LA GUIDA PRATICA

Il GDPR nelle agenzie assicurative: regole per la raccolta e il trattamento dati

L’applicazione del GDPR nelle agenzie assicurative richiede la definizione di un sistema di data governance che consenta di far fronte ad un eventuale data breach. È dunque importante che i ruoli privacy siano ben progettati per utilizzare legittimamente i dati raccolti. Ecco le regole di conformità

02 Apr 2020
Z
Paola Zanellati

Consulente Privacy


Anche le società assicurative o le compagnie extra-europee, e di conseguenza le agenzie assicurative, che vendono polizze a cittadini dell’Unione Europea sono soggette all’applicazione del GDPR.

Ricordiamo, infatti, forse per la milionesima volta, che sono soggetti al GDPR i trattamenti di dati personali effettuati da un titolare o da un responsabile con sede nell’Unione Europea, oltre che i trattamenti di dati personali posti in essere da un titolare o da un responsabile non stabilito nell’Unione, qualora essi riguardino l’offerta di beni o servizi o il monitoraggio di comportamenti di interessati che si trovano nel territorio dell’Unione.

Il GDPR nelle agenzie assicurative: il contesto

Probabilmente non spaventano le sanzioni pecuniari e penali, che potremmo definire sostanziose, ma deve essere ben chiaro che non essere “compliant” diventa pericoloso e non solo economicamente, infatti ne va della reputazione dell’azienda e della fiducia del consumatore, fatto che in un’industria come quella assicurativa basata sul trust non può essere ignorato.

Questa è la situazione per banche, finanziarie di grandi dimensioni e compagnie assicurative a prescindere dalla grandezza e quindi la domanda a cui occorre darsi una risposta in tempi veloci è, quante delle tipologie citate sono in grado di “controllare, verificare e mettere in sicurezza” i dati utilizzati dalla società, dai propri agenti, fornitori e società del gruppo e via dicendo.

In una situazione come questa, così mista di intrecci di dati fra società, diventa necessario e obbligatorio definire bene un sistema di data governance: questo perché solo così, a fronte di un data breach, sarà possibile identificare i dati coinvolti, stabilire le responsabilità e adottare le misure volte a minimizzare gli effetti.

A questa attività di governance si deve poi affiancare una seria attività volta a minimizzare i dati rispettando il criterio di proporzionalità, unico modo questo per essere sicuri del valore dei dati e del loro significativo valore rispetto all’attività di business.

Si evince da queste poche parole che accettare in merito al GDPR le classiche offerte standard è una pratica rischiosa e che non tutela la proprietà, l’offerta deve essere specifica perimetrata e avere a supporto un consulente o un DPO che segua con attenzione lo stato dell’arte ed il suo evolversi.

Il GDPR nelle agenzie assicurative: la raccolta dei dati

Quanto appena detto è il risultato di un’analisi “critica” del GDPR, dal quale si evince che non è sufficiente adottare policy, regole e procedure conformi al Regolamento privacy europeo, se non si è in grado di capire e di conseguenza distinguere fra azienda e azienda. È infatti nello specifico di un perimetro aziendale che verranno introdotte misure tecniche ed organizzative in grado di minimizzare i rischi di contestazioni pur traendo i benefici adeguati derivanti dai dati trattati in modo trasparente nei confronti dei clienti e delle autorità.

Sono proprio banche e assicurazioni quelle industrie da sempre basate sulla raccolta di dati.

Dati personali, dati particolari, dati sempre più numerosi grazie anche all’utilizzo di nuove tecnologie per la raccolta (vedi smartphone) e alla necessità di strutturarli e renderli una leva per stare al passo con il mercato di oggi, che chiede nuovi prodotti, più snelli e personalizzati, polizze on-demand, micropolizze e via dicendo.

Anche per questo tipo di attività il GDPR segna inequivocabilmente una nuova era, attraverso nuovi obblighi come ad esempio il registro del trattamento.

