Il 14 agosto 2012 è stato pubblicato in Gazzetta Ufficiale il D.P.R. n. 137 del 7 agosto 2012: “Regolamento recante riforma degli ordinamenti professionali”.
All’articolo 5 il provvedimento ha introdotto l’obbligo di stipulare un’assicurazione della responsabilità civile da parte di coloro i quali esercitano una professione regolamentata (commercialisti, ingegneri, ecc.).
Soltanto per avvocati e medici l’obbligo è stato spostato in avanti nel tempo, in funzione dell’importanza e della delicatezza del ruolo da loro svolto nella nostra attuale società, il che ha richiesto l’emanazione di normative specificamente rivolte ai due settori.
Nel D.P.R. 137/2012 a carico del professionista è stato stabilito l’obbligo di rendere noti al cliente, al momento dell’assunzione dell’incarico, gli estremi della polizza professionale, il relativo massimale e ogni variazione successiva.
Ne consegue che l’obbligo di assicurazione non ha natura meramente privatistica: non rileva, cioè, esclusivamente nell’ambito del rapporto di prestazione d’opera che si instaura tra il professionista e il cliente, ma assume una connotazione ulteriore, di tipo pubblicistico.
Ciò in quanto la mancata stipulazione della polizza assicurativa configura un illecito disciplinare sanzionabile da parte degli ordini, legittimati ad avviare un’azione disciplinare nei confronti dell’inadempiente e ad applicare all’esito le sanzioni ritenute appropriate.
Per dovere di cronaca deve segnalarsi che ad oggi la norma non è stata ancora totalmente applicata, tanto da parte dei professionisti, che a volte si sottraggono all’obbligo, che dagli ordini, che non sempre agiscono verificando l’esistenza o meno della copertura presso i loro iscritti, erogando eventualmente le sanzioni.
Per concludere l’analisi dal punto di vista dell’assicuratore, è opportuno ricordare che quasi tutte queste polizze dedicate rientrano nella categoria tecnico-giuridica di derivazione anglo-sassone denominata All Risks, all’interno della quale sono coperte automaticamente tutte le attività rientranti nel settore professionale indicato, tranne quelle specificamente segnalate e per le quali in alcuni casi la garanzia, comunque, può essere eventualmente acquistata pagando un supplemento di premio.
Nell’attuale stato delle cose è pacifico affermare come sul RPD non insista alcun obbligo giuridico di stipula di assicurazione della responsabilità civile professionale. Infatti, l’attività non rientra tra quelle che prevedono la necessità di una sua sottoscrizione, limitata invece esclusivamente agli appartenenti alle “professioni regolamentate”, come disposto dall’articolo 1 del citato D.P.R. 137/2012.
D’altra parte non è nemmeno possibile pensare ad un possibile atto impositivo in tale direzione proveniente dal Garante della privacy che, tra i poteri attribuiti alla sua funzione, non possiede – almeno ad oggi, chissà in futuro – anche quello di imporre la stipula di coperture assicurative.
Come è noto la figura del Data Protection Officer o DPO, nei nostri testi Responsabile Protezione Dati o RPD, trova la propria origine nel General Data Protection Regulation GDPR, in Italia Regolamento Generale sulla Protezione dei Dati, Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016: la normativa è entrata in vigore contemporaneamente in tutti i Paesi UE il 25 maggio 2018.
Cosa dice l’Articolo 37, 38 e 39 della Sezione 4 dedicati al Responsabile del Trattamento (RPD)
Al RPD sono dedicati alcuni articoli della Sezione 4:
- il 37 è intitolato “Designazione del Responsabile della Protezione dei Dati”, con l’indicazione della casistica – tre ipotesi – nella quale la nomina del RPD è senz’altro obbligatoria;
- il 38 riguarda la “Posizione del Responsabile della Protezione dei Dati”, riferendosi in particolare al rapporto funzionale che intercorre tra Titolare e Responsabile del trattamento e RPD;
- il 39, con riguardo ai “Compiti del Responsabile della Protezione dei Dati”, nel quale vengono sinteticamente riportati alcuni dei compiti dei quali il RPD è “almeno” incaricato: seguendo il generale principio di Accountability/Responsabilizzazione, anche in questo caso si è deciso di limitarsi a indicare i punti che più di altri sono apparsi meritevoli di segnalazione, lasciando poi alla pratica la possibilità di delineare altre fattispecie alle quali ricondurre – legislativamente oppure per interpretazione della giurisprudenza – l’attività del Responsabile Protezione Dati.
L’ultimo articolo esaminato è quello che maggiormente rileva ai fini di questo post, che ha l’obiettivo di cercare di delineare il rapporto tra RPD e assicurazione professionale.
In primo luogo bisogna cercare di capire se l’attività posta in essere dal RPD possa generare comportamenti dal non preciso adempimento dei quali deriva una responsabilità civile professionale.
La risposta è senza dubbio affermativa, in quanto il ricordato articolo 39, quanto meno in due punti, configura il possibile verificarsi di tale ipotesi:
- “a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.
