Come è noto, il consenso dell'interessato costituisce una delle basi giuridiche per trattare lecitamente i dati personali, come indicato nell'articolo 6 del GDPR. Prima di iniziare un'attività di trattamento dei dati personali, il Titolare del trattamento è tenuto a compiere un'attenta valutazione delle condizioni o fondamenti giuridici che rendono lecito il trattamento dei dati personali, per comprendere se il consenso dell'interessato sia un'idonea base giuridica per procedere al trattamento dei dati personali o se, invece, sia più opportuno ricorrere all'esecuzione di una prestazione contrattuale, misure precontrattuali, l'adempimento ad un obbligo legale, il perseguimento di un legittimo interesse del titolare, la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica, l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri.

 

Categorie particolari di dati personali

Medesima e ulteriore valutazione dovrà essere compiuta nel caso in cui il trattamento abbia per oggetto le categorie particolari di dati personali. In tal senso, occorre ricordare che "E? vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona".

Tale divieto non si applica al ricorrere delle condizioni o, meglio, dei "casi" richiamati dalla stessa norma al paragrafo 2. Tra questi, anche il consenso esplicito al trattamento dei dati per una o più finalità specifiche, ma non è previsto la necessità di eseguire un servizio in virtù di un rapporto contrattuale o, addirittura, di un obbligo di legge.

Analizziamo il caso di una polizza assicurativa per la copertura da sinistri. Nell'ambito di tale servizio, l'impresa assicurativa potrà:

  • Trattare i dati personali comuni (ad esempio nome, cognome, residenza, data e luogo di nascita, professione, recapito telefonico e indirizzo di posta elettronica) raccolti presso l'interessato, oltre a eventuali altri dati acquisti dall'impresa assicurativa al momento dell'attivazione della polizza, nonché i dati relativi al sinistro che La riguarda.
  • Trattare le categorie particolari di dati personali (idonei, ad esempio, a rivelare lo stato di salute del momento), per fornire le prestazioni assicurative, nonché ove indispensabili per valutare i danni eventualmente subiti.

 

Il conferimento di questi dati deve considerarsi necessario per la finalità di erogazione della prestazione assicurativa, ivi inclusa la valutazione preliminare dei rischi e l'individuazione dei relativi premi assicurativi, nonché per valutare e liquidare i danni eventualmente subiti. I dati, comuni e particolari, saranno quindi utilizzati dalla compagnia assicurativa per l'attivita? assicurativa e liquidativa, l'esecuzione dei relativi adempimenti normativi, amministrativi e contabili, lo svolgimento di attivita? di prevenzione e contrasto di frodi, l'eventuale esercizio e difesa di diritti in sede giudiziaria, nonché per analisi statistiche e tariffarie, nello specifico i dati comuni potrebbero essere elaborati secondo parametri di prodotto, caratteristiche di polizza e informazioni sulla sinistrosita?. Le condizioni di liceità del trattamento per tali finalità sono previste dall'art. 6 in forza dell'esecuzione del rapporto contrattuale (lettera b), dell'adempimento di obblighi di legge (lettera c), degli interessi legittimi del titolare del trattamento (lettera f). Tali condizioni devono tuttavia tener conto delle possibili condizioni per trattare le categorie particolari di dati ai sensi dell'art. 9.2 del GDPR.

In che modo quindi dovrà essere inquadrato il trattamento delle categorie particolari di dati personali, comunque necessarie per l'espletamento delle attività assicurative?

Ai fini della gestione e liquidazione del sinistro l'unica casistica, prevista dal paragrafo 9.2, applicabile per il trattamento delle categorie particolari di dati (ad esempio, relativi allo stato di salute) è L'ESPLICITO CONSENSO, in deroga al più ampio divieto previsto dall'art. 9.1.

Alcune semplificazioni nel mondo assicurativo

Il trattamento dei dati personali effettuato tra più soggetti nell'ambito della "catena assicurativa" può determinare alcune semplificazioni, in applicazione dei principi richiamati dal Provvedimento del garante privacy, rubricato "Esonero dall'informativa in ambito assicurativo (c.d. catena assicurativa)" del 26 aprile 2007. In virtù di tale provvedimento, comunque applicabile anche nell'efficacia del GDPR, il Garante individua modalità semplificate per rendere l'informativa da parte dell'assicurazione stipulante titolare del trattamento e degli altri titolari del trattamento diversi da quello che stipula il contratto di assicurazione (con particolare riferimento ai coassicuratori e ai riassicuratori) che, in relazione ad un medesimo rischio assicurato, trattino nell'ambito della c.d. catena assicurativa informazioni riferite al contraente raccogliendole presso l'assicurazione che con il medesimo ha concluso il contratto. Cio?, a condizione che:

1) detti titolari del trattamento siano già individuati univocamente nell'informativa resa anche nel loro interesse dall'impresa assicuratrice stipulante o siano comunque individuabili presso quest'ultima

2) l'informativa sia formulata in modo da esplicitare univocamente anche le eventuali finalità ulteriori rispetto alla sola gestione del rischio assicurato perseguite da detti titolari del trattamento.

Con riferimento a una larga parte dei trattamenti effettuati nell'ambito della c.d. catena assicurativa, il consenso dell'interessato non e? richiesto dal momento che i dati sono necessari (per instaurare o) per dare esecuzione a un contratto di assicurazione, oppure in quanto gli stessi sono trattati sulla base di uno dei presupposti equipollenti previsti dalla normativa. Qualora invece il consenso dell'interessato sia necessario (come accade per il trattamento dei dati particolari), l'operatività della formula di consenso può essere limitata ai soli trattamenti effettuati dall'assicurazione stipulante (compresa la comunicazione ai terzi indicati nell'informativa), oppure estendersi, in relazione al medesimo rischio assicurato, anche ai trattamenti ulteriori effettuati da altri "titolari" appartenenti alla c.d. catena assicurativa. In quest'ultima evenienza, dal momento che il consenso deve essere prestato in forma specifica, esso deve riferirsi agli specifici trattamenti effettuati dal distinto titolare del trattamento, chiaramente individuabile nell'informativa resa.

 

10 ottobre 2018