“Un Accordo Dati conforme alla normativa”

D: Avvocato Grasso, la conclusione dell’Accordo Dati tra il Gruppo Agenti Zurich e la Compagnia ha sollevato un polverone tanto da parte dello SNA che da parte di ANAPA. Per questo l’abbiamo invitata, Lei che di quell’Accordo è stato uno dei principali autori: affinché potesse spiegarne il contenuto e chiarire eventuali insidie per gli Agenti.   Per lo SNA il Protocollo di Intesa sui dati personali stipulato tra la Zurich ed il Gaz individua i “Dati industriali” quale sub-categoria dei “Dati Zurich”, all’interno dei quali sembrano rientrare i dati identificativi del cliente (come, ad esempio, nome e cognome, indirizzo, codice fiscale), nonché i dati relativi all’oggetto dell’assicurazione (come, ad esempio, tipo e targa di un veicolo), che nulla avrebbero a che vedere con le c.d. “Informazioni segrete” di cui agli artt. 98 e 99 del D. Lgs 30/2005 (Codice della proprietà industriale), ed espressamente richiamate nel Protocollo - che non potrebbero essere riconducibili alla proprietà industriale di Zurich. Sempre a proposito di tali definizioni, ANAPA contesta invece la Definizione di “Dati Zurich” rispetto agli stessi dati (a suo dire sovrapponibili a quelli compendiati nell’all. “C” del Protocollo) che gli Agenti già raccolgono e trattano quali Responsabili al trattamento nominati dalla stessa Compagnia. In base a quanto previsto dall’art. 3, par. 4, del Protocollo, Zurich potrebbe sospendere o cessare la disponibilità di tali “Dati Zurich” agli Agenti. Ciò significa, per i sindacati intervenuti, che tale Protocollo di Intesa introduca di fatto una disciplina peggiorativa per le Agenzie. È così?   R: A mio sommesso avviso, entrambe le sigle sindacali confondono alcuni concetti giuridici fondamentali. Innanzitutto, occorre fare chiarezza sul rapporto tra Dati personali raccolti e le cosiddette “Informazioni segrete” di cui al D. Lgs. 30/2005 (Codice della proprietà industriale), recentemente modificato con D. Lgs. 63/2018 di recepimento della Direttiva (UE) 2016/943 “sulla protezione del know-how riservato e delle informazioni commerciali riservate contro l’acquisizione, l’utilizzo e la divulgazione illeciti”. Sebbene lo SNA affermi il contrario, non vi è alcuna disposizione normativa e/o regolamentare che impedisca una corretta - nonché regolamentata - interazione tra questi due concetti. Al contrario, la disciplina in tema di protezione dei dati personali e quella prevista a tutela delle informazioni commerciali “riservate” presentano inevitabilmente numerosi punti di contatto, non potendosi ammettere che, in un contesto aziendale, l’una prescinda - o addirittura, escluda - l’altra. Ad ulteriore sostegno di quanto sopra, si segnala l’autorevole parere del Garante Europeo della protezione dei dati personali (GEPD), reso in merito ad una proposta di Direttiva sulla protezione del know-how e delle informazioni segrete (in seguito confluita nella citata Direttiva 2016/943), in occasione del quale l’autorità garante europea ha pacificamente riconosciuto la possibilità che i cosiddetti “trade secrets” possano ricomprendere altresì i dati personali: “Information kept as trade secrets (such as list of clients/customers; internal datasets containing research data or other) may include personal data”. Inoltre, le medesime conclusioni trovano piena conferma anche a livello nazionale, stante l’assenza di qualsivoglia disposizione di legge che vieti l’interazione e/o la corrispondenza (anche parziale) tra dati personali ed informazioni segrete, così come il consolidarsi di un orientamento giurisprudenziale, di stampo europeo, che guarda alle due discipline come elementi complementari di un medesimo disegno, dove i dati personali ben possono essere ricompresi nelle informazioni aziendali riservate (ex multis, Trib. Milano, sez. civile, n. 8246/2019 del 26 settembre 2019). Ne consegue quindi che il Protocollo in oggetto si pone in piena armonia con l’orientamento, nazionale e sovranazionale, più consolidato, con la conseguenza che del tutto errate e prive di riscontro tecnico