Senza, per altro, dimenticare la rimanente casistica indicata nei punti successivi – che per la verità in una prima valutazione non appare facile ipotizzare come possibile causa di responsabilità professionale – oltre alla ricordata apertura ad una più vasta e non letteralmente codificata serie di funzioni, derivante dall’utilizzo dell’avverbio “almeno”.
Una distinzione base deve essere fatta partendo dalla natura contrattuale con la quale il RPD è collegato con il Titolare, il Responsabile e l’impresa o l’ente.
Naturalmente ci si rivolge ai casi in cui al RPD sia attribuito un ruolo con contenuti reali e non a quelli – pur possibili – nei quali una designazione viene effettuata soltanto per motivazione di facciata, priva di riscontri nella pratica quotidiana.
Il RPD può essere un dipendente dell’azienda, situazione dalla quale possono derivare alcune conseguenze:
- in positivo, una probabile facilitazione nei rapporti con il resto del personale – i colleghi – determinandosi così un possibile snellimento delle fasi operative rispetto a cosa verosimilmente potrebbe accadere con un RPD esterno;
- in negativo, il rischio di possedere una limitata autonomia in una struttura ordinata gerarchicamente e nella quale – tranne i casi in cui le figure del titolare dell’azienda/ente (o di un delegato a lui molto vicino) e del RPD coincidano – la sua posizione possa metterlo in condizione di soggezione lavorativa nei confronti dei superiori.
Si ricorda, per inciso, che In base all’articolo 37, paragrafo 7, del G.D.P.R. occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei Dati, tanto interno che esterno, se designato.
Verosimilmente, la presenza di tale disposizione mira principalmente a garantire che le autorità di controllo possano contattare il RPD in modo facile e diretto in caso di necessità. In presenza di tale obbligo si eleva la sua qualificazione giuridica: il dover comunicare i dati ad una autorità istituzionale di rilievo come il Garante della privacy – e non ad un pur utile registro autoregolamentato di cui si avvalgono spesso le professioni non ordinistiche, e anche i RPD – lo rende in qualche modo meritevole di particolare attenzione, anche in considerazione della circostanza che il G.D.P.R. nasce non come normativa nazionale bensì come regolamentazione estesa a tutti i Paesi dell’Unione Europea.
Il Responsabile Protezione Dati e la sua copertura assicurativa
Veniamo alla parte assicurativa.
Preliminarmente deve rilevarsi che le Compagnie generalmente assumono il rischio del risarcimento dei danni derivanti dall’attività di RPD soltanto nel caso di professionista esterno.
Evidentemente, in questa fase iniziale della diffusione di tale tipologia di copertura nel mercato nazionale, pesa la valutazione esposta in precedenza di una possibile mancanza di indipendenza operativa nell’ambito della struttura dell’azienda/ente.
Nella copertura dell’attività professionale esercitata, i testi di polizza comprendono tutte le mansioni e funzioni svolte dal RPD sulla base del Regolamento europeo 2016/679 G.D.P.R. e successive modifiche e integrazioni.
Nelle Condizioni di assicurazione viene quasi sempre riportata integralmente la formulazione dell’articolo 39, con l’indicazione che si tratta di “un’elencazione fatta a titolo esemplificativo e non limitativo”.
Siamo in presenza, quindi, di una copertura che rientra nella già ricordata categoria All Risks, che presenta un ampio spettro di garanzie il quale copre anche le situazioni non specificamente indicate e, eventualmente, anche conseguenti alla possibile evoluzione della normativa.
Può capitare che al RPD nella trattativa per il conferimento di un nuovo incarico – o anche nel corso di uno già in corso – venga richiesta l’esibizione della sua polizza di responsabilità civile professionale. Si ripete che nel caso non esiste un obbligo giuridico ed in mancanza di copertura sarà l’autonomia contrattuale delle parti a motivarne le rispettive scelte: da parte del committente di ingaggiare o meno il DPO, pur in assenza di assicurazione, e da quella del RPD di valutare, ove non già coperto, se per non perdere la possibilità di acquisire il lavoro non sia il caso di chiedere un preventivo ad un intermediario assicurativo e stipulare una polizza.
Come suggerito dall’avvocato Antonio Ciccia Messina, nella pratica un supporto potrebbe provenire dalla certificazione di qualità rilasciata da un’associazione professionale iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge n. 4/2013: certamente si aiuterebbe a fare chiarezza in un mondo nel quale si corre il rischio di imbattersi anche in RPD improvvisati e sedicenti consulenti, ma il documento sarebbe naturalmente inefficace in caso di richiesta di risarcimento rivolta al RPD.
In conclusione, è da guardare con favore qualsiasi attività che in un’ottica di risk management dia la possibilità di trasferire un rischio puro – ovvero quello il cui verificarsi è sempre dannoso – dalla singola persona, impresa o ente ad un soggetto specializzato, la Compagnia di assicurazioni, che dall’incrocio tra i fondamentali principi di mutualità e rilevazione statistica sia in grado di annullare le conseguenze negative che possono scaturire dall’evento a fronte di un costo, il premio, finanziariamente sopportabile.