Istituti di credito collocatori di prodotti assicurativi: sono responsabili di trattamento ai fini privacy
Questo il condivisibile parere dell'Autorità Garante per la protezione dei dati personali
In data 18 maggio 2022 l'Autorità Garante per la protezione dei dati personali ha rilasciato un interessante parere, in risposta a un interpello di una compagnia di assicurazioni. Il parere, attualmente rinvenibile su Internet, è stato diffuso in data 24 maggio 2022 dall'Associazione Bancaria Italiana (ABI).
La questione, del tutto frequente nella pratica, concerne il corretto inquadramento soggettivo degli intermediari finanziari che collocano prodotti assicurativi, sotto il profilo della protezione dei dati personali dei clienti assicurati.
Nel collocamento di prodotti assicurativi, gli istituti di credito collocatori operano talvolta quali titolari del trattamento dei dati personali, con la sola eccezione per l'attività di archiviazione della documentazione per conto della compagnia di assicurazione, in relazione alla quale gli istituti di credito assumono, di regola, il ruolo di responsabile ai sensi dell'art. 28 del Regolamento UE 679/2016 (c.d. GDPR).
L'impostazione seguita dai citati istituti di credito, che si ritengono titolari di trattamento nel caso di specie, troverebbe fondamento nella formulazione dell'articolo 58, comma 1, del Regolamento IVASS n. 40/2018 e successive modifiche. In particolare, il citato Regolamento IVASS prevede che i distributori di polizze assicurative sono tenuti a raccogliere i dati personali degli interessati al fine di valutare la coerenza dei prodotti proposti con le richieste e le esigenze degli interessati medesimi, assegnando direttamente loro il compito di effettuare un'attività valutativa che, in quanto tale risulterebbe caratterizzata da un margine di responsabilità più assimilabile al ruolo di titolare di trattamento, più che a quello di responsabile del trattamento.
Secondo l'Autorità Garante per la protezione dei dati personale, tuttavia, gli istituti di credito che collocano prodotti assicurativi per conto di compagnie assicuratrici terze, devono essere qualificati come responsabili di trattamento nell'ambito dell'attività sopra evidenziata.
Il Regolamento UE 679/2016 definisce, infatti, titolare di trattamento "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali", mentre definisce responsabile del trattamento "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento".
Alla luce delle definizioni sopra riportate, pertanto, il titolare del trattamento è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati, nonché la responsabilità generale (c.d. accountability) sui trattamenti posti in essere dallo stesso o da altri per suo conto, in qualità di responsabili del trattamento.
Nel caso di specie, il Garante ha sottolineato che il citato articolo 58 del Regolamento IVASS n. 40/2018, contrariamente a quanto ritenuto dall'opposta interpretazione, apporta argomenti a sostegno del ruolo di titolare di trattamento in capo alla compagnia di assicurazione. Esso stabilisce, infatti, che le imprese assicurative devono impartire agli intermediari e ai dipendenti di cui si avvalgono per la distribuzione dei prodotti assicurativi istruzioni idonee a guidare i medesimi nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti in relazione alla tipologia di contratto offerto.
In altre parole, le imprese assicuratrici continuano a decidere le finalità del trattamento (l'erogazione dei servizi di assicurazione), fornendo agli istituti di credito intermediari le istruzioni necessarie per la conclusione del contratto.
Con il parere in commento, pertanto, l'Autorità Garante per la protezione dei dati personali ha sancito che "con riferimento ai trattamenti di dati personali effettuati nell'ambito dell'attività di distribuzione di polizze assicurative da parte degli istituti bancari, in capo alla compagnia assicurativa deve essere riconosciuto il ruolo di titolare del trattamento. In questo ambito le banche operano in qualità di responsabili del trattamento. Si evidenzia, di conseguenza la necessità che il ruolo svolto nel collocamento di polizze assicurative sia adeguata al Regolamento".
Si rileva, in ogni caso, che il parere dell'Autorità Garante nel caso di specie è limitato alla valutazione della fattispecie concreta vagliata.
Sarà quindi opportuno che i titolari e i responsabili del trattamento valutino di volta in volta le caratteristiche del trattamento e i ruoli dei soggetti coinvolti, in modo da verificare l'applicabilità del principio stabilito dall'Autorità Garante alla situazione concreta.
*di Alessandro Candini - DigitalMediaLaws
Benedetti Mario, BLB Studio Legale
DottrinaGianluca Fasano*
Norme & Tributi Plus DirittoAldo Natalini
Riviste