A questo si aggiunga un passaggio epocale fra il vecchio sistema che aveva da rispettare le misure minime di sicurezza, il famoso “Allegato B”, con una metodologia quella del regolamento europeo che indica determinati obiettivi da raggiungere a garanzia della tutela dei dati personali.

Il GDPR ha introdotto, però non solo per banche e assicurazioni, il concetto di “consapevolezza” del titolare del trattamento, una responsabilizzazione dello stesso che deve essere in grado di comprovare il rispetto dei principi fissati dall’articolo 5 del GDPR che sono:

  • liceità;
  • correttezza;
  • trasparenza nel trattamento dei dati;
  • limitazione delle finalità di trattamento;
  • minimizzazione ed esattezza dei dati trattati;
  • integrità e riservatezza;
  • limitazione della conservazione dei dati trattati.

Si aggiunga poi il concetto di privacy by design e by default, così come riportato all’art. 25 del GDPR, dove è chiaro che adesso nasce l’obbligo di proteggere i dati rispetto a possibili future implicazioni durante la progettazione di un nuovo bene/servizio che verrà offerto in futuro sul mercato.

Potrebbe, in tal caso, risultare necessaria l’implementazione di tutte le misure tecniche ed organizzative adeguate quali, ad esempio, la pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente.

Il concetto di privacy by default significa che i responsabili del trattamento dei dati devono attuare adeguate misure tecniche e organizzative ad assicurare che solo i dati personali necessari per uno scopo specifico vengano trattati.

A questi concetti se ne aggiungono altri come il registro del trattamento ma soprattutto come la adeguata valutazione d’impatto che deve essere parte di un efficace processo di adeguamento alla nuova normativa da parte delle aziende.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

La gestione delle informazioni raccolte presso gli assicurati prevede una serie di complessità che vanno prima conosciute e poi inserite in un processo con responsabilità ben definite

Agenti e compagnie di assicurazione: il trattamento dati

Si discute da tempo tra agenti e compagnie di assicurazione sul ruolo normativo, in campo privacy e sicurezza dei dati, che gli uni e le altre vorrebbero assumere nel trattamento dei dati dei clienti. La lettera al Sindacato Nazionale Agenti, scritta alla fine del 2018 dall’Autorità garante per la protezione dei dati personali, dovrebbe però avere posto la parola fine a una discussione poco produttiva, se fatta senza ascoltare la lettera della legge.

Il GDPR ci ha fornito infatti una preziosa attività definitoria delle figure di governance del sistema privacy e all’articolo 4 n.7 ha stabilito che il “titolare del trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Viceversa, sempre l’articolo 4 al n. 8, stabilisce che il “responsabile del trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Nel sistema permane poi la figura, che continueremo a chiamare “incaricato del trattamento”, costituita dalle persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

Gli oneri informativi e di giustificazione della legittimazione al trattamento dei dati ricadono solo sul primo, che è l’unico punto di riferimento dell’interessato. Gli altri, potrebbero eventualmente dialogare con quest’ultimo, ma solo per conto del titolare, non potendo perseguire fini propri con i dati che processano.

Le condizioni per la semplificazione

In questo ambito, il provvedimento di “esonero dall’informativa in ambito assicurativo” del 2007, consentiva un accorpamento delle informative da rendere agli interessati, a cura dell’assicuratore stipulante il contratto e per conto di tutta la cosiddetta “catena assicurativa”, che ne beneficiava in termini di semplificazione.

È comunque probabile che sussistano tuttora gli estremi per utilizzare un sistema corrispondente, atteso che, gli articoli 13 e 14 del GDPR permettono di evitare di ripetere informative già fornite agli interessati. Tre sono però le condizioni che è fondamentale rispettare:

  1. l’individuazione di tutti i titolari del trattamento, dal primo anello della catena;
  2. l’esplicitazione delle eventuali finalità ulteriori perseguite;
  3. avere una solida base giuridica per giustificare i trattamenti (articoli 6 e 9 Gdpr) e, ove si ricorra al “consenso”, limitarsi al trattamento per le finalità espressamente autorizzate. Il titolare, quindi, decide cosa fare dei dati e ha tutti gli oneri sopra indicati, mentre il responsabile e l’Incaricato forniscono al primo un servizio, per cui è previsto che processino dati per suo conto.

