Le banche operano come responsabili del trattamento nell’attività di collocamento dei prodotti assicurativi

di  Sabrina Salmeri e Lorenzo Baudino Bessone

 

Il quesito e il contesto di riferimento

L’Autorità Garante per la Protezione dei Dati Personali (di seguito “Garante Privacy”) è stata chiamata a fornire il proprio parere, a seguito della richiesta avanzata da una compagnia assicurativa (di seguito la “Compagnia”) al fine di ottenere chiarimenti in ordine alla qualificazione soggettiva ai fini privacy della Compagnia e degli istituti di credito (di seguito le “Banche”) che operano come intermediari nell’attività di collocamento delle polizze assicurative.

Il quesito sottoposto all’esame del Garante Privacy verte su una tematica particolarmente complessa ed incerta della data protection: sul punto, il Regolamento UE 2016/679 (di seguito “GDPR”), da un lato, definisce quale titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 1, n. 7) e, dall’altro, quale responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, par. 1, n. 8).

Nelle “Linee guida sui concetti di titolare del trattamento e di responsabile del trattamento” – Linee guida 7/2020, adottate dall’European Data Protection Board (“EDPB”) il 7 luglio 2021 – il titolare del trattamento viene definito come il soggetto dotato del potere decisionale in merito alle finalità ed ai mezzi del trattamento dei dati personali degli interessati con la conseguente responsabilità sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili del trattamento.

Di conseguenza, il ruolo del responsabile del trattamento è, invece, caratterizzato dallo svolgimento di attività delegate, su specifiche istruzioni, dal titolare in virtù delle proprie conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento.

L’EDPB specifica inoltre che i concetti di titolare e di responsabile del trattamento sono concetti “funzionali”, nel senso che la ripartizione dei ruoli deve essere determinata sulla base delle attività effettivamente svolte in una situazione specifica, piuttosto che sulla base della (mera) designazione formale (ad es., in un contratto), “ciò significa che la ripartizione dei ruoli dovrebbe, di norma, derivare da un’analisi degli elementi di fatto o delle circostanze del caso e, in quanto tale, non è negoziabile”.

Le motivazioni della Compagnia e delle Banche

In merito al quesito sottoposto al Garante si sono registrate posizioni antitetiche.

Ad avviso della Compagnia, le operazioni di trattamento poste in essere dalle Banche, per il collocamento delle polizze assicurative, sarebbero effettuate dalle stesse per conto della Compagnia in qualità di responsabili del trattamento.

Tale assunto risulterebbe fondato, sempre alla luce di quanto rappresentato dalla Compagnia, sulla scorta di alcune previsioni contenute all’interno del contratto di distribuzione dei prodotti assicurativa che recano l’obbligo per le Banche di:

  1. raccogliere i dati personali dei contraenti/assicurati utilizzando documenti informativi, precontrattuali e contrattuali, nonché stampati e modulistiche, forniti dalla Compagnia e non modificabili (trattandosi di c.d. prodotti standardizzati);
  2. sottoporre ai clienti/contraenti/assicurati il modulo di informativa (ed eventuali richieste di consenso) della medesima Compagnia;
  3. attenersi alle istruzioni impartite dalla Compagnia, anche per quanto concerne le specifiche attività formative sui prodotti assicurativi da rivolgere alle persone autorizzate al trattamento sotto l’autorità della banca (e/o nell’ambito anche della relativa rete di vendita);
  4. accedere, tramite propri strumenti elettronici, ai sistemi informativi della Compagnia al fine di caricare i dati personali acquisiti e renderli disponibili a quest’ultima, secondo le misure dalla stessa indicate;
  5. utilizzare, per la valutazione delle richieste ed esigenze assicurative degli interessati, procedure informatizzate della Compagnia o predisporre procedure impostate secondo istruzioni e logiche indicate dalla Compagnia;
  6. conservare gli originali dei documenti cartacei relativi alle polizze assicurative sottoscritte dagli Interessati su incarico della stessa Compagnia;
  7. essere oggetto di controlli periodici, effettuati dalla Compagnia sulle suddette attività;
  8. occuparsi dei soli reclami relativi ai comportamenti della rete di vendita, ma non di quelli riguardanti i contratti e i servizi assicurativi gestiti esclusivamente dalla Compagnia.

