g-docweb-display Portlet

Richiesta di parere avanzata riguardo al ruolo soggettivo degli istituti di credito che trattano dati personali dei clienti ai fini del collocamento di polizze assicurative - 18 maggio 2022

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 15 GIUGNO 2022

Richiesta di parere avanzata riguardo al ruolo soggettivo degli istituti di credito che trattano dati personali dei clienti ai fini del collocamento di polizze assicurative - 18 maggio 2022

1. Premessa.

Con nota del 5 marzo 2021, XX o la “Compagnia”) ha chiesto il parere di questa Autorità in ordine alla corretta individuazione del ruolo soggettivo da attribuire agli istituti di credito che svolgono attività di distribuzione di polizze assicurative; ciò anche con riguardo al trattamento dei dati relativi alla salute degli interessati (contraenti e assicurati) effettuato mediante la raccolta, gestione, trasmissione e conservazione della documentazione e della modulistica relativa ai contratti di assicurazione delle Compagnie, ivi inclusi i questionari anamnestici.

Al riguardo, è stato rappresentato che, con riferimento al modello distributivo di c.d. bancassurance, le attività e le correlate operazioni di trattamento poste in essere dalle banche per il collocamento delle polizze assicurative sono effettuate dalle stesse, per conto della Compagnia, in qualità di responsabili del trattamento.

Tale impostazione troverebbe il suo fondamento sia nei criteri delineati dal Garante, nel provvedimento in materia di “Esonero dall'informativa in ambito assicurativo (c.d. catena assicurativa)" del 26 aprile 2007- doc. web n. 1410057 (in particolare, v. par. 2 del provvedimento), sia nella specifica regolazione dei rapporti tra la Compagnia e la banca (e dei relativi obblighi) contenuta nei contratti di distribuzione dei prodotti assicurativi.

Tali contratti prevedono infatti che l’istituto di credito:

a) “raccolga i dati personali di contraenti/assicurati utilizzando documenti informativi, precontrattuali (preventivi, proposte di polizze) e contrattuali (polizze), nonché stampati e modulistiche, forniti dalla Compagnia e non modificabili in alcun modo dalla medesima banca (trattandosi di c.d. prodotti standardizzati);

b)sottoponga ai clienti/contraenti/assicurati il modulo di informativa (ed eventuali richieste di consenso) della medesima Compagnia;

c) si attenga alle istruzioni impartite dalla Compagnia, anche per quanto concerne le specifiche attività formative sui prodotti assicurativi da rivolgere alle persone autorizzate al trattamento sotto l’autorità della banca (e/o nell’ambito anche della relativa rete di vendita);

d) acceda, tramite propri strumenti elettronici, a sistemi informativi della Compagnia al fine di caricare i dati personali acquisiti e renderli disponibili a quest’ultima, secondo le misure dalla stessa indicate;

e) utilizzi, per la valutazione delle richieste ed esigenze assicurative degli interessati, procedure informatizzate della Compagnia o predisponga procedure impostate secondo istruzioni e logiche indicate dalla Compagnia;

f) conservi gli originali dei documenti cartacei relativi alle polizze assicurative sottoscritte dagli Interessati su incarico della stessa Compagnia;

g) sia oggetto di controlli periodici, effettuati dalla Compagnia sulle suddette attività;

h) si occupi solo dei reclami relativi ai comportamenti della rete di vendita, ma non di quelli riguardanti i contratti e i servizi assicurativi gestiti esclusivamente dalla Compagnia”.

Secondo quanto riportato da XX, alcuni istituti di credito ritengono al contrario che, nello svolgimento della predetta attività di intermediazione, gli stessi opererebbero quali titolari del trattamento dei dati personali (con la sola eccezione dell’attività di archiviazione della documentazione per conto della Compagnia, in relazione alla quale assumerebbero il ruolo di responsabile ai sensi dell’art. 28 del Regolamento).

Tale qualificazione deriverebbe dalla formulazione dell’art. 58, comma 1, del Regolamento IVASS n. 40/2018; in particolare, lo stesso, prevedendo che i distributori di polizze assicurative sono tenuti a raccogliere i dati personali degli interessati al fine di valutare la coerenza dei prodotti proposti con le richieste e le esigenze degli interessati medesimi, assegnerebbe direttamente loro il compito di effettuare un’attività valutativa che, in quanto tale, risulterebbe caratterizzata da un margine di “responsabilità” più assimilabile con il ruolo di titolare anziché con quello di responsabile del trattamento, ai sensi dell’art. 28 del Regolamento.

2. Attività istruttoria.

Il Dipartimento, nel corso dell’attività istruttoria, al fine di comprendere le ragioni delle diverse posizioni sopra esposte, ha svolto alcuni incontri con i soggetti coinvolti (XX).

Nel corso dei suddetti incontri, XX, nel rappresentare che la questione era già stata esaminata - su richiesta di alcuni istituti bancari - dall’Associazione Bancaria Italiana (ABI) con parere reso in data 16 dicembre 2020, ha ribadito il proprio orientamento secondo cui agli istituti di credito dovrebbe essere riconosciuto il ruolo di titolari del trattamento.

