26/10/22

Bancassurance e la titolarità del trattamento

Il Garante della privacy ha recentemente gettato nello stagno un altro sasso che apre la porta ad alcune riflessioni per gli Agenti.
In particolare, con parere del 15 giugno 2022, il Garante ha stabilito che nell’ambito dell’attività di distribuzione di polizze assicurative da parte degli istituti bancari, il ruolo di titolare del trattamento deve essere riconosciuto alla compagnia assicurativa, mentre le banche agiscono in qualità di responsabili del trattamento.
La richiesta riguardava la corretta individuazione del ruolo soggettivo da attribuire agli istituti di credito che distribuiscono polizze assicurative (bancassurance), tenendo anche conto del trattamento dei dati relativi alla salute degli interessati (contraenti e assicurati), effettuato mediante la raccolta, la gestione, la trasmissione e la conservazione della documentazione e della modulistica relativa ai contratti di assicurazione delle compagnie, compresi i questionari anamnestici.
Nell’evidenziare la continuità dell’attuale disciplina in materia di protezione dati personali con il quadro normativo previgente, l’Autorità ha ricordato come al titolare spettino le decisioni su finalità e modalità del trattamento dati, nonché la responsabilità generale sui trattamenti posti in essere dallo stesso o da altri per suo conto. Il responsabile del trattamento svolge invece le attività delegate dal titolare.
Alla luce del Regolamento IVASS n. 40 del 2 agosto 2018 (così come integrato e modificato dal provvedimento IVASS n. 97 del 4 agosto 2020), per il Garante i ruoli ricoperti da compagnia assicurativa e banca intermediaria sono conformi a quelli del rapporto fra titolare e responsabile del trattamento. La banca che colloca prodotti assicurativi, infatti, prima di far sottoscrivere una proposta o un contratto ha l’obbligo di acquisire le informazioni utili a valutare le richieste e le esigenze del titolare. Sono inoltre le stesse compagnie assicurative ad impartire a intermediari e dipendenti, le istruzioni idonee all’acquisizione delle informazioni utili e pertinenti alla tipologia di contratto offerto al contraente.
Nel rendere il parere, il Garante ha infine evidenziato la necessità che il ruolo svolto dall’istituto bancario nel collocamento di polizze assicurative sia adeguatamente indicato all’interno delle informative fornite agli interessati.
Tutto quanto detto, appare condivisibile, ma, per l’appunto, per il settore bancassurance. A nostro sommesso avviso, al contrario, per gli Agenti non si raggiungono le medesime conclusioni.
L’Agente, infatti, ricopre un ruolo centrale nell’analisi delle esigenze assicurative e di protezione dei Clienti, e offre soluzioni adeguate ai profili di rischio rilevati.
Mentre la banca, infatti, è in grado di offrire solo quei prodotti presenti all’interno del proprio portafoglio, gli Agenti, tanto più se plurimandatari, riescono a comparare diversi prodotti assicurativi, offrendo al Cliente la proposta più aderente e coerente con le proprie esigenze. Attività che gli Agenti svolgono in completa autonomia, raccogliendo e trattando i dati personali dei propri clienti (anche futuri) in qualità di autonomi titolari del trattamento. Ovviamente con l’unico e “solo” obbligo di progettare un trattamento che sia conforme ai principi e alle regole europee imposte dal GDPR (Regolamento EU 679/2016) e dalla normativa nazionale prevista dal Codice Privacy (D. Lgs. 196/2003 e s.m.i.) prevedendo, quindi, comportamenti proattivi e tali da dimostrare la concreta adozione di misure adeguate ed efficaci che siano finalizzate ad assicurare detta conformità.
Tali misure potrebbero consistere, ad esempio, nel ridurre al minimo il trattamento dei dati personali, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e creare e/o migliorare le caratteristiche di sicurezza del trattamento. Il GDPR, dunque, non prevede un elenco esaustivo di “misure adeguate” e questo fa sì che debba ritenersi necessaria una valutazione caso per caso seguendo anche gli orientamenti e le indicazioni in merito dell’Autorità Garante, tenendo conto anche dello stato dell’arte.
Ad ogni modo, oramai è notorio - per chi ci segue - che la ricchezza dei Dati “di contatto” rimane patrimonio dell’Agente (qualora quest’ultimo agisca come Titolare del trattamento). Ed era proprio l’esigenza di tutelare questa facoltà che ha spinto il GAZ a stipulare un accordo dati con la Compagnia che permettesse ai propri iscritti di “blindare” il patrimonio agenziale, così da poter gestire, in piena autonomia ed in funzione delle proprie finalità, le informazioni di contatto dei propri Clienti e/o Prospect.