Ruoli e trattamento nella protezione dei dati

Si discute da tempo tra agenti e compagnie di assicurazione sul ruolo normativo, in campo privacy e sicurezza dei dati, che gli uni e le altre vorrebbero assumere nel trattamento dei dati dei clienti. La lettera al Sindacato nazionale agenti, scritta alla fine del 2018 dall’Autorità garante per la protezione dei dati personali, dovrebbe però avere posto la parola fine a una discussione poco produttiva, se fatta senza ascoltare la lettera della legge. 

Il Gdpr (il regolamento europeo per la protezione dei dati) ci ha fornito infatti una preziosa attività definitoria delle figure di governance del sistema privacy e all’articolo 4 n.7 ha stabilito che il “titolare del trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Viceversa, sempre l’articolo 4 al n. 8, stabilisce che il “responsabile del trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Nel sistema permane poi la figura, che continueremo a chiamare “incaricato del trattamento”, costituita dalle persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. Gli oneri informativi e di giustificazione della legittimazione al trattamento dei dati ricadono solo sul primo, che è l’unico punto di riferimento dell’interessato. Gli altri, potrebbero eventualmente dialogare con quest’ultimo, ma solo per conto del titolare, non potendo perseguire fini propri con i dati che processano. 

In questo ambito, il provvedimento di “esonero dall’informativa in ambito assicurativo” del 2007, consentiva un accorpamento delle informative da rendere agli interessati, a cura dell’assicuratore stipulante il contratto e per conto di tutta la cosiddetta “catena assicurativa”, che ne beneficiava in termini di semplificazione. È comunque probabile che sussistano tuttora gli estremi per utilizzare un sistema corrispondente, atteso che, gli articoli 13 e 14 del Gdpr permettono di evitare di ripetere informative già fornite agli interessati. Tre sono però le condizioni che è fondamentale rispettare: 1) l’individuazione di tutti i titolari del trattamento, dal primo anello della catena; 2) l’esplicitazione delle eventuali finalità ulteriori perseguite; 3) avere una solida base giuridica per giustificare i trattamenti (articoli 6 e 9 Gdpr) e, ove si ricorra al “consenso”, limitarsi al trattamento per le finalità espressamente autorizzate. Il titolare, quindi, decide cosa fare dei dati e ha tutti gli oneri sopra indicati, mentre il responsabile e l’Incaricato forniscono al primo un servizio, per cui è previsto che processino dati per suo conto. 

Facciamo un esempio, con tutti i limiti delle generalizzazioni: un broker che riceve una richiesta di consulenza per una copertura assicurativa Rc capofamiglia, è titolare del trattamento dei dati conferiti dall’aspirante assicurato e (immaginando che non siano dati particolari) può essere automaticamente legittimato a usare quei dati, perché “il trattamento è necessario all’esecuzione di un contratto” (articolo 6 lettera b del Gdpr). Ma se lo stesso broker riceve dati particolari dallo stesso cliente (ad esempio patologie pregresse, sinistrosità professionale, etc.), senza un consenso scritto non potrà, con tutta probabilità, quotare la polizza. Diversamente, negli appalti per i servizi di brokeraggio banditi dagli enti che reperiscono coperture per iscritti o dipendenti, ove il broker operi come responsabile, non sarà questa figura a doversi occupare di questi specifici aspetti della privacy, pur restando aperto il delicato problema del trattamento dei dati dei futuri assicurati. Mentre per i subagenti che trattano i dati dei clienti per conto del loro agente di riferimento, che si occupa delle relative incombenze privacy, ci si troverà più facilmente nel ruolo dell’incaricato o del responsabile dei trattamenti. Gli agenti, invece, per effetto della rappresentanza della compagnia, devono distinguere ciò che compiono nell’interesse proprio e in quello della loro mandante; e se si presentano come titolari, dovrebbero avere il consenso per comunicare i dati ricevuti. È più ragionevole dunque, per entrambi, presentarsi come contitolari del trattamento (articolo 26 del Gdpr), senza necessità di farsi autorizzare alla reciproca comunicazione dei dati. 

E proprio su questo punto viene in rilievo un aspetto che abbiamo appena sfiorato e cioè la “comunicazione dei dati”, che avviene in caso di cessione a terzi, ma anche di upload su cloud o su di una qualunque piattaforma altrui. Tale attività deve essere necessariamente oggetto di informativa e di una apposita base legittimante (ad esempio il consenso), per ogni finalità perseguita. E si ricordi che l’unico caso in cui è possibile per il titolare trasferire dati senza autorizzazioni, è verso i responsabili del trattamento istituiti ai sensi dell’art. 28 del Gdpr (oltre che, naturalmente, verso gli incaricati). 

Ad esempio: il broker che riceve dati personali dal proprio cliente, deve sottoporre una informativa trasparente che, oltre ai requisiti di legge, deve contenere anche i trattamenti e tutte le finalità cui sono destinati gli stessi; quali: l’archiviazione dei dati nel proprio archivio (un primo trattamento), la registrazione nel proprio software gestionale (un secondo trattamento), la trasmissione alla/alle compagnia/e di quei dati (un terzo trattamento), sempre con la finalità di “quotazione del rischio” (prima finalità), o anche per marketing (seconda finalità), per l’invio di comunicazioni promozionali presso l’indirizzo fisico del cliente. Per i medesimi trattamenti, quindi, ben potrebbe essere autorizzata (ed è molto probabile che accada) la prima finalità, ma non la seconda, impedendo quindi l’utilizzo dei dati per finalità promozionali, anche se il novellato articolo 130 del Codice della Privacy potrebbe aiutare almeno nell’utilizzo delle e-mail per tale scopo. 

Ciò che è importante sottolineare in questa sede è che, in ogni caso, i ruoli privacy devono essere ben progettati per utilizzare legittimamente i dati raccolti. Viceversa, ci si troverebbe a ricostruire, volta per volta, come i rapporti in essere si configurano giuridicamente, con evidenti difficoltà; perché il legislatore ha previsto che i rapporti tra le figure di governo dei dati devono essere, da un lato, regolati da specifici contratti conformi a determinati requisiti normativi e dall’altro, soggetti all’accountability, che richiede di giustificare tutte le scelte effettuate per essere conformi alla legge. 

Da ultimo, mi sia consentito ricordarlo, regolati questi aspetti non si pensi di essere conformi alla normativa vigente: ne avrete solo varcata la soglia di ingresso, ma è già un primo passo.