A ognuno il proprio ruolo

Facciamo un esempio, senza generalizzare: un broker che riceve una richiesta di consulenza per una copertura assicurativa Rc capofamiglia, è titolare del trattamento dei dati conferiti dall’aspirante assicurato e (immaginando che non siano dati particolari) può essere automaticamente legittimato a usare quei dati, perché “il trattamento è necessario all’esecuzione di un contratto” (articolo 6 lettera b del GDPR).

Ma se lo stesso broker riceve dati particolari dallo stesso cliente (ad esempio patologie pregresse, sinistrosità professionale ecc.), senza un consenso scritto non potrà, con tutta probabilità, quotare la polizza.

Diversamente, negli appalti per i servizi di brokeraggio banditi dagli enti che reperiscono coperture per iscritti o dipendenti, ove il broker operi come responsabile, non sarà questa figura a doversi occupare di questi specifici aspetti della privacy, pur restando aperto il delicato problema del trattamento dei dati dei futuri assicurati.

Mentre per i subagenti che trattano i dati dei clienti per conto del loro agente di riferimento, che si occupa delle relative incombenze privacy, ci si troverà più facilmente nel ruolo dell’incaricato o del responsabile dei trattamenti.

Gli agenti, invece, per effetto della rappresentanza della compagnia, devono distinguere ciò che compiono nell’interesse proprio e in quello della loro mandante; e se si presentano come titolari, dovrebbero avere il consenso per comunicare i dati ricevuti. È più ragionevole dunque, per entrambi, presentarsi come contitolari del trattamento (articolo 26 del GDPR), senza necessità di farsi autorizzare alla reciproca comunicazione dei dati.

La complessità del trasferire i dati

Proprio su questo punto viene in rilievo un aspetto che abbiamo appena sfiorato e cioè la “comunicazione dei dati”, che avviene in caso di cessione a terzi, ma anche di upload su cloud o su di una qualunque piattaforma altrui.

Tale attività deve essere necessariamente oggetto di informativa e di una apposita base legittimante (ad esempio il consenso), per ogni finalità perseguita. E si ricordi che l’unico caso in cui è possibile per il titolare trasferire dati senza autorizzazioni, è verso i responsabili del trattamento istituiti ai sensi dell’art. 28 del GDPR (oltre che, naturalmente, verso gli incaricati).

Ad esempio: il broker che riceve dati personali dal proprio cliente, deve sottoporre una informativa trasparente che, oltre ai requisiti di legge, deve contenere anche i trattamenti e tutte le finalità cui sono destinati gli stessi; quali: l’archiviazione dei dati nel proprio archivio (un primo trattamento), la registrazione nel proprio software gestionale (un secondo trattamento), la trasmissione alla/alle compagnia/e di quei dati (un terzo trattamento), sempre con la finalità di “quotazione del rischio” (prima finalità), o anche per marketing (seconda finalità), per l’invio di comunicazioni promozionali presso l’indirizzo fisico del cliente.

Per i medesimi trattamenti, quindi, ben potrebbe essere autorizzata (ed è molto probabile che accada) la prima finalità, ma non la seconda, impedendo quindi l’utilizzo dei dati per finalità promozionali, anche se il novellato articolo 130 del Codice della Privacy potrebbe aiutare almeno nell’utilizzo delle e-mail per tale scopo.

Il GDPR nelle agenzie assicurative: il DPO

L’art. 37 GDPR richiede la nomina del RPD quando le attività principali del titolare del trattamento o del responsabile del trattamento «consistono in trattamenti che per loro natura richiedono il monitoraggio regolare e sistematico degli interessati su larga scala». Il «monitoraggio regolare e sistematico» viene definito come il monitoraggio effettuato periodicamente o in via continuativa.

