Poate industria InsureTech să supraviețuiască în era

GDPR?
12 decembrie 2017

În prezent, tehnologia a devenit o parte importantă și esențială din viața

noastră de zi cu zi. Domeniul asigurărilor nu face excepție din această
perspectivă. Cu toate că un domeniu atât de complex si vast este în principiu
reticent la schimbări majore, tehnologia și-a făcut loc și pe piața asigurărilor, tot
mai mulți asigurători fiind impresionați de beneficiile semnificative pe care
aceasta le aduce.

Fără dubii, tehnologia a îmbunătățit calitatea serviciilor oferite de asigurători,

prin reducerea costurilor și creșterea eficienței. Cele mai comune tendințe în
sectorul asigurărilor sunt implementarea inteligenței artificiale, utilizarea
dispozitivelor telematice (şi alte dispozitive smart), precum şi utilizarea
tehnologiei blockchain.

Cu toate acestea, asiguratorii trebuie sa fie precauți în ceea ce privește

utilizarea acestor tehnologii, întrucât GDPR introduce o serie de obligații în
sarcina operatorilor, cu scopul de a proteja drepturile şi libertățile persoanelor
vizate. În paragrafele următoare, vom adresa riscurile pe care utilizare unor
astfel de tehnologii le prezintă din perspectiva protecției datelor personale.

Interdicția luării unor decizii bazate exclusiv pe

prelucrări automate

Implementarea inteligenței artificiale, utilizarea de chatbots

sau alte tehnologii bazate pe inteligență artificiala a condus la
o creștere a eficienței în sectorul asigurărilor în ceea ce
privește evaluarea persoanelor, încheierea contractelor de
asigurare şi chiar şi plata indemnizațiilor de asigurare către
persoanele asigurate. Cea mai uzuală practică de luare a unor
decizii automate este procesul de „scoring” al persoanelor, prin
care, pe baza unui algoritm specific un program pe calculator

Pagina 1 | 7
decide dacă persoana respectivă prezintă un risc ridicat, precum şi în ce
măsură se poate încheia un contract de asigurare cu acea persoană. Același
concept de „scoring” al persoanelor este utilizat şi de dispozitivele telematice.
Aceste dispozitive sunt similare cu „cutia neagra” a unui avion, şi sunt instalate
pe autoturismele persoanelor, în vederea evaluării stilului de condus şi
probabilității ca riscul asigurat să se producă.

Cu toate că nicio persoană nu poate să conteste beneficiile furnizării unor

soluții adaptate la nevoile sale, în ceea ce privește polițele de asigurare, lipsa
unor intervenții umane în procesul decizional poate să prezinte un risc
semnificativ pentru drepturile şi libertăţile persoanelor vizate.

În conformitate cu articol 22 din GDPR, persoanele vizate au dreptul „de a nu

face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv
crearea de profiluri, care produce efecte juridice care privesc persoana vizată
sau o afectează în mod similar într-o măsură semnificativă”. Grupul de Lucru 29
(„WP 29”) a statuat, în proiectul ghidului privind luarea deciziilor bazate exclusiv
pe prelucrări automate, faptul că articolul 22 trebuie interpretat ca o interdicție
generală în ceea ce privește luarea deciziilor prin mijloace automate. În
consecință, orice excepție este de strictă interpretare şi trebuie să asigure
suficiente garanții pentru drepturile şi libertăţile persoanelor vizate.

Al doilea alineat al articolului 22 din GDPR prevede 3 excepții de la interdicția

generală de luare a deciziilor prin mijloace automate, cu condiția ca operatorii
se implementeze măsuri adecvate în vederea protejării drepturilor persoanelor
vizate (i.e. cel puțin dreptul de a obține intervenție umană):
     a) consimțământul explicit al persoanelor vizate; 
     b) autorizarea de către dreptul unional sau național, cu condiția                      
     implementării unor garanții adecvate;
     c) luarea deciziilor prin mijloace automate sunt necesare pentru încheierea  
     sau executarea unui contract între persoana vizată şi operator.

