Sul sito del Garante Privacy è stato pubblicato un interessante parere sull’identificazione delle figure del Titolare del trattamento e del Responsabile del trattamento nelle operazioni di distribuzione di polizze assicurative tramite il canale bancario/ finanziario, consultabile al seguente link: docweb n. 9781161.
Il tema è di particolare interesse, perché negli ultimi anni si è particolarmente sviluppato il fenomeno della vendita abbinata delle polizze assicurative insieme ai finanziamenti, sul quale più volte sono intervenute le Autorità Regolatorie, Banca d’Italia e IVASS, nei rispettivi ambiti di competenza, con l’emanazione di specifiche norme regolamentari.
L’intervento del Garante è utile per fare chiarezza sul ruolo delle Compagnie e degli intermediari bancari e finanziari dal punto di vista di gestione del sistema privacy e, di conseguenza in ordine al contenuto degli accordi di distribuzione assicurativa e della modulistica da consegnare agli interessati.
In particolare, l’oggetto del parere riguarda “la corretta individuazione del ruolo soggettivo da attribuire agli istituti di credito che svolgono attività di distribuzione di polizze assicurative; ciò anche con riguardo al trattamento dei dati relativi alla salute degli interessati (contraenti e assicurati) effettuato mediante la raccolta, gestione, trasmissione e conservazione della documentazione e della modulistica relativa ai contratti di assicurazione delle Compagnie, ivi inclusi i questionari anamnestici“.
L’analisi del Garante prende in considerazione alcuni degli aspetti principali normalmente contenuti nei contratti di distribuzione assicurativa ed in particolare le clausole che prevedono che l’istituto di credito:
“a) “raccolga i dati personali di contraenti/assicurati utilizzando documenti informativi, precontrattuali (preventivi, proposte di polizze) e contrattuali (polizze), nonché stampati e modulistiche, forniti dalla Compagnia e non modificabili in alcun modo dalla medesima banca (trattandosi di c.d. prodotti standardizzati);
b)sottoponga ai clienti/contraenti/assicurati il modulo di informativa (ed eventuali richieste di consenso) della medesima Compagnia;
c) si attenga alle istruzioni impartite dalla Compagnia, anche per quanto concerne le specifiche attività formative sui prodotti assicurativi da rivolgere alle persone autorizzate al trattamento sotto l’autorità della banca (e/o nell’ambito anche della relativa rete di vendita);
d) acceda, tramite propri strumenti elettronici, a sistemi informativi della Compagnia al fine di caricare i dati personali acquisiti e renderli disponibili a quest’ultima, secondo le misure dalla stessa indicate;
e) utilizzi, per la valutazione delle richieste ed esigenze assicurative degli interessati, procedure informatizzate della Compagnia o predisponga procedure impostate secondo istruzioni e logiche indicate dalla Compagnia;
f) conservi gli originali dei documenti cartacei relativi alle polizze assicurative sottoscritte dagli Interessati su incarico della stessa Compagnia;
g) sia oggetto di controlli periodici, effettuati dalla Compagnia sulle suddette attività;
h) si occupi solo dei reclami relativi ai comportamenti della rete di vendita, ma non di quelli riguardanti i contratti e i servizi assicurativi gestiti esclusivamente dalla Compagnia“.
Si tratta di aspetti che pongono in capo alla Compagnia la definizione degli aspetti peculiari del rapporti distributivo e, di conseguenza delle finalità del trattamento dei dati.
Ciò lascerebbe intendere che la figura del titolare del trattamento dovrebbe essere identificata nella Compagnia assicurativa.
Tuttavia, l’attività svolta dagli Istituti di credito non sarebbe priva di profili di autonomia e discrezionalità nelle valutazioni, cosicché l’interrogativo su chi sia il titolare non appare privo di fondamento.
Infatti, chi individua nell’intermediario la figura del titolare, sostiene che “tale qualificazione deriverebbe dalla formulazione dell’art. 58, comma 1, del Regolamento IVASS n. 40/2018; in particolare, lo stesso, prevedendo che i distributori di polizze assicurative sono tenuti a raccogliere i dati personali degli interessati al fine di valutare la coerenza dei prodotti proposti con le richieste e le esigenze degli interessati medesimi, assegnerebbe direttamente loro il compito di effettuare un’attività valutativa che, in quanto tale, risulterebbe caratterizzata da un margine di “responsabilità” più assimilabile con il ruolo di titolare anziché con quello di responsabile del trattamento, ai sensi dell’art. 28 del Regolamento“.
Peraltro, “le banche, nello svolgimento dell’attività di distribuzione di contratti assicurativi, non agiscono solo in base alle istruzioni impartite dalla Compagnia assicurativa ma – nell’ambito della valutazione di coerenza richiesta loro dall’art. 58 del Regolamento IVASS – operano con un margine di discrezionalità che comporta la possibilità di raccogliere tutte le informazioni ritenute utili ai fini della valutazione medesima, che costituisce per loro un preciso adempimento di cui possono essere chiamate a rispondere direttamente“.
Così ricostruite le diverse posizioni, il Garante passa ad esaminare i profili del rapporto di Bancassurance dal punto di vista della disciplina relativa al trattamento dei dati personali, evidenziando che:
“il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati nonché la responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento.
Il ruolo del responsabile del trattamento è, invece, caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse – in termini di conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento (cfr. Cons. 81 del Regolamento) -, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare (cfr. WP 169, Parere 1/2010 sui concetti di “responsabile e incaricato del trattamento” del 16 febbraio 2010)“.
