Il GDPR (General Data Protection Regulation) è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato nel 2016 e diventato operativo il 25 maggio 2018. Tra i suoi obiettivi fondamentali troviamo la necessità di armonizzare le norme in vigore nei diversi Paesi europei in merito al trattamenti dei dati personali, ma anche l’urgenza di rispondere alle nuove sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica che si sono imposti negli ultimi anni.
Il GDPR si rivolge soprattutto alle grandi aziende che trattano dati personali nell’Unione europea. Tra queste rientrano necessariamente anche le società e le agenzie assicurative, che tra le altre cose sono tenute a nominare una figura professionale specifica – il Data Protection Officer (DPO) – proprio per assicurarsi di rispettare le norme. Come vedremo, invece, i broker e gli intermediari assicurativi rimangono esentati dall’obbligo, creando non poche complicazioni.
Indice degli argomenti
GDPR nelle assicurazioni: la gestione dei dati
L’art. 4, par. 7, del GDPR stabilisce che il Titolare del trattamento dei dati è «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali». In questo contesto, quindi, anche le agenzie assicurative, europee e non, che vendono polizze a cittadini dell’Unione Europea sono soggette all’applicazione del GDPR.
Tra i concetti chiave alla base della normativa c’è quello di “consapevolezza”: i titolari del trattamento – e quindi anche le società o le agenzie assicurative – devono rispettare i principi fissati dall’articolo 5 del GDPR per assicurare adeguati standard di liceità, correttezza, trasparenza, limitazione delle finalità di trattamento, minimizzazione ed esattezza dei dati trattati, integrità, riservatezza e limitazione della conservazione dei dati trattati.
Gli obblighi relativi al trattamento dei dati personali non si applicano solo ai servizi già esistenti, ma anche a quelli in fase di progettazione. Per questi, in particolare, il riferimento è ai concetti di “privacy by design” e “privacy by default” (articolo 25), con cui il GDPR introduce l’obbligo di proteggere i dati rispetto a possibili future implicazioni durante la progettazione di un nuovo bene o servizio che verrà offerto sul mercato.
Il trattamento dei dati nelle agenzie assicurative
Garantire che i dati dei clienti vengano trattati nel modo corretto, così come definito dal GDPR, non è importante solo a livello regolatorio: una cattiva gestione delle informazioni sensibili può infatti compromettere la reputazione di un’azienda, arrecando danni che in alcuni casi sono difficili da riparare.
Per questo il GDPR ha introdotto il principio di “accountability”: le aziende responsabili del trattamento di dati sensibili – quindi anche quelle assicurative – devono essere in grado di dimostrare che stanno rispettando i criteri fondamentali stabiliti dall’articolo 5 del regolamento europeo, già citato.
Altro elemento importante introdotto con il GDPR, e collegato al concetto di accountability, è il registro del trattamento. Questo è il punto di partenza per la compliance, e serve da un lato per permettere a titolari e responsabili di mappare tutti i trattamenti posti in essere nel proprio ambito operativo, e dall’altro ad aiutare il Garante della privacy a valutare l’approccio metodologico adottato per garantire la sicurezza dei trattamenti e il rispetto dei diritti degli interessati.
Il GDPR prevede anche che le compagne assicurative debbano svolgere una valutazione d’impatto (DPIA, dall’inglese Data Protection Impact Assessment) per i trattamenti che possono presentare un rischio privacy elevato per i diritti e le libertà delle persone fisiche. In particolare, la valutazione deve essere effettuata dal titolare del trattamento a monte delle operazioni, quindi in fase di progettazione, e deve essere aggiornata con regolarità, attraverso la ripetizione, ad esempio, di singole tappe della valutazione, poiché la scelta di determinate misure tecniche o organizzative potrà non più essere valida nel caso di cambiamento nel contesto organizzativo.
Il data protection officer nelle agenzie assicurative
In alcune tipologie di aziende interessate dagli obblighi del GDPR, tra cui quelle assicurative, la gestione dei dati personali deve necessariamente essere affidata a un Data Protection Officer (DPO). Si tratta di una figura professionale altamente specializzata, responsabile della protezione dei dati all’interno dell’azienda. Tra le altre cose, il DPO deve infatti facilitare l’osservanza della normativa, non solo attraverso attività di consulenza e supporto alle funzioni operative ma anche tramite processi di ispezione e controllo interno.
