR Lazio, Roma, sez. III-bis, 14 luglio 2016, n. 12026, cui ha fatto seguito Cons. Stato, sez. VI, 6 dicembre 2018, n. 2270; si veda anche, nuovamente, TAR Lazio, Roma, sez. III-bis, 21 maggio 2019, n. 6606. Cfr. E. Prosperetti, Obbligo di motivazione e procedimenti in cui non è nota a priori la logica dell’algoritmo. Nota a Consiglio di Stato, sez. VI, 2270/2019 del 8.4.2019, in Diritto mercato tecnologia, 17 maggio 2019.
[8] O. Sesso Sarti, Profilazione e trattamento dei dati personali, in L. Califano-C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017, 573 ss.
[9] IVASS, Solvency II. La nuova regolamentazione prudenziale del settore assicurativo: una guida semplificata, novembre 2016, 8 ss.: «Se l’oggetto delle nostre preoccupazioni è ciò che potrebbe accadere nel futuro, la bussola di cui ci serviamo per avere qualche indicazione pratica è però orientata verso il passato. Proprio da lì, dal passato, arrivano gli insegnamenti utili per fronteggiare i rischi a venire. È una “scienza” che l’industria assicurativa, abituata a coprire i rischi di persone e di imprese, ha imparato a conoscere bene. Per calcolare correttamente, ad esempio, la tariffa delle r.c. auto, un assicuratore deve stimare il numero di incidenti che un veicolo può causare. Questo lo spinge a studiare le frequenze dei crash verificatisi nel passato e il loro costo medio. Inoltre, per avere qualche indicazione in più sul rischio che si appresta a coprire, articola gli indicatori generali con parametri più specifici, quali l’età del conducente, la regione in cui il veicolo è immatricolato, e così via. Al termine di questa analisi è in grado di formulare ipotesi sulla probabilità che il sinistro si possa ripetere e con che costo».
[10] Nel settore assicurativo i “rischi emergenti”, gli eventi del tutto inattesi che possono avere conseguenze disastrose sono anche conosciuti come “cigni neri”. IVASS, Solvency II, cit., 9.
[11] IVASS, Solvency II, cit., 8 ss: «Si tratta, beninteso, di una stima fondata sul presupposto che il passato si ripeta quasi uguale. Cosa che, naturalmente, non sempre si verifica. Quando accade un fatto inatteso questo “diviene passato” e pertanto è incorporato nelle analisi precedenti in attesa che il prossimo evento imprevisto imponga di rivedere le stime. Agli assicuratori farebbe comodo poter disporre di una sfera di cristallo ma, dopotutto, se esistesse un simile strumento preveggente non vi sarebbe bisogno di rivolgersi a loro».
[12] D. Porrini, op.cit., 328.
[13] IVASS, Report: analisi trend offerta prodotti assicurativi (luglio – dicembre 2018), maggio 2019, 3.
[14] Sul rischio di un’opacità degli algoritmi si veda A. Moretti, op. cit., 804 ss., per il quale: «I processi decisionali si caratterizzano per non essere visibili dall’esterno, in modo particolare dai soggetti direttamente coinvolti dalla decisione, e talvolta addirittura dall’interno, si pensi ai casi in cui il processo matematico rilevi delle correlazioni e dei patterns del tutto inaspettati per i Data Scientists».
[15] A. Luberti-C. Tabarrini, Insurtech. Una ricognizione empirica e giuridica, in Consumers’ Forum (in collaborazione con Università degli Studi Roma Tre), Consumerism 2018. Il cittadino nell’era dell’algoritmo, 2018, 96.
[16] La possibilità di applicare l’art. 22 al settore assicurativo è presa in considerazione anche dal c.d. “Gruppo di lavoro Articolo 29 per la protezione dei dati personali” nelle sue “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del Regolamento 2016/679”, cit., alle quali si rinvia.
[17] In tal senso significativo è il ricorso promosso contro il Ministero dell’istruzione, dell’università e della ricerca laddove i ricorrenti, docenti della scuola secondaria di secondo grado, si lamentavano di essere stati valutati da un algoritmo e non da un essere umano. Cfr. Cons. Stato, sez. VI, 6 dicembre 2018, n. 2270.
[18] WP29, Linee guida sul processo decisionale automatizzato, cit., 8; parere 06/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE. Commissione europea, 9 aprile 2014.
[19] L. Montuori-M. Siano, Evoluzione del concetto di consenso informato nel mondo digitale e transizione del marketing tradizionale alle attuali sfide della profilazione, in G. Busia-L. Liguori-O. Pollicino (a cura di), Le nuove frontiere della privacy nelle tecnologie digitali: bilanci e prospettive, Roma, 2016, 101 ss.
[20] WP29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, 28 novembre 2017 e modificate il 10 aprile 2018, WP 259 rev.01, 20 ss.
[21] Secondo WP29, Linee guida sul consenso, cit., 6 ss., quando nella relazione tra il titolare e l’interessato del trattamento sia presente uno squilibrio di potere, l’interessato non dispone di alternative realistiche all’accettazione dei termini del trattamento e, quindi, il consenso non può essere considerato liberamente dato. In tutti questi casi il WP29 sconsiglia il ricorso al consenso come base giuridica del trattamento laddove, evidentemente, non può essere questa la base giuridica appropriata.
[22] Agenzia dell’Unione europea per i diritti fondamentali-Consiglio d’Europa-Corte europea dei diritti dell’uomo-Garante europeo della protezione dei dati, Manuale sul diritto europeo in materia di protezione dei dati, edizione 2018, 260: «L’obbligo di prendere in considerazione il parere dell’interessato quando le decisioni sono basate esclusivamente su un trattamento automatizzato significa che l’interessato ha il diritto di impugnare tali decisioni e di contestare eventuali inesattezze nei dati personali utilizzati dal titolare del trattamento e di contestare la pertinenza del profilo applicato».
[23] Cfr. Considerazioni del Presidente dell’IVASS Salvatori Rossi, Relazione sull’attività svolta dall’Istituto nell’anno 2017, Roma, giugno 2018, 1 ss.