A supporto di tale ricostruzione XX ha evidenziato che le banche, nello svolgimento dell’attività di distribuzione di contratti assicurativi, non agiscono solo in base alle istruzioni impartite dalla Compagnia assicurativa ma - nell’ambito della valutazione di coerenza richiesta loro dall’art. 58 del Regolamento IVASS – operano con un margine di discrezionalità che comporta la possibilità di raccogliere tutte le informazioni ritenute utili ai fini della valutazione medesima, che costituisce per loro un preciso adempimento di cui possono essere chiamate a rispondere direttamente.

3. Valutazione del Dipartimento.

Al fine di un corretto inquadramento della questione, si ritiene opportuno ricostruire preliminarmente l’assetto regolatorio generale in materia di protezione dei dati personali, alla luce del quadro normativo specifico di riferimento.

In via preliminare, si rileva che la vigente disciplina in materia di protezione dei dati personali (Regolamento (UE) 2016/679, d. lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018), si pone in linea di continuità con il quadro normativo previgente rispetto all’individuazione dei ruoli di “titolare” e di “responsabile” e alla distribuzione delle relative responsabilità (in tal senso v. anche il provvedimento del Garante sulla c.d. catena assicurativa del 26 aprile 2007, doc. web 1410057).

Infatti, con definizione sostanzialmente sovrapponibile a quella contenuta nella Direttiva 95/46 CE (art. 2, lett. d), il Regolamento, da un lato, definisce quale «titolare del trattamento» “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 1, n. 7) e, dall’altro, quale «responsabile del trattamento» “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, par. 1, n. 8).

Alla luce delle definizioni sopra riportate, pertanto, il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati nonché la responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento.

Il ruolo del responsabile del trattamento è, invece, caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse - in termini di conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento (cfr. Cons. 81 del Regolamento) -, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare (cfr. WP 169, Parere 1/2010 sui concetti di "responsabile e incaricato del trattamento" del 16 febbraio 2010).

Il rapporto tra titolare e responsabile deve essere regolato da un contratto – o da altro atto giuridico stipulato per iscritto – che, oltre a vincolare reciprocamente le due figure, preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti (cfr. Cons. 81 del Regolamento).

Più recentemente e nel solco del precedente orientamento sul punto, l’European Data Protection Board (EDPB) nelle “Linee guida sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021 (Linee guida 7/2020), ha precisato che i concetti di titolare e di responsabile del trattamento sono concetti “funzionali”, nel senso che la ripartizione dei ruoli deve essere determinata sulla base delle attività effettivamente svolte in una situazione specifica, piuttosto che sulla base della (mera) designazione formale (ad es., in un contratto): “ciò significa che la ripartizione dei ruoli dovrebbe, di norma, derivare da un’analisi degli elementi di fatto o delle circostanze del caso e, in quanto tale, non è negoziabile” (cfr. parte I, par. 12).

Riguardo alla normativa di settore, si evidenzia poi che, come sopra rilevato, il Regolamento IVASS n. 40 del 2 agosto 2018 (così come integrato e modificato dal provvedimento IVASS n. 97 del 4 agosto 2020), all’art. 58, dispone che i distributori, prima di far sottoscrivere una proposta o un contratto di assicurazione, “acquisiscono dal contraente le informazioni utili a valutare le sue richieste ed esigenze” (comma 1); tali informazioni sono quelle espressamente indicate al comma 2, il quale recita che “[…] i distributori chiedono notizie sulle caratteristiche personali e sulle esigenze assicurative o previdenziali del contraente o dell’assicurato, che includono, ove pertinenti, specifici riferimenti all’età, allo stato di salute, all’attività lavorativa, al nucleo familiare, alla situazione finanziaria ed assicurativa e alle sue aspettative in relazione alla sottoscrizione del contratto, in termini di copertura e durata, anche tenendo conto di eventuali coperture assicurative già in essere, del tipo di rischio, delle caratteristiche e della complessità del contratto offerto”.

Al successivo comma 3, l’art. 58 stabilisce inoltre che “le imprese [n.d.r. assicurative], per ciascun prodotto distribuito, impartiscono agli intermediari e ai dipendenti di cui si avvalgono per la distribuzione dei prodotti assicurativi, istruzioni idonee a guidare i medesimi nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti in relazione alla tipologia di contratto offerto”.

Si richiamano, inoltre, l’art. 47 del medesimo Regolamento IVASS e l’art. 119 del Codice delle Assicurazioni private (d.lgs. 7 settembre 2005, n. 209) i quali prevedono condizioni e limiti all’attività di distribuzione di contratti assicurativi quando la stessa è rimessa agli intermediari iscritti alla lett. D) del Registro degli intermediari assicurativi e riassicurativi (banche, SIM e intermediari finanziari).

