Titolarità dei dati e bancassurance: il parere del Garante della privacy

Con parere del 18 maggio 2022, reso su richiesta di una compagnia di assicurazione, il Garante per la protezione dei dati personali si è espresso in merito alla corretta individuazione del ruolo soggettivo ai fini privacy da attribuire alle banche quando trattano i dati personali dei clienti, in qualità di intermediari assicurativi. 

In questa sede, l’autorità ha ritenuto che le banche agiscano come responsabili del trattamento dei dati personali di contraenti/assicurati per conto delle compagnie di assicurazione, alle quali a loro volta viene riconosciuto il ruolo di titolare autonomo del trattamento.

Il Garante della privacy è giunto a questa interpretazione a seguito di una ricostruzione del quadro regolamentare di riferimento orientata a sostenere (i) l’asserita mancanza di autonomia del distributore nella valutazione delle richieste ed esigenze del contraente e (ii) la strumentalità dell’attività di distribuzione assicurativa rispetto al conseguimento di finalità determinate dalle compagnie di assicurazione, tra cui il perfezionamento delle coperture assicurative.

In particolare, il Garante della privacy ritiene che non possa essere riconosciuta alcuna titolarità del trattamento in capo alle banche dal momento che, nell’assunzione delle informazioni utili a valutare le richieste ed esigenze del cliente/assicurato, le banche, quali intermediari assicurativi, sarebbero vincolate alle istruzioni impartite a tal fine dalle compagnie assicurative.

Alla luce della specificità della disciplina che regolamenta la catena assicurativa, la posizione assunta dal Garante della privacy non tiene in sufficiente considerazione gli obblighi e le responsabilità dei quali tutti i distributori, comprese le banche, sono diretti destinatari in proprio, e non in quanto meri delegati delle imprese assicurative, allo svolgimento di attività funzionali alla sottoscrizione delle polizze assicurative:

• se è vero che nell’acquisizione nelle informazioni utili alla valutazione delle richieste ed esigenze del cliente/assicurato, l’intermediario, a mente del comma 3 dell’articolo 58 del Regolamento Ivass 40 del 2018, è “guidato” dalle istruzioni impartite dalle imprese di assicurazione, questa fase precontrattuale si inserisce nel generale esercizio dell’attività di distribuzione assicurativa, la cui responsabilità per il corretto svolgimento è interamente attribuibile al soggetto che la esercita (nel nostro caso, naturalmente, l’istituto di credito). È proprio Ivass che in sede di pubblica consultazione relativa al medesimo regolamento ha precisato come le istruzioni impartite dalle imprese siano tese soltanto ad agevolare gli intermediari nella raccolta di tali informazioni, chiarendo inoltre che la compagnia in questo contesto svolge “un ruolo di supporto a un’attività in cui il distributore assume un ruolo fondamentale e di cui è pienamente responsabile” e che questa impostazione non preclude in alcun modo al distributore di acquisire ulteriori informazioni che ritenga necessarie;

• la valutazione di coerenza si inserisce nel più ampio ventaglio delle regole di comportamento da rispettare per la distribuzione dei prodotti assicurativi. Come noto, l’attività di distribuzione assicurativa rappresenta un concetto ampio che comprende anche la consulenza, la presentazione e la proposta di contratti assicurativi o il compimento di atti preparatori relativi alla loro conclusione, nonché la collaborazione nella loro gestione ed esecuzione. Si tratta di un’attività, benché funzionale, autonoma rispetto all’attività di assunzione del rischio e riservata a soggetti vigilati, quali gli intermediari assicurativi, che nell’esercizio della stessa soggiacciono a specifici obblighi regolamentari.

A supporto dell’inquadramento delle banche come titolari del trattamento dei dati personali della clientela, anche nell’esercizio dell’attività di collocamento dei prodotti assicurativi, ricorre la stessa definizione di titolare, precisata dall’European data protection board (Edpb) nelle linee guida 7/2020. È titolare del trattamento anche colui che, destinatario di un compito o obbligo di raccolta o trattamento dei dati personali (come la banca nella veste di intermediario assicurativo), è tenuto a conseguire una specifica finalità determinata dalla legge (la valutazione di coerenza del prodotto assicurativo o, più in generale, lo svolgimento dell’attività di distribuzione assicurativa).  

Da ultimo, si consideri che l’intervento del Garante della privacy s’inserisce nel contesto delle dinamiche proprie del canale bancassurance, contraddistinto dalla naturale sovrapposizione tra clientela assicurativa e bancaria. La qualificazione dell’istituto di credito come responsabile del trattamento per conto delle compagnie di assicurazione comporterebbe, com’è evidente, che i dati dei clienti della banca, acquisiti in precedenza e trattati in qualità di titolare del trattamento, siano poi trattati dalla stessa banca con le inevitabili restrizioni che le deriverebbero dal ruolo assunto in relazione all’attività di intermediazione assicurativa. 

Il ruolo delle banche sta assumendo un’importanza via via crescente nella distribuzione dei prodotti assicurativi e la bancassicurazione è divenuta, nel corso degli ultimi anni, uno dei canali distributivi con maggiore potenzialità per l’industria assicurativa, non solo nei rami vita, ma anche nei rami danni e anche nei confronti della clientela corporate. 

La posizione assunta dal Garante, ove mantenuta, potrebbe avere un impatto significativo per questo mercato, costringendo le parti a modificare gli accordi di bancassurance in essere con la previsione di un nuovo contratto che definisca la banca quale responsabile del trattamento nell’ambito dell’attività distributiva da essa svolta, nonché di nuove procedure e presidi. Inoltre, alla luce delle argomentazioni addotte dal Garante, applicabili in linea teorica a qualsiasi categoria di intermediario, ciò che non si auspica è che simile approccio venga esteso ai rapporti distributivi che coinvolgono altri intermediari assicurativi, in particolare ai broker, che, come noto, agiscono su incarico e nell’interesse del cliente e rispetto ai quali una soluzione di questo tenore risulterebbe ancor più ingiustificata.