Remediile de la literele a) şi c) sunt cele mai uzuale în domeniul asigurărilor.

Deși consimțământul este considerat cel mai „puternic” temei pentru luarea
deciziilor prin mijloace automate, având în vedere circumstanțele concrete
în acesta este obținut de la persoanele vizate, există riscul ca acesta să nu fie

Pagina 2 | 7
considerat valabil. În concret, poziția privilegiată a asiguratorului, precum şi
faptul că, în majoritatea cazurilor, încheierea contractului de asigurare va
depinde de obținerea consimțământului persoanei vizate, se poate susține că
acest consimțământ nu este dat în mod liber. Cu atât mai mult, condiționarea
serviciilor de furnizarea consimțământului de către persoana vizată, face ca
acest consimțământ să nu fie valabil (e.g. daca asigurătorul ar încheia contracte
de asigurare exclusiv prin utilizarea dispozitivelor telematice).

Având în vedere cele expuse mai sus, cel mai probabil excepția care se va
aplica va fi necesitatea încheierii sau executării unui contract. Cu toate acestea,
WP29 subliniază faptul că sintagma „necesitate” trebuie interpretată în sens
strict. În cele mai multe cazuri, asigurătorii vor fi nevoiți să efectueze o evaluare
de impact asupra protecției datelor („DPIA”), în conformitate cu dispozițiile
articolului 35 alin. (3) lit. a din GDPR, prin care va trebui să ia în considerare şi
alte metode mai puțin intrusive. În măsura în care astfel de metode există şi nu
prezintă un efort financiar semnificativ pentru asigurător, condiția „necesității”
nu va mai fi îndeplinită. Astfel, interesul economic al asigurătorilor,
argumentele cu privire la eficiență şi consecvență nu vor fi, în principiu,
suficiente pentru a justifica luarea unor decizii prin mijloace automate.

În fine, în ceea ce privește intervenția umană, aceasta trebuie să constea în ceva

mai mult decât simpla supervizare a procesului automat. Persoanele implicate
trebuie aibă o influență semnificativă în procesul decizional şi să aibă
intervenții relevante cu privire la rezultatele procesului de evaluare (e.g. o
persoană care coroborează rezultatele propriei evaluări cu cele ale procesului
de scoring şi decide pe baza rezultatelor agregate dacă se poate încheia un
contract de asigurare cu persoana respectivă).

Reducerea la minimum a datelor, exactitate şi limitările

legate de stocare în ceea ce privește dispozitivele
telematice
Deși utilizarea dispozitivelor telematice nu este nouă în piața globală, anumite
regiuni geografice de abia au început să adopte dispozitivele telematice cu
privire la asigurările auto. Dispozitivele telematice colectează un volum

Pagina 3 | 7
semnificativ de date personale ale șoferilor, precum: locația, viteza, accelerația,
virajele, frânarea şi, în unele cazuri concrete, şi producerea unor evenimente
(e.g. daca se produce un accident, pe baza gravității evaluate, vor fi notificate
autoritățile competente). Pe baza datelor colectate, un algoritm special va
evalua posibilitatea producerii riscului asigurat şi adaptează prima de asigurare
în mod corespunzător (în unele cazuri procesul de scoring poate să conducă
inclusiv la refuzul de a încheia sau reînnoi contractul de asigurare).

Unele categorii de șoferi erau considerate că prezintă un „risc semnificativ” fără

a face obiectul unei evaluări individuale (e.g. șoferi tineri). Dispozitivele
telematice vor permite asigurătorilor să evalueze în mod concret riscul,
adaptând astfel polițele la abilitățile reale de condus ale persoanelor asigurate,
fiind irelevantă vârsta sau alte criterii aleatorii. Cu toate acestea, trebuie pot fi
ridicate anumite îngrijorări cu privire la compatibilitatea unor astfel de
dispozitive în materie de protecție datelor.