alcuno devono ritenersi le osservazioni formulate sul punto da SNA, attesa la piena legittimità e correttezza delle previsioni di cui all’Accordo. Parimenti, le osservazioni svolte da ANAPA appaiono imprecise e bisognose di chiarimenti a beneficio degli Associati del GAZ. In merito alle perplessità dimostrate da ANAPA sul concetto di “Dati Zurich”, si evidenzia come tale definizione sia stata formulata al solo fine di distinguere i dati “comuni” (e di contatto) dei Clienti e/o dei Prospect (ovvero i potenziali clienti) da quelli ritenuti “essenziali” - cioè quelli che necessariamente devono essere condivisi con la mandante per la stipula del contratto assicurativo e la relativa gestione - ai fini della piena tutela del portfolio agenziale. Tale distinzione rileva non soltanto in sede di riparto delle competenze ed attribuzioni tra la Compagnia e l’Agente, ma permette altresì di blindare il patrimonio agenziale personale del singolo Agente, il quale, nominatosi Titolare del trattamento dei “Dati Non Essenziali” - cui, naturalmente, andranno affiancati anche quelli di identificazione del soggetto interessato - potrà gestire in piena autonomia le informazioni di contatto dei propri clienti e/o Prospect. Per quanto concerne, poi, l’obiezione circa l’asserito peggioramento della posizione delle Agenzie, si evidenzia che, al contrario, grazie al Protocollo in oggetto gli Agenti possono trattenere e conservare autonomamente - quali titolari autonomi ai sensi del D. Lgs. 196/2003, come modificato dal D. Lgs. 101/2018 di recepimento del Regolamento 679/2016/UE (meglio noto come G.D.P.R.) - i dati dei propri clienti. Non mi sembra poco. Anzi, è una vittoria di tutto il Gruppo agenziale. Con la conseguenza che, laddove la Compagnia dovesse sospendere la disponibilità dei Dati Zurich per cause imputabili all’Agente, questi verrebbe privato dei soli dati inseriti nel gestionale Zurich, ma non anche di tutti gli altri dati raccolti in via autonoma. A tal proposito, si evidenzia come il fine principale del Protocollo di intesa sui dati sia proprio quello di garantire alle singole Agenzie la creazione di un bacino di dati utilizzabile e fruibile dal solo Agente, a prescindere dalle sorti del mandato di agenzia sottoscritto.   D: Ma quindi i Dati “Non Essenziali” sarebbero di proprietà dell’Agente?   R: Colgo l’occasione per chiarirlo ancora una buona volta: né l’Agente né tantomeno la Compagnia possono definirsi “proprietari” dei Dati personali. I “proprietari” rimangono i Clienti. Chi afferma il contrario, afferma eresie. Semmai, gli Agenti possono operare quali “Titolari” del trattamento dei Dati (e seguire correlativamente un’adeguata privacy policy di agenzia, facendosi coadiuvare da un esperto del settore).   * D: ANAPA ha espresso dei dubbi anche sulla definizione di dato “Non Essenziale” ai sensi dell’art. 2, par. 1, lett. a del Protocollo, in quanto - secondo il sindacato - tali dati rappresenterebbero la vera ed unica porta d’ingresso per il contatto con il cliente. Inoltre, sempre ANAPA evidenzia come all’art. 6, par. 4, del Protocollo di intesa, sia previsto che, dopo la cessazione del mandato agenziale, Zurich possa interrompere l’utilizzo commerciale dei “Dati Non Essenziali”, ma con la possibilità di riprendere detto utilizzo “nel momento in cui i relativi Clienti confermino la propria volontà di ricevere comunicazioni commerciali”. Ebbene, come può in tal caso la Zurich raccogliere il consenso degli interessati se la Compagnia stessa non possiede i dati utili per contattare il cliente? La definizione di dato “Non Essenziale” può ritenersi “semanticamente” corretta?   