Sul rapporto tra titolare e responsabile il Garante ricorda che esso “deve essere regolato da un contratto – o da altro atto giuridico stipulato per iscritto – che, oltre a vincolare reciprocamente le due figure, preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti (cfr. Cons. 81 del Regolamento).
Più recentemente e nel solco del precedente orientamento sul punto, l’European Data Protection Board (EDPB) nelle “Linee guida sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021 (Linee guida 7/2020), ha precisato che i concetti di titolare e di responsabile del trattamento sono concetti “funzionali”, nel senso che la ripartizione dei ruoli deve essere determinata sulla base delle attività effettivamente svolte in una situazione specifica, piuttosto che sulla base della (mera) designazione formale (ad es., in un contratto): “ciò significa che la ripartizione dei ruoli dovrebbe, di norma, derivare da un’analisi degli elementi di fatto o delle circostanze del caso e, in quanto tale, non è negoziabile” (cfr. parte I, par. 12)“.
Successivamente, il parere passa in rassegna la normativa relativa al settore della distribuzione assicurativa, rilevando come “il Regolamento IVASS n. 40 del 2 agosto 2018 (così come integrato e modificato dal provvedimento IVASS n. 97 del 4 agosto 2020), all’art. 58, dispone che i distributori, prima di far sottoscrivere una proposta o un contratto di assicurazione, “acquisiscono dal contraente le informazioni utili a valutare le sue richieste ed esigenze” (comma 1); tali informazioni sono quelle espressamente indicate al comma 2, il quale recita che “[…] i distributori chiedono notizie sulle caratteristiche personali e sulle esigenze assicurative o previdenziali del contraente o dell’assicurato, che includono, ove pertinenti, specifici riferimenti all’età, allo stato di salute, all’attività lavorativa, al nucleo familiare, alla situazione finanziaria ed assicurativa e alle sue aspettative in relazione alla sottoscrizione del contratto, in termini di copertura e durata, anche tenendo conto di eventuali coperture assicurative già in essere, del tipo di rischio, delle caratteristiche e della complessità del contratto offerto”.
Al successivo comma 3, l’art. 58 stabilisce inoltre che “le imprese [n.d.r. assicurative], per ciascun prodotto distribuito, impartiscono agli intermediari e ai dipendenti di cui si avvalgono per la distribuzione dei prodotti assicurativi, istruzioni idonee a guidare i medesimi nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti in relazione alla tipologia di contratto offerto”.
Si richiamano, inoltre, l’art. 47 del medesimo Regolamento IVASS e l’art. 119 del Codice delle Assicurazioni private (d.lgs. 7 settembre 2005, n. 209) i quali prevedono condizioni e limiti all’attività di distribuzione di contratti assicurativi quando la stessa è rimessa agli intermediari iscritti alla lett. D) del Registro degli intermediari assicurativi e riassicurativi (banche, SIM e intermediari finanziari)“.
Secondo il Garante “alla luce dell’assetto regolatorio anzi riportato, si osserva che, nel rapporto di distribuzione di polizze assicurative, i ruoli soggettivi ricoperti dalla compagnia assicurativa e dalla banca intermediaria appaiono conformi a quelli del rapporto tipico titolare/responsabile del trattamento“.
Tale conclusione viene motivata sulla base del fatto che l’art. 58 del Regolamento IVASS sembra non lasciare nessuna discrezionalità alla banca nell’acquisizione di ulteriori informazioni rispetto a quelle ivi considerate ai fini del rapporto assicurativo.
Il distributore non avrebbe un apprezzabile margine di autonomia, poiché deve seguire i criteri e le indicazioni fornite dalla compagnia assicurativa per garantire la coerenza tra le esigenze di copertura dell’interessato e il contratto di assicurazione concretamente proposto, cosicchè sarebbe difficile riconoscere in capo all’intermediario una vera e propria titolarità del trattamento dei dati.
In definitiva, secondo il Garante, “l’attività di intermediazione posta in essere dalla banca (e i correlati trattamenti di dati personali che la stessa comporta: raccolta di dati degli interessati e successiva valutazione di coerenza rispetto al prodotto assicurativo che viene proposto), appare configurarsi come un’attività strumentale alla finalità perseguita dalla compagnia assicurativa (la conclusione del contratto di assicurazione con il cliente) e, in quanto tale, può ritenersi effettuata dalla banca, per conto della compagnia, in qualità di responsabile del trattamento“.
Corroborano le conclusioni raggiunte, il fatto che “la banca… nel momento in cui raccoglie i dati degli interessati, rende agli stessi, per conto della Compagnia, l’informativa ai sensi dell’art. 13 del Regolamento e ne acquisisce (ove necessario) il consenso; inoltre, sia nella fase precontrattuale che nella fase contrattuale – la stessa utilizza la documentazione e i moduli forniti dalla Compagnia che, in quanto riferiti a prodotti standardizzati, non sono in alcun modo modificabili. Attività che sono pienamente compatibili con quella di responsabile del trattamento che opera sotto la diretta autorità del titolare“.
Infatti, osserva il Garante che anche le banche che si qualificano come titolare del trattamento indica quale finalità del trattamento quella del perfezionamento della copertura assicurativa e dell’esecuzione del contratto assicurativo.
Tale finalità sarebbe in realtà quella propria dell’attività assicurativa.
Dunque, il ruolo della Banca sarebbe quello di mero responsabile del trattamento che, uina volta raccolti i dati peronali, dovrebbe trasferirli in capo alla compagnia/ titolare.
Avv. Emanuele Nati