Alla luce dell’assetto regolatorio anzi riportato, si osserva che, nel rapporto di distribuzione di polizze assicurative, i ruoli soggettivi ricoperti dalla compagnia assicurativa e dalla banca intermediaria appaiono conformi a quelli del rapporto tipico titolare/responsabile del trattamento.

Emerge infatti come sia lo stesso art. 58 del Regolamento IVASS a fissare i princìpi che regolano i rapporti tra la compagnia assicurativa e la banca nei termini anzidetti; tale articolo stabilisce, infatti, che il distributore di prodotti assicurativi “è tenuto a proporre contratti coerenti […]” e, prima di far sottoscrivere all’interessato una proposta o un contratto assicurativo, ha l’obbligo di acquisire “le informazioni utili a valutare le sue richieste ed esigenze”; tali informazioni sono quelle specificamente indicate al comma 2 del medesimo articolo e nessuna discrezionalità sembra essere rimessa alla banca nell’acquisizione di ulteriori informazioni rispetto a quelle ivi considerate.

Inoltre, nel senso di un’ulteriore riduzione del margine di autonomia del ruolo del distributore, il comma 3 del medesimo articolo 58 pone in capo alla compagnia assicurativa il compito di impartire alla banca “le istruzioni idonee a guidar[la] nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti [di cui al comma 2] in relazione alla tipologia di contratto offerto”; da ciò emerge che l’attività di valutazione rimessa alla banca (per la quale le deve essere riconosciuta una qualche discrezionalità in relazione alle informazioni pertinenti da raccogliere nell’ambito delle categorie espressamente previste dalla disposizione) non possa prescindere dai criteri e dalle indicazioni fornite dalla compagnia assicurativa per garantire la coerenza tra le esigenze di copertura dell’interessato e il contratto di assicurazione concretamente proposto. Tale attività non configura pertanto un potere decisionale (del tutto) autonomo rispetto alle legittime indicazioni della compagnia assicurativa e quindi una vera e propria titolarità del trattamento dei dati.

In questa prospettiva, l’attività di intermediazione posta in essere dalla banca (e i correlati trattamenti di dati personali che la stessa comporta: raccolta di dati degli interessati e successiva valutazione di coerenza rispetto al prodotto assicurativo che viene proposto), appare configurarsi come un’attività strumentale alla finalità perseguita dalla compagnia assicurativa (la conclusione del contratto di assicurazione con il cliente) e, in quanto tale, può ritenersi effettuata dalla banca, per conto della compagnia, in qualità di responsabile del trattamento.

La banca - come è emerso nel corso degli incontri con le parti - nel momento in cui raccoglie i dati degli interessati, rende agli stessi, per conto della Compagnia, l’informativa ai sensi dell’art. 13 del Regolamento e ne acquisisce (ove necessario) il consenso; inoltre, sia nella fase precontrattuale che nella fase contrattuale - la stessa utilizza la documentazione e i moduli forniti dalla Compagnia che, in quanto riferiti a prodotti standardizzati, non sono in alcun modo modificabili. Attività che sono pienamente compatibili con quella di responsabile del trattamento che opera sotto la diretta autorità del titolare.

A tale riguardo si osserva che, dall’esame della documentazione acquisita agli atti da una delle banche che opera la raccolta qualificandosi come titolare del trattamento (XX), risulta che quest’ultima, in allegato al questionario medico e all’informativa resi dalla Compagnia assicurativa quale titolare, fornisce agli interessati un’ulteriore informativa con la quale rende loro noto che, in “qualità di titolare autonomo” tratterà i dati raccolti “al fine del perfezionamento della copertura assicurativa richiesta e per dare esecuzione alla stessa”; nella medesima informativa, la banca precisa, altresì, che i dati medesimi saranno comunicati “alla Compagnia che li tratterà in qualità di Titolare autonomo”.

Sul punto si evidenzia che la finalità del trattamento indicata dalla banca nella sua informativa risulta essere il “perfezionamento della copertura assicurativa”; considerato che la predetta finalità è quella propria dell’attività assicurativa e che l’acquisizione dei dati da parte della banca è funzionale a tale finalità, ne deriva che, dalla stessa lettura dell’informativa in questione, emerge il ruolo della banca quale responsabile del trattamento che, operando per conto della Compagnia, è poi tenuta a comunicare a quest’ultima i dati raccolti.

Alla luce delle considerazioni sopra formulate, questa Autorità ritiene che con riferimento ai trattamenti di dati personali effettuati nell’ambito dell’attività di distribuzione di polizze assicurative da parte degli istituti bancari, in capo alla compagnia assicurativa deve essere riconosciuto il ruolo di titolare del trattamento. In questo ambito le banche operano in qualità di responsabili del trattamento.

Si evidenzia, di conseguenza la necessità che il ruolo svolto dall’istituto bancario nel collocamento di polizze assicurative sia adeguatamente indicato all’interno delle informative fornite agli interessati ai sensi dell’art. 13 del Regolamento.

IL DIRIGENTE
Francesco Modafferi