R: Innanzitutto, si precisa che la scelta della definizione di “Dato Non Essenziale” non attiene alla rilevanza del dato da un punto di vista commerciale e/o economico: il dato così individuato è “non essenziale” perché non costituisce un’informazione necessaria (essenziale, appunto) alla valida stipula del contratto assicurativo. Si tratta di una mera definizione contrattuale. Nulla di più nulla di meno. Quello che invece è importante sottolineare, ma sfugge a chi legge l’accordo senza attenzione, è che l’Agente può essere autonomo Titolare del trattamento dei Dati “Non Essenziali”. Mentre in altri accordi dati, l’Agente è, tuttalpiù, “contitolare” del trattamento ai sensi dell’art. 26 G.D.P.R. (prendendo tutti gli svantaggi della contitolarità - anche risarcitori - e offrendo sempre il fianco alla posizione forte della Compagnia che, diciamocelo francamente, avrà il coltello dalla parte del manico). Alla luce di ciò, appare evidente come il potere di Zurich su tali dati sia assai limitato anche dopo la cessazione del mandato agenziale, dal momento che la Compagnia potrebbe eventualmente richiedere all’interessato il rilascio di apposito consenso - finalizzato al trattamento dei “Dati Non Essenziali” - solo attraverso - ad esempio - l’invio di comunicazioni cartacee a mezzo posta o, in alternativa, utilizzando i dati di contatto che il cliente stesso abbia autonomamente e coscientemente condiviso con la compagnia al momento dell’iscrizione sul portale web di Zurich (nella cosiddetta “area riservata”). Ma, in tal caso, non si vede quale sia la deminutio per l’Agente (essendo il Cliente sempre il “proprietario” dei Dati e rimanendo costui libero di affidare la gestione dei medesimi alla Compagnia o all’Agente). L’importante è che la Compagnia è limitata nella futura “sollecitazione” dei Clienti. Mi sembra un bel successo per il GAZ! Non mi sembra di aver visto lo stesso in altri Accordi Dati.   D: ANAPA contesta altresì il valore riconosciuto al concetto di “completezza”, ritenendo che il rinvio a tale criterio possa rendere del tutto oggettivo il perimetro del “Dato raccolto dal Cliente” cui si riferisce l’art. 3, par. 3, del Protocollo, così di fatto favorendo un ampio spazio di discrezionalità in favore di Zurich, tanto più a fronte delle gravi conseguenze sul piano contrattuale previste da tale clausola. Può ritenersi necessario il richiamo al criterio della “completezza”?   R: Sinceramente non si comprende l’eccezione sollevata da ANAPA. Questa clausola rappresenta la necessità condivisa di raccogliere tutti i dati (e solo quelli) che appaiano “necessari” per la corretta stipula del contratto di assicurazione (es. nome, cognome, codice fiscale, data e luogo di nascita, indirizzo di residenza, etc.) e, conseguentemente, per l’agevole gestione della pratica. Con esclusione di quelli di contatto (es. numero di cellulare o indirizzo email). Nulla di più e nulla di meno. La “completezza” dei dati (che, si noti bene, sono genericamente indicati, senza alcun volontario riferimento ai “Dati Zurich” o a quelli “Non Essenziali”) risponde quindi ad esigenze comuni alla Compagnia e all’Agente, in un’ottica di reciproca collaborazione nella stipula delle polizze assicurative. Senza tralasciare anche le linee dettate dal Garante Privacy per la cd. “catena assicurativa”. A tal proposito, non si ravvede alcuna criticità su un asserito potere discrezionale di Zurich, la quale ha convenuto con gli Agenti - nel pieno rispetto della libertà negoziale che caratterizza il Protocollo in oggetto - di garantire a tutti i soggetti coinvolti di avere la più ampia panoramica di informazioni possibili per il corretto svolgimento dell’attività agenziale, senza però intaccare la possibilità per l’Agente di esercitare il ruolo di Titolare del trattamento dei Dati di contatto del Cliente. * D: Per ANAPA non è chiaro se l’agente subentrante, che paga all’agente uscente l’indennità di fine mandato, sempre iscritto al GAZ, avrà diritto a ricevere i “Dati Non Essenziali”, vale a dire oltre ai dati contratto, anche i dati contatto del cliente per poter operare. Ebbene, se ciò avvenisse anche nel caso in cui il nuovo agente subentrante fosse una società cosiddetta “di comodo” (n.b. secondo uno stratagemma normalmente utilizzato in caso di urgenza per le revoche) dove l’amministratore iscritto alla Sez. A del RUI è un ex dipendente della compagnia Zurich, la Compagnia potrebbe in questo modo utilizzare i “Dati Non Essenziali”?   