În concret, asigurătorii trebuie să respecte principiul

reducerii la minimum a datelor personale.
Dispozitivele telematice colectează un volum
semnificativ de date personale, într-o maniera
nediscriminantă. Cu toate acestea, nu toate datele
sunt relevante pentru atingerea scopului urmărit de
asigurator. De exemplu, asigurătorii trebuie să
analizeze dacă toate tipurile de date colectate sunt
absolut necesare pentru scopul urmărit şi dacă au fost 
implementate măsuri tehnice şi organizatorice adecvate pentru protejarea
drepturilor şi libertăților persoanelor vizate.

În lumina principiilor mai sus menționate, scopul dispozitivelor telematice este

de a evalua probabilitatea producerii riscului asigurat şi să adapteze polița de
asigurare în mod corespunzător (e.g. prime mai mari, excluderi de risc etc.). Prin
urmare, păstrarea dispozitivului activ pe întreaga durata a politiei de asigurare
(monitorizând astfel permanent șoferul) ar exceda acestui scop şi ar încălca
principiile menționate mai sus.

Mai mult, unele aspecte relevante, care deseori nu sunt adresate de asigurători

Pagina 4 | 8
sunt exactitatea şi limitările legate de stocarea datelor privind profilul colectate.
Individul uman este foarte dinamic, iar abilitățile sale de condus, precum şi
stilul de condus, sunt într-o continuă schimbare. Prin urmare, pot să existe alte
motive care să justifice păstrarea datelor după încheierea contractului de
asigurare? Majoritatea asigurătorilor ar susține faptul că datele sunt necesare
pentru reînnoirea poliței de asigurare, dar este puțin probabil ca aceste date să
mai fie exacte după trecerea unei perioade semnificative de timp. Mai mult,
având în vedere faptul că relația dintre asigurător şi persoana asigurată este, în
principiu, de natură contractuală, este puțin probabil că aspectele pre-
contractuale trebuie păstrate şi după încheierea contractului, deoarece acordul
părților va fi însuși contractul, iar toate aceste aspecte pre-contractuale vor fi
deja incluse în contract (în mod implicit sau explicit).

În cazurile în care asigurarea de răspundere civila auto este atașată

autoturismului (i.e. există mai mulți șoferi), trebuie avute în vederea unele
aspecte suplimentare. Dacă toți șoferii potențiali vor fi evaluați de către
dispozitivul telematic şi scorul lor este utilizat într-o formă agregată, astfel de
date nu vor constitui date personale şi vor fi exceptate de la aplicarea GDPR. În
caz contrar, dacă nu toți șoferii sunt evaluați, necesitatea utilizării dispozitivelor
telematice poate fi contestată, şi astfel, să încalce dispozițiile GDPR. Astfel de
situații vor fi analizate de la caz la caz.

Începutul erei blockchain

În fine, una dintre cele mai discutate şi
controversate teme în domeniul tehnologiei, în
acest moment, rămâne tehnologia blockchain
împreună cu smart contracts. Tot mai mult
societăți din diverse sectoare sunt atrase de
beneficiile pe care această tehnologie le oferă,
precum securitate impenetrabilă (cel puțin
până acum) şi transparență.

Desigur, faptul că nicio operațiune nu va putea fi ștearsă sau înlăturată din

blockchain oferă un nivel ridicat de securitate şi încredere în această
tehnologie, mai ales în sectoarele sensibile precum sectorul bancar şi
al asigurărilor. Cu toate acestea, cea mai recunoscută calitate al acesteia poate

Pagina 5 | 8
să-i fie şi cel mai mare defect, deoarece este dificil de anticipat cum se va
concilia aceasta tehnologie cu dreptul de a fi uitat, introdus de GDPR, dar şi cu
principiul exactității.

Articolul 18 din GDPR prevede faptul că persoanele vizate pot solicita ștergerea
datelor personale care le privesc. Nu există nicio exceptare clară cu privire la
tehnologia blockchain. Astfel, în măsura în care persoanele vizate își exercită
dreptul de a fi uitat, ce ar trebui să facă operatorul în privința acestei sarcini
imposibile? Dar dacă înregistrările sunt false sau eronate?

