Da un recente confronto con alcuni agenti e broker sull’argomento GDPR e intermediari assicurativi emerge quanto la tematica trattata dal Regolamento UE sulla protezione dei dati personali sia ancora inspiegabilmente trascurata o ridotta a meri adempimenti burocratici a cui sottoporsi per risultare “in regola”.
In molti casi le associazioni di riferimento hanno riunito gli iscritti e coinvolto professionisti della materia limitandosi a stipulare delle convenzioni per la redazione dell’informativa da rilasciare ai clienti.
Si escludano ovviamente quegli intermediari che meritoriamente sia siano ben in-formati.
In Italia al 31 dicembre 2017 risultavano iscritti nel RUI 228.676 intermediari italiani, oltre a 8.211 intermediari esteri (Relazione IVASS del 27/06/2018).
Invero l’attività principale di un intermediario assicurativo consiste nella proposta e nell’assistenza per una copertura assicurativa. Tanto sarebbe possibile in modo efficace senza trattare dati personali, familiari e particolari? In realtà, gli intermediari assicurativi raccolgono dati per finanziarie, raccolgono buste paga, fanno convenzioni con società per applicare sconti ai rispettivi soci e via dicendo.
Indice degli argomenti
GDPR e intermediari assicurativi: la contitolarità tra compagnie, agenti e broker
L’art. 4, par. 7, del GDPR stabilisce che il Titolare del trattamento è «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali». Quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento, l’art. 26 impone loro di definire specificamente – con accordo interno a disposizione degli interessati nel suo contenuto essenziale – le rispettive responsabilità in merito all’osservanza degli obblighi, all’esercizio dei diritti dell’interessato e all’informativa.
A titolo esemplificativo, le imprese assicurative e gli intermediari determinano congiuntamente finalità e mezzi del trattamento dei dati personali dei propri clienti, stabilendo le rispettive responsabilità ed i compiti sull’osservanza degli obblighi derivanti dal GDPR. In particolare, tali accordi si riferiscono ai diritti dell’interessato e agli obblighi di fornire le informazioni previste al momento della raccolta dei dati.
A tal proposito il GDPR prevede che gli interessati abbiano la possibilità di rivolgersi indifferentemente a uno qualsiasi dei Contitolari per l’esercizio dei loro diritti. Ebbene, agenti e broker risultano a tutti gli effetti titolari del trattamento in quanto hanno la possibilità di proporre prodotti di compagnie diverse, tenendo conto dei profili e delle esigenze degli interessati assicurandi.
Si fa inoltre notare che gli intermediari quando trattano dati personali per conto della Compagnia (Titolare del trattamento) divengono anche Responsabili del trattamento e pertanto la nomina del DPO a maggior ragione rientrerebbe tra le misure a loro disposizione nella protezione dei dati.
Riflessione più approfondita richiederebbero i sub-agenti? Sono contitolari, responsabili e/o sub-responsabili del trattamento?
Partiamo dal principio.
Data Protection Officer: chi è obbligato a nominarlo
L’art. 37, par. 1, del Regolamento (UE) 2016/679 prevede che la nomina del DPO è obbligatoria da parte di:
- Autorità pubbliche e organismi pubblici;
- Titolari o Responsabili che svolgono trattamenti che «per loro natura, ambito e/o finalità» richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- Titolari o Responsabili che svolgono attività che consistono nel trattamento, su larga scala, di categorie particolari di dati personali (genetici, biometrici, giudiziari ecc.).
Da tanto si desume che nei casi non previsti dall’art. 37 GDPR la nomina del DPO è solo facoltativa.
Pertanto, ictu oculi, gli intermediari assicurativi possono rientrare tra i Titolari e i Responsabili di cui ai punti b) e c) obbligati alla designazione del DPO.
Larga scala: facciamo chiarezza su questo concetto
Il regolamento non definisce univocamente cosa rappresenti un trattamento “su larga scala”.
Sul punto il Gruppo di lavoro WP29 raccomanda di tenere conto dei fattori qui elencati:
- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.
A titolo esemplificativo, tra gli altri, il Gruppo cita il trattamento su larga scala dei dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle attività ordinarie.
Non nomina, invece, quella grande platea di professionisti della intermediazione assicurativa.
Monitoraggio regolare e sistematico: cos’è e quando avviene
Come per il concetto di larga scala, anche il riferimento al concetto di monitoraggio regolare e sistematico degli interessati non trova una definizione all’interno del GDPR; dal considerando 24 si evince che si ha controllo del comportamento dell’interessato quando le persone fisiche sono tracciate su internet ovvero quando si ricorre a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
Sul concetto di “regolare”, il Gruppo di lavoro WP29 lo ha definito chiaramente come un monitoraggio “che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici”.
Con riferimento all’aggettivo “sistematico”, sempre il Gruppo ha precisato che prevede almeno uno dei seguenti significati: “che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia”.
Lo stesso Gruppo riporta alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati, tra le quali: attività di marketing basate sull’analisi dei dati raccolti; profilazione e scoring per finalità di valutazione del rischio (per esempio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); programmi di fidelizzazione; pubblicità comportamentale; utilizzo di telecamere a circuito chiuso e così via.
Appare evidente, pertanto, che gli intermediari assicurativi possono rientrare tra quei soggetti privati che trattano i dati personali regolarmente e sistematicamente.
Il Gruppo Art 29 e il Garante italiano sulla nomina del DPO
Il Gruppo Art 29 nelle Linee Guida del 13/12/2016 già aggiornate in data 05/04/2017 ha tenuto a precisare, come previsto dall’art. 37, par. 4, GDPR che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base al diritto dell’Unione o degli Stati membri.
Il Gruppo è giunto fino a puntualizzare che anche ove la nomina di un DPO non sia obbligatoria, può risultare utile procedere a tale designazione su base volontaria e pertanto incoraggia un approccio di questo genere. Non può negarsi infatti che nel dubbio è consigliabile la sua designazione in quanto contribuisce ad una migliore «immagine privacy» del Titolare ai fini dell’accountability.
È bene specificare che ove si dovesse procedere alla designazione di un DPO su base volontaria, troverebbero applicazione gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i DPO designati in via obbligatoria.
Anche il Garante Privacy italiano ha voluto, opportunamente aggiungerei, contribuire all’individuazione di chi è obbligato alla designazione del DPO e il 26/03/2018 ha pubblicato sul sito istituzionale, in aggiunta alle Linee Guida adottate dal Gruppo Art 29, le Nuove FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato e in ambito pubblico.
Con riferimento all’ambito privato, l’art 3 stabilisce che sono tenuti alla designazione del DPO, quando ricorrono i presupposti di cui sopra (art. 37, par. 1, lett. b) e c), del GDPR), i seguenti Titolari e Responsabili del trattamento (a titolo esemplificativo e non esaustivo): “istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento”.
Tanto è stato necessario al fine di offrire maggiori indicazioni agli operatori economici che vivevano l’entrata in vigore del GDPR con dubbi e apprensione relativamente all’obbligo della designazione del DPO.
Si potrà notare come siano presenti le imprese assicurative ma non le imprese di intermediazione assicurativa quali broker o agenti.
GDPR e intermediari assicurativi: considerazioni sulla nomina del DPO
Come il passaggio di una cometa che non richiede più lo sguardo, con il passaggio della fatidica data del 25/05/2018 (data in cui il GDPR è diventato pienamente esecutivo) l’attenzione per l’argomento è scemata: alcuni operatori economici sono certi di dover designare il DPO, altri, evidentemente non puntualmente individuati, sottovalutano la necessità di nominare il Responsabile della protezione dei dati.
È opportuno allora ricordare a noi stessi che la colonna portante della normativa europea risiede nel principio dell’accountability, il quale richiede a Titolari e Responsabili del trattamento un atteggiamento proattivo e una ricerca costante di misure tecniche e organizzative adeguate alla protezione dei dati trattati.
Ci si aspettava allora che questi soggetti, responsabilizzati dal legislatore europeo, non si fermassero alle esemplificazioni del Garante italiano (utili ma non esaustive come dichiarate dal Garante) e che andassero oltre.
In conclusione, scontato che le compagnie assicurative siano tenute alla nomina del DPO (è indicato esplicitamente nelle Nuove FAQ), le società di intermediazione assicurativa a loro volta – con l’ausilio di professionisti specializzati – dovrebbero valutare con più attenzione la nomina del Data Protection Officer.