IL QUADRO NORMATIVO

GDPR e intermediari assicurativi (agenti e broker): la norma

Il Garante Privacy non ha indicato agenzie e broker assicurativi tra i soggetti privati obbligati alla designazione del DPO. Come si pongono dunque questi soggetti rispetto all’art. 37 del Regolamento UE e ai concetti di larga scala e monitoraggio regolare e sistematico? Ecco cosa dice la norma su GDPR e intermediari assicurativi

18 Ott 2018
C
Salvatore Coppola

Avvocato del Foro di Matera, DPO

Da un recente confronto con alcuni agenti e broker sull’argomento GDPR e intermediari assicurativi emerge quanto la tematica trattata dal Regolamento UE sulla protezione dei dati personali sia ancora inspiegabilmente trascurata o ridotta a meri adempimenti burocratici a cui sottoporsi per risultare “in regola”.

In molti casi le associazioni di riferimento hanno riunito gli iscritti e coinvolto professionisti della materia limitandosi a stipulare delle convenzioni per la redazione dell’informativa da rilasciare ai clienti.

Si escludano ovviamente quegli intermediari che meritoriamente sia siano ben in-formati.

In Italia al 31 dicembre 2017 risultavano iscritti nel RUI 228.676 intermediari italiani, oltre a 8.211 intermediari esteri (Relazione IVASS del 27/06/2018).

Invero l’attività principale di un intermediario assicurativo consiste nella proposta e nell’assistenza per una copertura assicurativa. Tanto sarebbe possibile in modo efficace senza trattare dati personali, familiari e particolari? In realtà, gli intermediari assicurativi raccolgono dati per finanziarie, raccolgono buste paga, fanno convenzioni con società per applicare sconti ai rispettivi soci e via dicendo.

GDPR e intermediari assicurativi: la contitolarità tra compagnie, agenti e broker

L’art. 4, par. 7, del GDPR stabilisce che il Titolare del trattamento è «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali». Quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento, l’art. 26 impone loro di definire specificamente – con accordo interno a disposizione degli interessati nel suo contenuto essenziale – le rispettive responsabilità in merito all’osservanza degli obblighi, all’esercizio dei diritti dell’interessato e all’informativa.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

A titolo esemplificativo, le imprese assicurative e gli intermediari determinano congiuntamente finalità e mezzi del trattamento dei dati personali dei propri clienti, stabilendo le rispettive responsabilità ed i compiti sull’osservanza degli obblighi derivanti dal GDPR. In particolare, tali accordi si riferiscono ai diritti dell’interessato e agli obblighi di fornire le informazioni previste al momento della raccolta dei dati.

A tal proposito il GDPR prevede che gli interessati abbiano la possibilità di rivolgersi indifferentemente a uno qualsiasi dei Contitolari per l’esercizio dei loro diritti. Ebbene, agenti e broker risultano a tutti gli effetti titolari del trattamento in quanto hanno la possibilità di proporre prodotti di compagnie diverse, tenendo conto dei profili e delle esigenze degli interessati assicurandi.

Si fa inoltre notare che gli intermediari quando trattano dati personali per conto della Compagnia (Titolare del trattamento) divengono anche Responsabili del trattamento e pertanto la nomina del DPO a maggior ragione rientrerebbe tra le misure a loro disposizione nella protezione dei dati.

Riflessione più approfondita richiederebbero i sub-agenti? Sono contitolari, responsabili e/o sub-responsabili del trattamento?

Partiamo dal principio.

Data Protection Officer: chi è obbligato a nominarlo

L’art. 37, par. 1, del Regolamento (UE) 2016/679 prevede che la nomina del DPO è obbligatoria da parte di:

  • Autorità pubbliche e organismi pubblici;
  • Titolari o Responsabili che svolgono trattamenti che «per loro natura, ambito e/o finalità» richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • Titolari o Responsabili che svolgono attività che consistono nel trattamento, su larga scala, di categorie particolari di dati personali (genetici, biometrici, giudiziari ecc.).

Da tanto si desume che nei casi non previsti dall’art. 37 GDPR la nomina del DPO è solo facoltativa.

Pertanto, ictu oculi, gli intermediari assicurativi possono rientrare tra i Titolari e i Responsabili di cui ai punti b) e c) obbligati alla designazione del DPO.

Larga scala: facciamo chiarezza su questo concetto

Il regolamento non definisce univocamente cosa rappresenti un trattamento “su larga scala”.

Sul punto il Gruppo di lavoro WP29 raccomanda di tenere conto dei fattori qui elencati:

  1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  3. la durata, ovvero la persistenza, dell’attività di trattamento;
  4. la portata geografica dell’attività di trattamento.