R: L’osservazione formulata da ANAPA si pone in netto contrasto con le previsioni di cui al Protocollo d’intesa. Come già ampiamente sostenuto e ribadito, l’Agente raccoglie i “Dati Non Essenziali” in piena autonomia ed indipendenza rispetto non soltanto alla Compagnia, ma anche a qualsiasi altro soggetto terzo che dovesse a vario titolo trattare i dati di cui la Zurich è Titolare del trattamento. A tal proposito, si ricorda come, ai sensi dell’art. 2, par. 3, del Protocollo, “I Dati Personali ed Essenziali dei Clienti e dei Prospect potranno altresì essere raccolti dagli Agenti in qualità di autonomi Titolari del Trattamento e dagli stessi trattati per loro proprie finalità, fornendo agli Interessati opportuna informativa e raccogliendo i necessari consensi ai sensi della normativa applicabile”. Pertanto, nella prospettata ipotesi di subentro (n.b. di diverso Agente rispetto a quello che ha raccolto i “Dati Non Essenziali”) la sola successione di dati personali possibile ed ammessa avrà ad oggetto quei dati (industriali o Dati Zurich) che rientrano nella autonoma titolarità di Zurich, ferma restando l’esclusività di quelli “non essenziali” (che resteranno invero nella esclusiva disponibilità dell’Agente titolare). D’altronde, non si dimentichi che, ove così non fosse, l’intero Protocollo non avrebbe senso d’essere. L’esigenza principale che ha spinto il GAZ a stipulare un accordo con siffatte previsioni è proprio quella di permettere ai propri iscritti di “blindare” il patrimonio agenziale, così da poter gestire, in piena autonomia ed in funzione delle proprie finalità, le informazioni di contatto dei propri Clienti e/o Prospect. * D: Il Trattamento del dato - ove possibile - da parte di soggetti terzi che non entrano in contatto con il cliente non è evidenziato nella informativa privacy resa all’interessato dall’Agente Titolare. Come mai? È un aspetto controvertibile?   R: Anche in questo caso si evidenzia un evidente errore di comprensione dell’intera disciplina sottesa al Protocollo in oggetto, tanto che viene da pensare che tanto ANAPA che lo SNA non abbiano letto interamente il Protocollo. Per permettere - una volta per tutte - la corretta comprensione delle previsioni convenute dalla Zurich con il GAZ, sia concesso evidenziare quanto segue. Nella raccolta e trattamento dei dati dei Clienti e/o Prospect, l’Agente riveste due diverse posizioni:

1. Responsabile del trattamento, per quanto riguarda i “Dati Zurich” e i “Dati industriali”, raccolti in nome e per conto della Compagnia, che ne è Titolare;
2. Titolare del trattamento dei “Dati Non Essenziali”.

Quando agisce quale Responsabile per conto della Compagnia, l’Agente è tenuto a raccogliere l’informativa di cui agli artt. 13 e 14 G.D.P.R., redatta e predisposta (ovviamente aggiungerei) dal Titolare del trattamento (Zurich), senza possibilità alcuna di modificare e/o integrare il contenuto della medesima. Al contrario, quando raccoglie i “Dati Non Essenziali” quale Titolare autonomo, l’Agente rende all’interessato (ovviamente) la propria informativa privacy, ove potrà essere inserito - ove previsto - un eventuale avvertimento circa la possibilità di comunicazione e/o trasmissione a terzi dei dati così raccolti. Quanto sopra permette quindi di rispondere compiutamente al quesito posto, attesa l’impossibilità di prevedere ex ante la struttura organizzativa privacy di ciascun Agente, così come i possibili rapporti dello stesso con soggetti terzi. In ogni caso, si evidenzia come la gestione e/o conduzione dell’organigramma privacy di ciascun Agente esula dal fine e dagli obiettivi del Protocollo in oggetto, attesa l’impossibilità per soggetti terzi (quali la Compagnia ed il GAZ) di incidere sull’autonoma gestione dei dati da parte dell’Agente nominatosi titolare del trattamento. * D: Lo SNA ritiene che la creazione di una banca dati per la gestione dell’attività di intermediazione assicurativa determini l’acquisizione, in capo alla Zurich, della qualifica di “Costitutore” di cui all’art. 102 bis della Legge sul diritto d’autore (per come richiamato dal Protocollo medesimo), con la conseguenza che la Compagnia, in forza degli investimenti sostenuti per la costituzione di una banca di dati - indipendentemente dalla tutela della medesima in forza delle norme che regolano il diritto d'autore o altri diritti  - ha il diritto di vietare le operazioni di estrazione ovvero reimpiego della totalità o di una parte sostanziale dei dati e delle informazioni inserite nella stessa banca dati . È così?   