Tutte le organizzazioni italiane che trattano dati personali di persone residenti nell’UE devono rispettare il GDPR, ma non tutte le aziende sono tenute a nominare un DPO. In particolare questa figura è oggi obbligatoria per le agenzie e le società assicurative, mentre non ci sono indicazioni specifiche per quanto riguarda broker e intermediari.
Ricordiamo che secondo l’ultima relazione IVASS, aggiornata al luglio 2021, In Italia al 31 dicembre 2020 risultavano iscritti nel RUI 236.413 intermediari italiani, oltre a 6.523 intermediari esteri. L’attività principale di un intermediario assicurativo consiste nella proposta e nell’assistenza per una copertura assicurativa. Allo stesso tempo, però, queste figure raccolgono dati per finanziarie, archiviano buste paga, fanno convenzioni con società per applicare sconti ai rispettivi soci e via dicendo. È evidente quindi come sia estremamente complicato svolgere queste operazioni in modo efficace senza trattare dati personali, familiari e particolari.
Data Protection Officer: chi è obbligato a nominarlo
L’art. 37, par. 1, del Regolamento (UE) 2016/679 prevede che la nomina del DPO è obbligatoria da parte di:
- Autorità pubbliche e organismi pubblici;
- Titolari o Responsabili che svolgono trattamenti che «per loro natura, ambito e/o finalità» richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- Titolari o Responsabili che svolgono attività che consistono nel trattamento, su larga scala, di categorie particolari di dati personali (genetici, biometrici, giudiziari ecc.).
Nei casi non previsti dall’art. 37 GDPR la nomina del DPO è invece solo facoltativa. Gli intermediari assicurativi, sebbene non direttamente menzionati, potrebbero rientrare tra i Titolari e i Responsabili di cui ai punti b) e c) obbligati alla designazione del DPO.
Cosa si intende per larga scala?
Una tra le varie “zone grigie” lasciate da un regolamento complesso come il GDPR è il fatto che questo non definisce univocamente cosa rappresenti un trattamento “su larga scala”.
Sul punto è intervenuto anche il Gruppo “Articolo 29”, detto anche WP29, un gruppo di lavoro europeo indipendente che, fino all’entrata in vigore del GDPR, aveva lo scopo di occuparsi di questioni relative alla protezione della vita privata e dei dati personali.
Per quanto riguarda il concetto di “larga scala”, il Gruppo WP29 ha raccomandato di tenere conto dei fattori qui elencati:
- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.
A titolo esemplificativo, tra gli altri, il Gruppo cita il trattamento su larga scala dei dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle attività ordinarie.
Non nomina, invece, quella grande platea di professionisti della intermediazione assicurativa.
Monitoraggio regolare e sistematico: cos’è e quando avviene
Come per il concetto di larga scala, anche il riferimento al concetto di monitoraggio regolare e sistematico degli interessati non trova una definizione all’interno del GDPR. Dal considerando 24, in particolare, si evince che si ha controllo del comportamento dell’interessato quando le persone fisiche sono tracciate su internet ovvero quando si ricorre a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
Sul concetto di “regolare”, il Gruppo di lavoro WP29 lo ha definito chiaramente come un monitoraggio “che avviene in modo continuo, ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; oppure che avviene in modo costante o a intervalli periodici”.
Con riferimento all’aggettivo “sistematico”, sempre il Gruppo ha precisato che prevede almeno uno dei seguenti significati: “Che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; oppure svolto nell’ambito di una strategia”.
Lo stesso Gruppo riporta alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati, tra le quali: attività di marketing basate sull’analisi dei dati raccolti; profilazione e scoring per finalità di valutazione del rischio (per esempio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); programmi di fidelizzazione; pubblicità comportamentale; utilizzo di telecamere a circuito chiuso e così via.
Appare evidente, pertanto, che gli intermediari assicurativi possono rientrare tra quei soggetti privati che trattano i dati personali regolarmente e sistematicamente.
