Secondo il Garante per la protezione dei dati personali, le banche che distribuiscono polizze assicurative di una compagnia di assicurazione sono responsabili del trattamento ai sensi del Regolamento (UE) 679/2016 (il GDPR) e non un autonomo titolare del trattamento.
Questa è la conclusione principale del parere del Garante, fornito nel parere del 17 maggio 2022, emesso in risposta ai quesiti posti da una società operante nel settore assicurativo.
Il concetto di responsabile e titolare del trattamento ai sensi del GDPR applicato alla cosiddetta catena assicurativa
Il GDPR distingue tra responsabile e titolare del trattamento, a seconda del soggetto che detiene il potere decisionale in merito alle finalità e alle modalità di trattamento dei dati personali. In particolare, ai sensi dell’articolo 4(7) del GDPR, il “titolare del trattamento” è il soggetto che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali; mentre, ai sensi dell’articolo 4(8) del GDPR, mentre il “responsabile del trattamento” è il soggetto che tratta i dati personali per conto del titolare. Secondo le Linee Guida 07/2020 sui concetti di responsabile del trattamento e incaricato del trattamento nel GDPR dell’European Data Protection Board (EDPB), è necessario valutare le circostanze di fatto del caso per identificare correttamente il soggetto decisionale e per assegnare correttamente i ruoli e le responsabilità delle parti in materia di privacy.
Con specifico riferimento al settore assicurativo, il Garante, con il provvedimento del 26 aprile 2007, ha analizzato le attività svolte dagli operatori del settore assicurativo ed è giunto alla conclusione che il relativo trattamento può articolarsi in una pluralità di “fasi”, a partire dalla distribuzione fino alla fase di liquidazione del sinistro. Di conseguenza, i dati personali dei clienti prospect e degli assicurati possono essere trattati da più soggetti diversi, con ruoli diversi in materia di privacy, a seconda della “fase”, e questo scenario dà origine alla cosiddetta catena assicurativa.
Di conseguenza, è necessario che le compagnie assicurative valutino con la massima attenzione il ruolo effettivamente svolto dai soggetti coinvolti nel trattamento e stabiliscano se e quali di tali soggetti abbiano un effettivo e autonomo potere decisionale in merito alle finalità del trattamento o se invece si conformino alle istruzioni delle compagnie assicurative.
Il parere del Garante privacy sul ruolo delle banche come responsabili del trattamento nella distribuzione delle polizze assicurative
Il Garante è stato interrogato sul ruolo privacy da attribuire alle banche che vendono e distribuiscono polizze assicurative emesse da una compagnia di assicurazione. Nel suo parere, il Garante ha rilevato che, ai sensi dell’art. 58, comma 3, del Regolamento IVASS 40/2018,:
- i distributori sono tenuti a proporre contratti coerenti con le richieste e le esigenze di copertura assicurativa e previdenziale del contraente o dell’assicurato. A tal fine, i distributori raccolgono dal cliente le informazioni necessarie, riguardanti specifici riferimenti all’età, allo stato di salute, all’attività lavorativa, al nucleo familiare, alla situazione finanziaria e assicurativa del contraente e alle sue aspettative in relazione alla sottoscrizione del contratto, in termini di copertura e di durata, tenendo conto anche delle eventuali coperture assicurative già in essere, della tipologia di rischio, delle caratteristiche e della complessità del contratto offerto;
allo stesso tempo
- le imprese di assicurazione, per ciascun prodotto distribuito, emanano adeguate istruzioni per guidare i distributori nella fase precontrattuale, unitamente a informazioni utili e rilevanti in relazione alla tipologia di contratto offerto.
Alla luce di quanto sopra, secondo il Garante, poiché i distributori operano sulla base di istruzioni impartite dalle imprese di assicurazione, le prime non hanno libertà operativa nel definire le modalità di trattamento dei dati personali e, pertanto, le banche che operano secondo questo schema sono sempre responsabili del trattamento.
Il paradigma del Garante è un “modello unico”?
Negli ultimi anni, nuovi modelli di distribuzione assicurativa si sono affacciati sul mercato italiano. In alcuni di questi modelli distributivi, gli agenti sono una tipologia specializzata di agenti/broker assicurativi che, a differenza dei tradizionali distributori di polizze, sono dotati di poteri di sottoscrizione da parte dell’assicuratore. Di conseguenza, svolgono alcune funzioni normalmente gestite solo dagli assicuratori, come la definizione della copertura, la sottoscrizione e la determinazione dei prezzi, la nomina di agenti al dettaglio in una determinata area e la liquidazione dei sinistri. In questi scenari, gli agenti hanno un notevole potere decisionale che li porta a determinare le modalità di trattamento dei dati personali.
Pertanto, ci si può legittimamente chiedere se il paradigma del Garante sancito nel parere sopra citato sia effettivamente applicabile per analogia ad altri modelli di distribuzione.
Poiché il Garante non fornisce ulteriori indicazioni, non resta che ricorrere ai principi generali in materia di protezione dei dati e valutare caso per caso.
Su di un simile argomento, può essere interessante l’articolo “Sanzione privacy di € 1,24 milioni nei confronti di una compagnia di assicurazioni in Germania per attività di marketing senza consenso”.
Autore: Giorgia Carneri