A titolo esemplificativo, tra gli altri, il Gruppo cita il trattamento su larga scala dei dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle attività ordinarie.

Non nomina, invece, quella grande platea di professionisti della intermediazione assicurativa.

Monitoraggio regolare e sistematico: cos’è e quando avviene

Come per il concetto di larga scala, anche il riferimento al concetto di monitoraggio regolare e sistematico degli interessati non trova una definizione all’interno del GDPR; dal considerando 24 si evince che si ha controllo del comportamento dell’interessato quando le persone fisiche sono tracciate su internet ovvero quando si ricorre a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.

Sul concetto di “regolare”, il Gruppo di lavoro WP29 lo ha definito chiaramente come un monitoraggio “che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici”.

Con riferimento all’aggettivo “sistematico”, sempre il Gruppo ha precisato che prevede almeno uno dei seguenti significati: “che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia”.

Lo stesso Gruppo riporta alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati, tra le quali: attività di marketing basate sull’analisi dei dati raccolti; profilazione e scoring per finalità di valutazione del rischio (per esempio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); programmi di fidelizzazione; pubblicità comportamentale; utilizzo di telecamere a circuito chiuso e così via.

Appare evidente, pertanto, che gli intermediari assicurativi possono rientrare tra quei soggetti privati che trattano i dati personali regolarmente e sistematicamente.

Il Gruppo Art 29 e il Garante italiano sulla nomina del DPO

Il Gruppo Art 29 nelle Linee Guida del 13/12/2016 già aggiornate in data 05/04/2017 ha tenuto a precisare, come previsto dall’art. 37, par. 4, GDPR che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base al diritto dell’Unione o degli Stati membri.

Il Gruppo è giunto fino a puntualizzare che anche ove la nomina di un DPO non sia obbligatoria, può risultare utile procedere a tale designazione su base volontaria e pertanto incoraggia un approccio di questo genere. Non può negarsi infatti che nel dubbio è consigliabile la sua designazione in quanto contribuisce ad una migliore «immagine privacy» del Titolare ai fini dell’accountability.

È bene specificare che ove si dovesse procedere alla designazione di un DPO su base volontaria, troverebbero applicazione gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i DPO designati in via obbligatoria.

Anche il Garante Privacy italiano ha voluto, opportunamente aggiungerei, contribuire all’individuazione di chi è obbligato alla designazione del DPO e il 26/03/2018 ha pubblicato sul sito istituzionale, in aggiunta alle Linee Guida adottate dal Gruppo Art 29, le Nuove FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato e in ambito pubblico.

Con riferimento all’ambito privato, l’art 3 stabilisce che sono tenuti alla designazione del DPO, quando ricorrono i presupposti di cui sopra (art. 37, par. 1, lett. b) e c), del GDPR), i seguenti Titolari e Responsabili del trattamento (a titolo esemplificativo e non esaustivo): “istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Tanto è stato necessario al fine di offrire maggiori indicazioni agli operatori economici che vivevano l’entrata in vigore del GDPR con dubbi e apprensione relativamente all’obbligo della designazione del DPO.

Si potrà notare come siano presenti le imprese assicurative ma non le imprese di intermediazione assicurativa quali broker o agenti.

GDPR e intermediari assicurativi: considerazioni sulla nomina del DPO

Come il passaggio di una cometa che non richiede più lo sguardo, con il passaggio della fatidica data del 25/05/2018 (data in cui il GDPR è diventato pienamente esecutivo) l’attenzione per l’argomento è scemata: alcuni operatori economici sono certi di dover designare il DPO, altri, evidentemente non puntualmente individuati, sottovalutano la necessità di nominare il Responsabile della protezione dei dati.

È opportuno allora ricordare a noi stessi che la colonna portante della normativa europea risiede nel principio dell’accountability, il quale richiede a Titolari e Responsabili del trattamento un atteggiamento proattivo e una ricerca costante di misure tecniche e organizzative adeguate alla protezione dei dati trattati.

Ci si aspettava allora che questi soggetti, responsabilizzati dal legislatore europeo, non si fermassero alle esemplificazioni del Garante italiano (utili ma non esaustive come dichiarate dal Garante) e che andassero oltre.

In conclusione, scontato che le compagnie assicurative siano tenute alla nomina del DPO (è indicato esplicitamente nelle Nuove FAQ), le società di intermediazione assicurativa a loro volta – con l’ausilio di professionisti specializzati – dovrebbero valutare con più attenzione la nomina del Data Protection Officer.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr