La raccolta autonoma del consenso al trattamento dei dati personali ai sensi del GDPR da parte di agenti assicurativi e broker

​

Titolare del trattamento, contitolare, responsabile o incaricato? Quali ruoli assumono mandante e mandatario riguardo al trattamento dati personali dei clienti?

Il dibattito tra imprese assicuratrici e intermediari va avanti da anni senza che si sia giunti ad un’opinione condivisa…

D’altronde, il principio di accountability fortemente richiamato dal Regolamento UE 2016/679 (GDPR) “responsabilizza” ogni soggetto coinvolto a valutare e definire il proprio ruolo sulla base della specificità della propria attività, dei dati raccolti e dei trattamenti effettuati.

Ecco alcuni appunti utili se dovete chiarire la vostra posizione in questo ambito.

1. Il parere del Garante privacy del 18/5/2022 riguardante il trattamento dei dati degli istituti di credito per conto delle compagnie di assicurazioni (cd. bancassurance)

Il Garante ha espresso il suo parere sulla richiesta di una compagnia di assicurazioni, riguardo al ruolo soggettivo degli istituti di credito che svolgono attività di distribuzione di polizze assicurative, anche con riferimento al trattamento dei dati relativi alla salute degli interessati.

Il Garante ha ritenuto che gli istituti di credito agiscano in qualità di responsabili del trattamento per conto della compagnia di assicurazioni, in base ai criteri stabiliti dal suo provvedimento del 26 aprile 2007 e alla specifica regolazione dei rapporti tra le parti contenuta nei contratti di distribuzione.

Il Garante ha anche precisato che gli istituti di credito devono rispettare le istruzioni impartite dalla compagnia di assicurazioni, utilizzare i documenti e le modulistiche forniti da quest’ultima, sottoporre ai clienti l’informativa e le eventuali richieste di consenso della compagnia, accedere ai sistemi informativi della compagnia per caricare e rendere disponibili i dati personali acquisiti e utilizzare le procedure informatizzate della compagnia o impostate secondo le sue indicazioni.

Dalla lettura del parere si è portati a ritenere che il ragionamento operato dal Garante debba limitarsi alla particolare attività di intermediazione effettuata dagli istituti di credito, con conseguente esclusione di tutti gli altri intermediari assicurativi.

Rif. Garante Privacy: Richiesta di parere avanzata riguardo al ruolo soggettivo degli istituti… ​

2. Quali opinioni hanno gli agenti assicurativi riguardo alla necessità di raccogliere autonomamente il consenso GDPR per il trattamento dei dati personali?

La qualificazione soggettiva degli agenti assicurativi ai fini della protezione dei dati personali dipende dai rapporti contrattuali e dalle modalità operative che intercorrono tra gli agenti e le compagnie mandanti, tuttavia è possibile riassumere alcune delle opinioni più diffuse in merito:

a) Alcuni agenti assicurativi ritengono di agire in qualità di incaricati esterni del trattamento per conto delle aziende mandanti, in base ai criteri stabiliti dal provvedimento del 26 aprile 2007 del Garante della privacy. In questo caso, gli agenti non devono raccogliere autonomamente il consenso degli interessati, ma devono seguire le istruzioni impartite dalle aziende mandanti, utilizzare i documenti e le modulistiche forniti da queste ultime, sottoporre ai clienti l’informativa e le eventuali richieste di consenso delle aziende e accedere ai sistemi informativi delle stesse per caricare e rendere disponibili i dati personali acquisiti.

Rif. Esonero dall’informativa in ambito assicurativo (c.d. catena assicurativa)… – Garante Privacy

b) Altri agenti assicurativi ritengono di agire in qualità di responsabili del trattamento per conto delle aziende mandanti, in base ai criteri stabiliti dall’articolo 28 del GDPR. 

In questo caso, gli agenti devono stipulare un contratto o un altro atto giuridico vincolante con le aziende mandanti, che specifichi il contenuto, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti del titolare. 

Rif.Art. 28 GDPR – Responsabile del trattamento (altalex.com)

c) Infine, alcuni agenti assicurativi ritengono di agire in qualità di autonomi titolari del trattamento o di contitolari del trattamento con le aziende mandanti, in base ai criteri stabiliti dagli articoli 26 e 27 del GDPR. In questo caso, gli agenti devono definire con le aziende mandanti le rispettive responsabilità in materia di protezione dei dati personali, mediante un accordo scritto o un altro atto giuridico vincolante. Gli agenti devono anche raccogliere autonomamente il consenso degli interessati per il trattamento dei dati personali, informandoli della propria identità e dei propri contatti, nonché delle finalità e delle basi giuridiche del trattamento. Inoltre, gli agenti devono fornire agli interessati le informazioni relative agli altri titolari o contitolari del trattamento, nonché alle modalità di esercizio dei loro diritti.

Rif. Art. 26 GDPR – Contitolari del trattamento (altalex.com)

Rif. Art. 27 GDPR – Rappresentanti di titolari o responsabili del trattamento non stabiliti nell’Unione (altalex.com)

Il ruolo GDPR da assumere in merito al trattamento dati personali dei clienti richiede una valutazione ad hoc per ogni singola situazione; risulta pertanto una consulenza legale specializzata per garantire la piena conformità al GDPR.

