Per definire il proprio quadro di “accountability”, l’intermediario assicurativo di primo livello (iscritto nella sezione A, B e D del R.U.I.) deve, tra le altre cose, gestire correttamente gli obblighi in materia di risposta alle richieste dei diritti avanzate dagli interessati.
È necessario, pertanto, che l’intermediario definisca e condivida con la propria struttura distributiva (dipendenti e collaboratori) una specifica procedura che consenta di identificare le richieste di esercizio dei diritti che dovessero pervenire dagli interessati, di valutare le istanze e di procedere con il riscontro nei termini previsti dalla normativa.
Nello specifico, sarà importante individuare i soggetti deputati a comunicare e dare riscontro all’interessato, valutare la fondatezza/legittimità o meno delle richieste e compiere le analisi sulle istanze pervenute.
Indice degli argomenti
Conoscere i diritti dell’interessato
Gli artt. 11 e 12 del GDPR definiscono le modalità per l’esercizio dei diritti da parte degli interessati. In via preliminare, occorre precisare fin da subito che il titolare è tenuto a riscontrare positivamente o negativamente l’interessato per tutti i diritti nel termine di un mese, estendibile fino a tre mesi nelle casistiche di particolare complessità.
A ciò si aggiunga poi che, spetta al titolare valutare la fondatezza o meno della richiesta e la complessità del riscontro all’interessato. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:
- addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure
- rifiutare di soddisfare la richiesta. Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta (art. 12.5).
Il riscontro all’interessato deve essere fornito in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici.
Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato (art. 12.1).
Specificatamente, gli interessati hanno il diritto di:
- accedere ai propri dati e ottenere determinate informazioni circa il trattamento (art. 15);
- ottenere eventualmente dal titolare del trattamento la rettifica dei propri dati, se i dati sono inesatti (art. 16);
- ottenere eventualmente dal titolare del trattamento la cancellazione dei propri dati, se il trattamento è illegale (art. 17);
- limitare temporaneamente il trattamento (art. 18);
- ricevere dal titolare comunicazione in ordine alle eventuali rettifiche o cancellazioni o limitazioni del trattamento, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato (art. 19);
- ottenere il trasferimento dei propri dati a un altro titolare del trattamento, in determinate condizioni (art. 20);
- opporsi al trattamento nei seguenti casi:
- motivi che riguardano la loro situazione particolare;
- uso dei loro dati a fini di marketing diretto (art. 21);
- non essere sottoposti a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producano effetti giuridici che li riguardano o incidano significativamente sulla loro persona (art. 22).
Best practices per gli intermediari assicurativi
Per quanto riguarda gli obblighi dell’intermediario in merito alla gestione delle richieste di esercizio dei diritti avanzate dall’interessato, sulla base del “ruolo GDPR” che ricopre il distributore di primo livello, si possono così individuare dal punto di vista operativo-pratico i processi da strutturare:
- Titolare autonomo: l’intermediario assicurativo nel ruolo titolare avrà l’onere di gestire autonomamente le richieste dell’interessato nei termini previsti dal GDPR sopra descritti.
- Responsabile: nella veste di responsabile, l’intermediario (si pensi, per esempio, all’agente o all’iscritto nella sezione D del Registro) è tenuto a collaborare con la Compagnia ai fini della corretta gestione delle istanze di esercizio dei diritti avanzate dagli interessati. Ad esempio, qualora il distributore (responsabile) ricevesse una richiesta di esercizio del diritto di accesso o di cancellazione dei dati da parte di un assicurato, dovrà darne tempestiva informativa alla Compagnia (titolare del trattamento) attendendosi alle istruzioni e/o circolari diramate dall’Assicurazione al fine di consentire alla medesima di evadere la richiesta nel rispetto dei precetti regolamentari.
- Contitolare: l’accordo di contitolarità ex art. 26 del GDPR deve includere disposizioni che stabiliscano quale titolare del trattamento procederà con il riscontro dell’istanza avanzata dall’interessato.
A titolo di mero esempio, l’agente e Compagnia possono prevedere che, nell’ambito delle attività di trattamento degli interessati effettuate nel regime di contitolarità all’interno dei sistemi informatici e applicativi dell’Impresa forniti all’agente, qualora pervengano all’intermediario da parte dell’interessato le richieste di esercizio dei diritti ai sensi degli artt. 15 e ss. del GDPR (fermo restando che l’interessato può esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento come previsto dall’art. 26, par. 3, cit.), tali richieste vengano gestite dalla Compagnia che provvederà a fornire il riscontro all’interessato, fermi gli obblighi di tempestiva informativa e cooperazione dell’agente.
Parimenti, qualora gli intermediari di primo livello concretino la fattispecie della contitolarità dei dati personali, sarà onere dei distributori chiarire nell’accordo il reciproco ruolo “con particolare riguardo all’esercizio dei diritti dell’interessato” specificando “come e da chi” sarà fornito riscontro alle richieste dell’interessato.
Conclusioni
Anche alla luce della recente sanzione inflitta dal Garante per la protezione dei dati personali a un istituto bancario (la banca aveva cancellato i dati personali di un interessato soltanto quattro mesi, anziché entro un mese, dopo la presentazione della richiesta a causa di un disguido tecnico), è necessario, pertanto, che gli intermediari assicurativi, tenuto conto delle specificità sopra menzionate, adottino adeguate misure tecniche e organizzative per favorire l´esercizio dei diritti e il riscontro tempestivo alle richieste presentate dagli interessati, facendo tesoro delle indicazioni fornite dall’Authority sull’argomento.