Tale concetto non è stato del tutto compreso da molti operatori e sia stato quasi del tutto ignorato dagli intermediari assicurativi che hanno affrontato l’entrata in vigore del GDPR come un ulteriore mero adempimento burocratico limitandosi a ciò che le proprie mandanti imponeva o ha imposto loro di fare.

In questo contesto, non risulta che gli intermediari assicurativi abbiano proceduto alla nomina dei DPO, anche perché si sono lasciati probabilmente fuorviare dalle linee guida pubblicate dal Garante per la protezione dei dati personali) il quale ha così precisato:

“3. Chi sono i soggetti privati obbligati alla sua designazione? Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dal GDPR. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento”.

Datosi che il Garante, pur avendo precisato che l’elenco era a mero titolo esemplificativo, si è limitato ad indicare fra i soggetti che hanno l’obbligo della nomina del DPO le imprese assicurative ma non gli intermediari, questi ultimi hanno, a mio modo erroneamente, ritenuto di essere esclusi da tale obbligo.

Sennonché, a questo punto ci si dovrebbe chiedere se gli intermediari assicurativi effettuino trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali.

Ritengo che si debba distinguere fra le tipologie di intermediari assicurativi, ovvero fra coloro che sono iscritti alla sezione A del RUI (Il RUI è stato istituito dal Codice delle Assicurazioni, in attuazione della Direttiva 2002/92/CE sull’intermediazione assicurativa), ovvero gli Agenti Generali, coloro che sono iscritti alla sezione B, ovvero i Brokers, da coloro che sono iscritti alla sezione C, ovvero i produttori diretti, ed alla sezione E, i cosiddetti sub-agenti.

Ora, stante la caratteristiche degli intermediari sopra descritti, si può certamente ritenere che i soggetti iscritti alle sezioni C e E, stante la tipologia della loro intermediazione limitata ad un numero di casi modesto, non eseguano certamente trattamenti su larga scala e, pertanto, non abbiano l’obbligo della nomina del DPO.

Altrettanto, però, non si può dire per i soggetti iscritti alla sezione A e B i quali, per giungere alla decisione di iscriversi a tali sezioni, salvo rare eccezioni, certamente effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali.

A prescindere dal gran numero di clienti (certamente centinaia se non migliaia) gestiti da costoro non si deve ignorare il fatto che sia per la stipulazione di alcune polizze (sanitarie, infortuni, vita), sia per la gestione dei sinistri, gli Agenti e i Brokers devono trattare anche dati sensibili quali quelli sanitari dei clienti.

Pertanto, sembra abbastanza evidente che, anche in applicazione del principio di “responsabilizzazione” per costoro è fortemente consigliata la nomina del DPO. La nomina del DPO consentirebbe loro, in caso di violazione della privacy e di accertamento, di porsi al riparo da eventuali sanzioni che, rammentiamolo, sono assolutamente rilevanti.

Conclusioni

Ciò che è importante sottolineare in questa sede è che, in ogni caso, i ruoli privacy devono essere ben progettati per utilizzare legittimamente i dati raccolti.

Viceversa, ci si troverebbe a ricostruire, volta per volta, come i rapporti in essere si configurano giuridicamente, con evidenti difficoltà; perché il legislatore ha previsto che i rapporti tra le figure di governo dei dati devono essere, da un lato, regolati da specifici contratti conformi a determinati requisiti normativi e dall’altro, soggetti alla “responsabilizzazione”, che richiede di giustificare attraverso la base giuridica tutte le scelte effettuate per essere conformi alla legge.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Da ultimo, mi sia consentito ricordarlo, regolati questi aspetti non si pensi di essere conformi alla normativa vigente: ne avrete solo varcata la soglia di ingresso, ma è già un primo passo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5