Aceste întrebări nu au un răspuns clar în acest moment. În practică, una din

soluțiile propuse pentru a depăși aceste obstacole a fost criptarea datelor
personale încărcate în blockchain. Desigur, dacă doar persoana vizată deține
„cheia” cu privire la aceste date, dreptul de a fi uitat nu va mai putea fi exercitat
împotriva operatorilor. Totuși, deși încărcarea informațiilor criptat în blockchain
are rolul de a asigura securitatea unor astfel de informații (precum un seif
indestructibil), neglijează multe din celelalte funcții ale acestei tehnologii
(precum transparența).

Ce este sigur este faptul că tehnologia blockchain nu va dispărea în curând,

mai ales având în vedere beneficiile acesteia. Astfel, este sarcina legiuitorului
european, precum şi a dezvoltatorilor, de a implementa, colabora şi dezvolta
măsuri adecvate pentru a concilia rețelele blockchain cu dispozițiile relevante
privind protecția datelor (posibil prin introducerea unei excepții legale sau
crearea unor rețele blockchain alterabile).

Deci, ce urmează acum?

Ritmul în care tehnologia pune stăpânire pe viețile noastre este copleșitor şi
este puțin probabil ca acest progres să se oprească (dar chiar ne-am dori asta?).
Astfel, cum pot operatorii să-şi reducă riscul de a încasa amenzi considerabile?
Singurul răspuns rezonabil este: echilibru. Având în vedere riscul pe care
tehnologia îl prezintă cu privire la drepturile şi libertăţile persoanelor, trebuie
găsit un echilibru între beneficiile acesteia şi riscuri.

În acest scop, este previzibil faptul că în viitorul apropriat evaluările

privind impactul asupra protecției datelor vor deveni un mecanism des utilizat

Pagina 6 | 8
pentru a adresa şi a reduce riscul asociat unei dezvoltări continue a tehnologiei.
Deși societățile vor fi reticente la început, va fi nevoie în cele din urmă să aloce
resurse semnificative pentru efectuarea evaluărilor de impact, mai ales dacă
procesele interne de business vor ține pasul cu dezvoltarea de noi tehnologii.
Rămâne o singură întrebare: care e prețul pe care o societate dorește să-l
plătească pentru a evita o amendă de 20 de milioane de euro?

Pagina 7 | 8
Radu Zmaranda
CIPP/E, Avocat colaborator
radu.zmaranda@bpv-grigorescu.com

bpv GRIGORESCU ȘTEFĂNICĂ

Strada Dionisie Lupu nr. 33
RO-020021 Bucuresti
Telefon: +40 21 264 16 50
Fax:     +40 21 264 16 60
office@bpv-grigorescu.com
www.bpv-grigorescu.com

Alianța bpv LEGAL 

bpv BRAUN PARTNERS bpv HÜGEL RECHTSANWÄLTE bpv JÁDI NÉMETH

Europeum Business Center Rond Point Schuman 9, Postbox 14, Vörösmarty tér 4.
Suché mýto 1 SK-811 03 Bratislava B - 1040 Brussels H-1051 Budapest
Telefon: +421 233 888 880 Telefon: +32 2 286 81 10 Telefon: +36 1 429 4000
Fax: +421 257 200 170 Fax: +32 2 286 81 18 Fax: +36 1 429 4001
Email: bratislava@bpv-bp.com Email: brussels@bpv-huegel.com Email: budapest@bpv-jadi.com
Web: ww.bpv-bp.com  Web: www.bpv-huegel.com  Web: www.bpv-jadi.com

bpv BRAUN PARTNERS bpv HÜGEL RECHTSANWÄLTE

Ovocný trh 8 Donau-City-Str. 11, ARES-Tower
CZ-110 00 Prague 1 A 1220 Vienna
Telefon: +420 224 490 000 Telefon: +43 1 260 50 0
Fax: +420 224 490 033 Fax: +43 1 260 50 133
Email: prague@bpv-bp.com Email: vienna@bpv-huegel.com
Web: www.bpv-bp.com  Web: www.bpv-huegel.com