R: Sul punto è necessaria una precisazione. Nessun richiamo alla figura del “Costitutore” è stato mai formulato nel Protocollo di intesa, ma rappresenta il risultato di una valutazione personale (quanto frettolosa) di SNA, del tutto parziale e disconnessa dalla ratio dell’Accordo stesso. Tenuto conto di ciò, pur volendo ammettere (ma così non è) la bontà di tale ricostruzione, in ogni caso la Compagnia diverrebbe “costitutore di una banca dati” - ai sensi dell’art. 102 bis della L. 22 aprile 1941, n. 633 - con riferimento ai soli “Dati Zurich”, con la conseguenza che l’Agente manterrebbe per sempre intatto il proprio bagaglio di “Dati Non Essenziali”, raccolti e trattati quale autonomo Titolare del trattamento. In altre parole, quello che non coglie lo SNA è che la ricchezza dei Dati “di contatto” rimane patrimonio dell’Agente. E, ripeto, non mi sembra di aver visto in giro Accordi Dati che abbiano raggiunto tale traguardo in favore degli Agenti. Mi piacerebbe tuttavia sbagliarmi. Infine, per mero dovere espositivo si rinvia a quanto già detto in merito alle rimostranze formulate da ANAPA sull’art. 3, par. 4, del Protocollo, in forza del quale la Compagnia potrebbe sospendere l’Agente dalla disponibilità dei soli “Dati Zurich”. Pertanto, laddove la Compagnia dovesse sospendere la disponibilità dei “Dati Zurich” per cause imputabili all’Agente, questi verrebbe privato dei soli dati inseriti nel gestionale Zurich, ma non anche di tutti gli altri dati raccolti in via autonoma (ivi inclusi i Dati “Non Essenziali”).   D: Per quanto riguarda il diritto dell’Agente al risarcimento dei danni derivanti da eventuali violazioni del Protocollo da parte della Compagnia, il Protocollo prevede che Zurich sia tenuta a risarcire gli Agenti solo a seguito ad accertamento “giudiziario”. Tale previsione impone agli Agenti di avviare un’azione giudiziaria per definire il proprio diritto al risarcimento o è sufficiente il ricorso all’arbitrato? Inoltre, la circostanza della mancata determinazione del quantum eventualmente dovuto dalla Compagnia potrebbe rappresentare un elemento penalizzante per l’Agente?   R: Anche in questo caso si ravvisa una grande confusione nelle osservazioni formulate da SNA e ANAPA circa le previsioni di cui al Protocollo d’intesa stipulato tra Zurich ed il GAZ. Innanzitutto, le Parti hanno deliberatamente previsto di non inserire nel Protocollo alcuna clausola compromissoria per diverse ragioni. Sfugge evidentemente allo SNA il costo (e la fumosità della procedura) di un arbitrato ad hoc. Certo, i tempi della giustizia ordinaria possono essere lunghi, ma, da chi ha partecipato fattivamente a numerose procedure arbitrali, si può ritenere che il giudice togato sia di gran lunga preferibile (e costituisca una sede più “protetta” per il singolo Agente). In merito poi alla mancata indicazione di un quantum predeterminato per il ristoro delle singole violazioni, sorprende come i Sindacati ivi interessati non abbiano di fatto preso compiuta visione del Protocollo nel suo complesso. A tal fine, si evidenzia quanto previsto dall’art. 7, par. 2, del Protocollo, secondo cui “Nell’ipotesi di violazione degli obblighi di cui al presente Protocollo da parte di Zurich per l’utilizzo dei Dati Non Essenziali, la stessa si obbliga a riconoscere all’Agente di Riferimento la somma di Euro 1.000,00 per ogni violazione accertata giudizialmente”. Non mi sembra poco aver portato la Compagnia a “digerire” tale quantificazione. Anzi. Mi permetta di dire che è un successo di cultura giuridica. All’Agente basterà portare le prove (è ovvio in un giudizio) delle singole violazioni, per ottenere una monetizzazione certa e liquida.