GDPR e intermediari assicurativi: la contitolarità tra compagnie, agenti e broker
Secondo quanto stabilito dall’articolo 26 del GDPR, quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento questi sono tenuti a definire in modo specifico – con accordo interno a disposizione degli interessati nel suo contenuto essenziale – le rispettive responsabilità in merito all’osservanza degli obblighi, all’esercizio dei diritti dell’interessato e all’informativa.
A titolo esemplificativo, le imprese assicurative e gli intermediari determinano congiuntamente finalità e mezzi del trattamento dei dati personali dei propri clienti, stabilendo le rispettive responsabilità e i compiti sull’osservanza degli obblighi derivanti dal GDPR. In particolare, tali accordi si riferiscono ai diritti dell’interessato e agli obblighi di fornire le informazioni previste al momento della raccolta dei dati.
A tal proposito il GDPR prevede che gli interessati abbiano la possibilità di rivolgersi indifferentemente a uno qualsiasi dei Contitolari per l’esercizio dei loro diritti. Ebbene, agenti e broker risultano a tutti gli effetti titolari del trattamento in quanto hanno la possibilità di proporre prodotti di compagnie diverse, tenendo conto dei profili e delle esigenze degli interessati assicurandi.
Si fa inoltre notare che gli intermediari, quando trattano dati personali per conto della Compagnia (Titolare del trattamento), divengono anche Responsabili del trattamento e pertanto la nomina del DPO a maggior ragione rientrerebbe tra le misure a loro disposizione nella protezione dei dati.
Il Gruppo Art 29 e il Garante italiano sulla nomina del DPO
Il Gruppo “Articolo 29” è intervenuto anche in merito alla necessità o meno per le aziende di nominare un Data Protection Officer. In particolare, Il gruppo ha precisato che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base al diritto dell’Unione o degli Stati membri, aggiungendo poi che anche nei casi in cui la nomina di un DPO non sia obbligatoria, può risultare utile procedere a tale designazione su base volontaria e pertanto incoraggia un approccio di questo genere.
Non può negarsi infatti che nel dubbio è consigliabile la sua designazione in quanto contribuisce ad una migliore «immagine privacy» del Titolare ai fini dell’accountability.
È bene specificare che ove si dovesse procedere alla designazione di un DPO su base volontaria, troverebbero applicazione gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i DPO designati in via obbligatoria.
Anche il Garante Privacy italiano ha voluto contribuire all’individuazione di chi è obbligato alla designazione del DPO. Nelle FAQ pubblicate sul sito si legge infatti che, con riferimento all’ambito privato, sono tenuti alla designazione del DPO i seguenti Titolari e Responsabili del trattamento (a titolo esemplificativo e non esaustivo): “istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento”.
Tanto è stato necessario al fine di offrire maggiori indicazioni agli operatori economici che vivevano l’entrata in vigore del GDPR con dubbi e apprensione relativamente all’obbligo della designazione del DPO.
Si potrà notare come siano presenti le imprese assicurative ma non le imprese di intermediazione assicurativa quali broker o agenti.
GDPR e intermediari assicurativi: serve nominare un DPO?
Come il passaggio di una cometa che non richiede più lo sguardo, con il passaggio della fatidica data del 25/05/2018 (data in cui il GDPR è diventato pienamente esecutivo) l’attenzione per l’argomento è scemata: alcuni operatori economici sono certi di dover designare il DPO, altri, non puntualmente individuati, sottovalutano la necessità di nominare il Responsabile della protezione dei dati.
È opportuno ricordare che la colonna portante della normativa europea risiede nel principio dell’accountability, il quale richiede a Titolari e Responsabili del trattamento un atteggiamento proattivo e una ricerca costante di misure tecniche e organizzative adeguate alla protezione dei dati trattati.
Ci si aspettava allora che questi soggetti, responsabilizzati dal legislatore europeo, non si fermassero alle esemplificazioni del Garante italiano (utili ma non esaustive come dichiarate dal Garante) e che andassero oltre.
In conclusione, scontato che le compagnie assicurative siano tenute alla nomina del DPO, le società di intermediazione assicurativa a loro volta – con l’ausilio di professionisti specializzati – dovrebbero valutare con più attenzione la nomina del Data Protection Officer.