3. Un agenzia di assicurazioni può raccogliere autonomamente dalla mandante il consenso GDPR al trattamento dei dati?

La risposta alla domanda dipende dalla qualificazione soggettiva dell’agenzia di assicurazioni ai fini della protezione dei dati personali, che a sua volta dipende dai rapporti contrattuali e dalle modalità operative che intercorrono tra l’agenzia e la compagnia mandante.

Se per un broker di assicurazioni è palese l’assunzione della qualifica di “Titolare del trattamento dati”, gli agenti invece, per effetto della rappresentanza della compagnia, devono distinguere ciò che compiono nell’interesse proprio e in quello della loro mandante. 

Nel decidere se effettuare una raccolta autonoma del consenso, oltre a quella prevista dalla mandante, può essere di aiuto anche la lettura dell’art. 22, comma 10 del D.L. 18 ottobre 2012, n. 179, convertito con modificazioni dalla Legge n. 17 dicembre 2012, n. 221 (Gli intermediari assicurativi possono svolgere attività di intermediazione in collaborazione tra di loro, anche mediante l’utilizzo di piattaforme informatiche, per la distribuzione di prodotti assicurativi di più imprese, purché ciò sia previsto dai rispettivi contratti di mandato e sia comunicato al cliente).

4. Come comportarsi riguardo ai consensi precedenti all’entrata in vigore del GDPR?

Il GDPR ha rafforzato le condizioni per il consenso, che deve essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

Ma cosa succede ai consensi raccolti prima dell’entrata in vigore del GDPR? Sono ancora validi o devono essere rinnovati? La risposta dipende dal fatto che i consensi precedenti siano stati ottenuti in conformità ai requisiti del GDPR o meno. Se i consensi precedenti rispettano i criteri stabiliti dal GDPR, non è necessario richiederli nuovamente. Se invece i consensi precedenti non sono conformi al GDPR, devono essere adeguati o sostituiti con una diversa base giuridica del trattamento.

Il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, ha chiarito che un consenso raccolto prima della data di efficacia del GDPR continua a costituire valida base giuridica del trattamento purché sia stato raccolto con modalità tali per cui risulti “esplicito” (se riferito alla raccolta di dati sensibili e a decisioni basate su trattamenti automatizzati), “libero, specifico, informato” e “manifestato attraverso dichiarazione o azione positiva inequivocabile” (se riferito a dati ordinari).

Rif. Consenso – Garante Privacy

Rif.IL CONSENSO RACCOLTO PRIMA DELLA DATA DI EFFICACIA DEL GDPR SARÀ ANCORA VALIDO? – Europrivacy

5. Cosa deve fare un agenzia di assicurazioni per trattare autonomamente i dati dei clienti?

Il trattamento autonomo dei dati dei clienti da parte di un’agenzia di assicurazioni è un’operazione delicata e richiede il rispetto rigoroso del Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Ecco cosa un’agenzia di assicurazioni deve fare per trattare autonomamente i dati dei clienti:

• Valutare la necessità di nomina di un Responsabile della Protezione dei Dati (DPO): se l’agenzia tratta un grande volume di dati sensibili, potrebbe essere necessario nominare un DPO (un professionista della protezione dei dati responsabile di garantire la conformità alle leggi sulla privacy).
• Assicurarsi di ottenere il consenso esplicito dai clienti prima di raccogliere qualsiasi dato personale. Il consenso deve essere informato, specifico, libero e inequivocabile. 
• Fornire ai clienti informazioni chiare e comprensibili su come i loro dati verranno utilizzati. Queste informazioni devonoincludere le finalità del trattamento, le categorie di dati personali trattati, i destinatari dei dati, i diritti dei clienti e come esercitarli, e altre informazioni rilevanti.
• Implementare misure di sicurezza adeguate per proteggere i dati personali dei clienti. Questo potrebbe includere l’uso di cifratura, l’accesso limitato ai dati, la formazione del personale sulla sicurezza dei dati e altre pratiche di sicurezza.
• Garantire ai clienti la possibilità di esercitare i loro diritti in conformità con il GDPR. Questi diritti includono il diritto di accesso ai propri dati, il diritto alla rettifica, il diritto all’oblio, il diritto alla portabilità dei dati, e altri. Per questo motivo è necessario prevedere procedure in atto per gestire queste richieste in modo tempestivo.
• Tenere un registro delle attività di trattamento dei dati personali che vengono svolte. Questo registro deve includere informazioni sulle finalità del trattamento, le categorie di dati trattati, i destinatari dei dati e altre informazioni richieste dal GDPR.
• Se l’agenzia svolge attività di trattamento dei dati che possono comportare un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario condurre una DPIA (Valutazione dell’impatto sulla protezione dei dati) per valutare e mitigare questi rischi.
• Collaborare con le autorità di controllo competenti, ad esempio in caso di violazione dei dati o altre questioni legate alla protezione dei dati.

È importante sottolineare che il trattamento dei dati personali è una questione seria e deve essere gestito in modo responsabile e conforme alla legge. I ruoli privacy devono essere ben individuati per utilizzare legittimamente i dati raccolti. Un’agenzia di assicurazioni dovrebbe consultare un consulente legale specializzato o un professionista della protezione dei dati per garantire la piena conformità al GDPR.