La normativa

GDPR e assicurazioni, obblighi e regole: lo scenario del settore

Le compagnie assicurative sono in una posizione particolare relativamente alla data protection, per i doveri e le leggi cui devono sottostare

10 Mar 2020
P
Giuseppe Pisciotto

Consulente Legale Privacy


Le compagnie assicurative, relativamente alla privacy, sono in una situazione difficile. Questo sia per quanto riguarda il trattamento dei dati giudiziari sia per quanto riguarda il ruolo privacy ricoperto dalle medesime, inteso come titolare o responsabile del trattamento dei dati.

Inoltre, si trovano ad affrontare ulteriori obblighi informativi, a tutela dell’assicurato, dettati dall’Insurance Distribution Directive (di seguito e per semplicità “IDD”).

Il contesto

Il legislatore europeo con l’entrata in vigore del Regolamento Europeo sulla protezione dei dati personali 2016/679 (di seguito e per semplicità “GDPR”) ha inteso individuare in ampiezza l’ambito di applicazione del medesimo. Infatti, le norme contenute all’interno dello stesso GDPR si applicano a tutti i trattamenti di dati personali a prescindere dalla finalità del trattamento ed in ossequio al principio di minimizzazione del trattamento, sul punto si dirà in seguito. Occorre tenere in considerazione il diritto alla privacy sia lato titolare del trattamento sia lato interessato.

Dal punto di vista del “proprietario” del dato personale, ossia l’interessato (inteso come “la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”), si concretizza sia nel rispetto della sfera privata sia nel principio di autodeterminazione così come previsto dalla giurisprudenza costituzionale.

Dal punto di vista del titolare del trattamento dei dati personali si concretizza con l’esecuzione di regole e modelli per trattare i dati personali dell’interessato in linea con le indicazioni fornite sia dall’Autorità europea sia dall’Autorità nazionale. Le compagnie assicurative sono soggette a diverse forme di compliance: privacy, ex D.lgs. 231/2001, antiriciclaggio o sicurezza sul luogo di lavoro ex d.lgs. 81/2008.

Il trattamento dei dati giudiziari

Volendo affrontare il tema relativo al trattamento dei dati giudiziari occorre dire che, prima del GDPR, a regolare il trattamento di tale tipologia di dati da parte di soggetti privati era l’autorizzazione generale n. 7/2016 dell’Autorità Garante per la protezione dei dati personali.

Sulla base della presente autorizzazione era consentito il trattamento dei dati giudiziari, anche senza richiesta, “ad imprese autorizzate o che intendono essere autorizzate all’esercizio dell’attività bancaria e creditizia, assicurativa o dei fondi pensione, anche se in stato di liquidazione coatta amministrativa, ai fini:

  • dell’accertamento, nei casi previsti dalle leggi e dai regolamenti, del requisito di onorabilità nei confronti di soci e titolari di cariche direttive o elettive;
  • dell’accertamento, nei soli casi espressamente previsti dalla legge, di requisiti soggettivi e di presupposti interdittivi;
  • dell’accertamento di responsabilità in relazione a sinistri o eventi attinenti alla vita umana;
  • dell’accertamento di situazioni di concreto rischio per il corretto esercizio dell’attività assicurativa, in relazione ad illeciti direttamente connessi con la medesima attività”.
DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Pertanto, ai sensi di quanto sopra, le compagnie assicurative potevano trattare i dati giudiziari solo in determinati ambiti. Con il D.lgs. 101/2018 n. 101, che ha rinnovellato il d.lgs. 196/2003 (di seguito e per semplicità il “Codice Privacy”) è stato previsto un duplice regime per le autorizzazioni generali. Il 13 dicembre 2018, il Garante con il provvedimento n. 497, ha sancito la cessazione dell’efficacia dell’autorizzazione n. 7 del 2016.

Il D.lgs. 101 del 2018 ha introdotto l’art. 2-octies al Codice Privacy. Tale articolo prevede che “il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, del Regolamento, è consentito, ai sensi dell’articolo 10 del medesimo regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati”, riguardanti, in particolare:

  • l’adempimento di obblighi e l’esercizio di diritti da parte del titolare o dell’interessato in materia di diritto del lavoro o comunque nell’ambito dei rapporti di lavoro, nei limiti stabiliti da leggi, regolamenti e contratti collettivi, secondo quanto previsto dagli articoli 9, paragrafo 2, lettera b), e 88 del regolamento;
  • la verifica o l’accertamento dei requisiti di onorabilità (come ad esempio richiesto per i componenti dell’Organismo di Vigilanza), requisiti soggettivi e presupposti interdittivi (come ad esempio per gli amministratori) nei casi previsti dalle leggi o dai regolamenti;
  • l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Per quanto attiene al primo punto, il Garante per la protezione dei dati personali ha avuto modo più volte di ribadire la necessità di una legge che vada ad autorizzare il trattamento dei dati riguardanti condanne penali o reati, negando la validità di disposizione di rango secondario al contratto collettivo del lavoro.

Anche in virtù della genericità dei richiami contenuti all’interno dei contratti collettivi ed in quanto sprovvisti di riferimenti a specifiche esigenze di onorabilità legate allo svolgimento di determinati incarichi il trattamento di tali dati non è ancora chiaro.

I doveri della compagnia assicurativa

Volendo sottolineare la portata dei doveri informativi della compagnia assicurativa occorre tenere in considerazione sia gli artt. 13 e 14 del GDPR sia l’IDD, naturalmente con le dovute accortezze del caso e dei diversi ambiti di applicazione. L’Insurance Distribution Directive ha lo scopo di fornire trasparenza al consumatore prima della sottoscrizione di un contratto di assicurazione. Tale direttiva, infatti, disciplina il modo in cui i prodotti assicurativi sono fatti propri e venduti sia dagli intermediari assicurativi sia dalle compagnie assicurative.

Mira a stabilire il set di informazioni che devono essere fornite ai consumatori finali e prima della sottoscrizione di un contratto di assicurazione. Impone, inoltre, determinate norme di comportamento e di trasparenza ai distributori, va a chiarire processi e norme per le attività transfrontaliere e contiene norme per vigilare su eventuali violazioni della stessa direttiva.

Le norme contenute all’interno della direttiva stessa si applicano alla vendita di tutti i prodotti assicurativi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3