La fornitura agli interessati delle informazioni di cui agli articoli 12, 13 e 14 del GDPR relative al trattamento corretto dei dati personali da parte del distributore assicurativo costituisce un elemento fondamentale di esplicazione del principio di trasparenza.
Vediamo quali sono sotto il profilo squisitamente pratico gli adempimenti in materia di informativa e di richiesta del consenso agli interessati che devono essere approntati dagli intermediari di primo livello (iscritti nella sezione A, B e D del R.U.I.).
Organigramma GDPR e intermediari assicurativi: adempimenti e accorgimenti pratici
Indice degli argomenti
L’intermediario quale autonomo titolare
Per quanto attiene il trattamento dei dati personali dei clienti e dei potenziali clienti, qualora l’intermediario rivesta la qualifica di titolare, veicolerà all’interessato il “proprio” modulo di informativa e consenso per i trattamenti effettuati in autonomia.
A titolo di mero esempio, l’agente di assicurazioni o la banca intermediaria saranno tenuti ad informare l’interessato ai sensi degli artt. 13 e 14 del GDPR — nella veste di autonomo titolare — tramite un “proprio” modulo autonomo e distinto da quello fornito dalla/e Compagnia/e.
Ulteriormente, qualora il broker abbia ricevuto dall’interessato l’incarico di reperire una determinata copertura assicurativa e, quindi, di individuare il prodotto sulla base delle sue esigenze, egli dovrà informare l’interessato ai sensi degli artt. 13 e 14 del GDPR — nella veste di autonomo titolare — tramite un proprio modulo in cui rappresenterà al cliente “come e perché” tratterà i dati ad esso conferiti.
Sul punto, si noti come, l’intermediario sarà tenuto ad indicare nelle informazioni da rendere al cliente e/o al potenziale cliente (ma anche ai propri dipendenti/ collaboratori, stagisti, candidati, fornitori e consulenti esterni) tutti gli elementi previsti dal Regolamento e, in specie, la base giuridica del trattamento, il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione e i diritti riconosciuti all’interessato dal GDPR.
L’intermediario, inoltre, dall’interessato — ove necessario — dovrà acquisire il consenso (il quale deve essere libero, inequivocabile, specifico, informato, verificabile e revocabile) nei casi previsti dalla normativa attraverso una propria e autonoma modulistica.
In specie, qualora gli intermediari ricevano dal cliente i dati c.d. particolari (per esempio, i dati relativi alla salute), dovranno raccogliere dal medesimo un consenso “esplicito” e, ulteriormente, attenersi alle prescrizioni del GDPR e alla giurisprudenza del Garante circa l’effettuazione di attività di trattamento per finalità promo-commerciale e di profilazione con propri strumenti informatici.
La contitolarità
Per quanto attiene la fattispecie di contitolarità di cui all’art. 26 del Regolamento, occorre a questo proposito precisare che, relativamente al trattamento dei dati personali dei clienti e dei potenziali clienti, quando l’intermediario (ad esempio, l’agente) riveste la qualifica di contitolare con l’impresa assicurativa e/o con altro intermediario di primo livello, nelle suindicate fattispecie, ecco che, quindi, l’interessato riceverà un modulo di informativa e consenso reso dall’intermediario nella veste di autonomo titolare (per quanto attiene i trattamenti svolti autonomamente) e quello “condiviso” con la Compagnia/intermediario, fornito dall’agente quale contitolare o di responsabile (mediante l’utilizzo dell’informativa fornita dall’Impresa) in considerazione della differente natura dei rapporti instaurati con le Compagnie per cui distribuisce prodotti assicurativi e con altri intermediari.
Per quanto attiene la figura del broker, qualora il medesimo rivesta la qualifica di contitolare, per esempio, con altro intermediario, fornirà all’interessato il proprio modulo di informativa e consenso quale autonomo titolare (per quanto attiene i trattamenti svolti autonomamente) e quello “condiviso”.
L’intermediario nella veste di responsabile
Nel ruolo di responsabile del trattamento dei dati per conto dell’Impresa, l’intermediario (si pensi, all’agente o all’iscritto nella sezione D del R.U.I.) utilizzerà il modulo di informativa e consenso, ad esempio, messo a disposizione sui sistemi informatici della Compagnia per i termini di trattamento svolti secondo le prescrizioni della mandante.
Conclusioni
Alla luce di quanto fin qui esposto, si rappresenta che il rispetto degli obblighi in materia di trasparenza informativa e consenso nei termini sopradescritti, consente al distributore assicurativo di adempiere correttamente al principio di “accountability”, rendendo pienamente edotto l’interessato (consumatore di servizi e prodotti assicurativi) dell’utilizzo e trattamento dei propri dati, secondo i principi di liceità e di correttezza.