Contrariamente, le Banche hanno sostenuto di rivestire il ruolo di titolari del trattamento – per le attività sopra elencate (con la sola eccezione dell’attività di archiviazione della documentazione effettuata per conto della Compagnia) – in virtù della formulazione dell’art. 58, comma 1, del Regolamento IVASS n. 40/2018, il quale, prevedendo che i distributori di polizze assicurative sono tenuti a raccogliere i dati personali degli interessati al fine di valutare la coerenza dei prodotti proposti con le richieste e le esigenze degli interessati medesimi, assegnerebbe direttamente loro il compito di effettuare un’attività valutativa che risulterebbe caratterizzata da un margine di “responsabilità” più assimilabile con il ruolo di titolare anziché con quello di responsabile del trattamento, ex art. 28 del GDPR.

Il parere del Garante Privacy

Il parere del 18 maggio u.s. del Garante Privacy fornisce un’interpretazione lineare delle disposizioni discendenti dal GDPR e dei principi interpretativi forniti dall’EDPB nelle sopra richiamate Linee Guida 7/2020.

Esaminato il predetto quadro normativo e di Soft-Law internazionale, il Garante Privacy si è dunque soffermato sull’interpretazione dell’art. 58 del Regolamento IVASS n. 40/2018, chiarendo che se è vero che lo stesso impone ai distributori di prodotti assicurativi di raccogliere e elaborare dati personali degli interessati (contraenti/assicurati) – anche relativi allo stato di salute e/o ad altre categorie cd. particolari (di cui all’art. 9 del GDPR) – tuttavia, tali attività devono essere svolte dagli intermediari (e dai dipendenti preposti) in conformità alle istruzioni fornite dalle compagnie assicurative che devono essere idonee e pertinenti in relazione alla tipologia di contratto offerto, ai sensi del comma 3.

Ribaltando la soluzione prospettata dalle Banche, il Garante Privacy ha dunque sancito che in via generale, nel rapporto di distribuzione di polizze assicurative, i ruoli soggettivi ricoperti dalla compagnia assicurativa e dalla banca intermediaria appaiono conformi a quelli del rapporto tipico titolare/responsabile del trattamento.

La sussistenza di un siffatto rapporto è peraltro avvalorata dalla circostanza che le Banche utilizzano, sia in fase precontrattuale che in fase contrattuale, documentazione e moduli standardizzati forniti dalla Compagnia e, nel momento in cui raccolgono i dati degli interessati, rendono agli stessi, per conto della Compagnia, l’informativa ai sensi dell’art. 13 del GDPR e ne acquisiscono (ove necessario) il consenso.

Considerazioni finali

Il provvedimento de quo consente di trarre un duplice ordine di considerazioni: l’una sul piano più specifico del rapporto tra le compagnie assicurative e gli intermediari finalizzato alla distribuzione di prodotti assicurativi, e l’altra sul piano più generale della ripartizione dei ruoli privacy alla luce del quadro normativo vigente in materia di protezione dei dati personali.

In primo luogo, infatti, il parere in esame fornisce un’interpretazione dirimente dell’art. 58 del Regolamento IVASS n. 40/2018, da cui emerge il principio per il quale gli intermediari assicurativi operano, in via generale, come responsabili del trattamento nell’ambito del trattamento di dati finalizzato al perfezionamento della copertura assicurativa, agendo gli stessi per conto delle compagnie assicurative e trattando i dati su istruzioni di quest’ultime.

Al contempo, come ricordato dallo stesso Garante Privacy, la corretta ripartizione dei ruoli ricoperti dalle compagnie e dagli intermediari assicurativi non può prescindere da una valutazione funzionale e de facto delle circostanze riferite al trattamento specifico: ne consegue che si renderà comunque opportuno ponderare di volta in volta le caratteristiche del trattamento e i ruoli dei soggetti coinvolti, in considerazione del diverso grado di autonomia, al fine di applicare il predetto principio emanato dal Garante Privacy al caso di specie.