GDPR, DPO e assicurazione

I rapporti tra GDPR e mondo assicurativo non sono riusciti – nel primo anno e mezzo di operatività nazionale della normativa europea, partita il 25 maggio 2018 – a definire in maniera esaustiva alcune problematiche che sono derivate dall’introduzione nel nostro ordinamento del Regolamento (UE) n. 2016/679.

È ancora irrisolta, ad esempio, la questione riguardante l’eventuale obbligo per agenti e broker assicurativi in relazione alla nomina nella loro impresa di un Data ProtectionOfficer/Responsabile della Protezione dei Dati (DPO/RPD), figura che nell’attuale normativa rappresenta l’evoluzione del Privacy Officer, già previsto dalla Direttiva Europea 1995/46.

Il DPO, come è noto, è un consulente esperto che va ad affiancare il Titolare nella gestione delle problematiche del trattamento dei dati personali, facendo in modo che un soggetto qualificato si occupi della loro protezione, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.

L’articolo 37 della GDPR – la cui formulazione diamo qui per ripetuta – ha individuato in tre i casi nei quali la nomina di un DPO sia obbligatoria. Il nostro Garante della Privacy, poi, ha voluto ulteriormente contribuire all’individuazione di chi sia obbligato a tale designazione ed il 26 marzo 2018 ha pubblicato sul sito istituzionale, in aggiunta alle Linee Guida adottate dal Gruppo articolo 29, le Nuove FAQ sul Responsabile della Protezione dei Dati in ambito privato e pubblico.

Con riferimento al settore privato, si stabilisce che sono tenuti alla designazione del DPO i seguenti Titolari e Responsabili del trattamento (a titolo esemplificativo e non esaustivo):

  • istituti di credito
  • imprese assicurative
  • sistemi di informazione creditizia
  • società finanziarie
  • società di informazioni commerciali
  • società di revisione contabile
  • società di recupero crediti
  • istituti di vigilanza
  • partiti e movimenti politici
  • sindacati
  • CAF e patronati
  • società operanti nel settore delle “utilities”
    • telecomunicazioni
    • distribuzione di energia elettrica o gas
  • imprese di somministrazione di lavoro e ricerca del personale
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali
    • ospedali privati
    • terme
    • laboratori di analisi mediche e centri di riabilitazione
  • società di call center
  • società che forniscono servizi informatici
  • società che erogano servizi televisivi a pagamento.

Sono presenti nell’elenco le imprese assicurative, potendosi individuare immediatamente per tale tipologia di aziende l’obbligo di nomina di un DPO. Sempre in campo assicurativo, diversamente dalle Compagnie, non sono indicati gli agenti e i broker, per non parlare poi dei soggetti iscritti nella Sezione E del Registro Unico Intermediari assicurativi e riassicurativi (RUI) come collaboratori degli intermediari principali, i quali rappresentano il gruppo nettamente più numeroso tra coloro che si occupano di commercializzare polizze assicurative.

Gli intermediari assicurativi non sono nemmeno presenti nelle risposte alle FAQ sull’esonero dall’obbligo di nomina del DPO in ambito privato, pubblicate dal Garante:

  • liberi professionisti operanti in forma individuale
  • agenti, rappresentanti e mediatori operanti non su larga scala
  • imprese individuali o familiari
  • piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Per gli intermediari assicurativi, quindi, la questione è da verificare caso per caso. Uno dei principi base della normativa vigente è quello dell’accountability (responsabilizzazione), per cui il Titolare non è più il mero esecutore di un elenco di misure imposte, ma diviene responsabile di quelle operative e tecniche che riterrà opportune, efficaci e dunque adeguate per salvaguardare i dati che tratta.

E affinché agenti e broker assicurativi potessero disporre di informazioni più precise di quelle esemplificative ma non esaustive provenienti dal Garante, sarebbe stato utile disporre di indicazioni più specifiche.

In riferimento al mondo dell’intermediazione assicurativa, poi, bisogna tenere conto che a marzo di quest’anno il numero degli iscritti al Registro Unico Intermediari assicurativi e riassicurativi (RUI) superava i 225.000; indicatore di una vivacità del settore che, nonostante una situazione contingente sicuramente non facile, rappresenta una categoria imprenditoriale contraddistinta da un elevato dinamismo di pensiero e di comportamento.

Sempre al settore – più facilmente nel caso dei piccoli broker e dei ricordati intermediari di Sezione E – può però attribuirsi anche una non sempre assoluta compliance nell’applicazione operativa delle normative: infatti, tanto gli uni quanto gli altri, nella pratica, corrono spesso il rischio di rimanere al di fuori dei flussi informativi, disapplicando o a volte addirittura ignorando passaggi normativi, specialmente se secondari; ciò a differenza degli agenti, i quali hanno un canale di comunicazione diretto con le Compagnie, grazie al quale riescono a mantenere un sufficiente livello di aggiornamento, a volte però non ribaltato pienamente sui collaboratori.

Il tutto nonostante l’Istituto di Vigilanza sulle Assicurazioni (IVASS) abbia previsto che nell’aggiornamento professionale che deve essere effettuato dagli iscritti al RUI nel periodo 2018-2019 i programmi formativi debbano contenere almeno dodici ore complessive in materia di GDPR e privacy: francamente, non sembra che possa trovarsi qui la soluzione al nostro quesito.

È compito, quindi, degli intermediari assicurativi valutare attentamente – possibilmente coadiuvati dalle stesse imprese, dalle associazioni di categoria o da esperti del settore – se e quando esista un obbligo alla nomina del DPO alla luce del dettato normativo.

La risposta è certamente positiva per gli iscritti in Sezione D del RUI: banche, SIM, intermediari finanziari ex articolo 106 del Testo Unico Bancario, Istituti di pagamento ex articolo 114 septies del Testo Unico Bancario e Poste italiane – Divisione servizi di bancoposta; si tratta di aziende strutturate, che rientrano nella formulazione dell’articolo 37.

Viceversa, l’obbligo è da escludersi per i produttori diretti di imprese di assicurazione iscritti in Sezione C, in quanto dipendenti delle Compagnie. Per le altre categorie sarebbe utile dare chiarezza all’argomento in un settore estremamente rappresentativo ma delicato nel contesto socio-economico, pur non dimenticando di operare in regime di accountability:

la soluzione potrebbe scaturire da una concertazione sull’argomento tra il Garante della privacy e l’IVASS, nella quale indicare congiuntamente – ciascuna authority per quanto di propria competenza – almeno alcune linee quadro alla quale agenti e broker debbano uniformarsi in riferimento all’eventuale obbligatorietà della nomina del DPO.

Se, a titolo di opinione personale, può prospettarsi che per questi intermediari operativi tanto in forma individuale che societaria possa – in quanto considerati intermediari principali – sussistere un obbligo in relazione alla nomina di un DPO, assolutamente non è facile pensare alla medesima applicazione della norma per i collaboratori di secondo livello iscritti nella Sezione E, che rappresentano circa 190.000 soggetti – operativi anch’essi in forma individuale o societaria – dei 225.000 complessivi del RUI. Un supporto giuridico per un bacino di destinazione così importante potrebbe, probabilmente, far derogare dal principio base della responsabilizzazione.

dr. Fabrizio Morana
Direttore Generale Centro Studi e Ricerche AssicuraEconomia

www.assicuraeconomia.it