In sede di assessment GDPR in ambito assicurativo sarà necessario valutare e individuare il ruolo degli agenti nel modello di gestione e organizzazione della data protection. In funzione delle attività e dei servizi svolti, sarà necessario qualificare tali soggetti come Responsabili del trattamento o come Titolari del trattamento. Ai sensi dell'articolo 106 del D. Lgs. 209 del 2005, è intermediario assicurativo colui che svolge l'attività consistente nel presentare o proporre prodotti assicurativi e riassicurativi o nel prestare assistenza e consulenza finalizzate a tale attività e, se previsto dall'incarico intermediativo, nella conclusione dei contratti ovvero nella collaborazione alla gestione o all'esecuzione, segnatamente in caso di sinistri, dei contratti stipulati.

L'attività di mera segnalazione di nominativi all'intermediario non è riconducibile alla nozione di intermediazione assicurativa, salvo che essa non si sostanzi anche in un'attività di assistenza o consulenza finalizzate alla presentazione o proposta di contratti di assicurazione ai clienti segnalati e comporti la percezione di un compenso.
Le attività dell'agente possono variare in relazione alle attività oggetto di contratto (es. promozione dei prodotti e/o gestione dei sinistri) e di conseguenza, il ruolo privacy potrebbe assumere una diversa posizione. In linea generale, qualora gli agenti assicurativi svolgono l'incarico professionale in virtù di un contratto di mandato e salvo che non vi siano degli utilizzi e trattamenti autonomi, si qualificano come Responsabili del Trattamento.

Di volta in volta sarà necessario indagare sull'effettivo compito attribuito agli "intermediari assicurativi" e valutare se l'incarico preveda le finalità di gestione del rapporto di mandato, l'intermediazione e la selezione di candidati nonché le finalità amministrativo contabili oppure se l'incarico possa risolversi in una mera intermediazione e individuazione del cliente per la compagnia assicurativa.

 

Il contenuto dell'articolo 8 del GDPR

Gli agenti assicurativi si configurano come responsabili del trattamento, in quanto gli stessi sono tenuti a eseguire le attività, quindi i trattamenti dei dati che ne derivano, in esecuzione degli obblighi, compiti e istruzioni previsti per il responsabile dall'impresa assicurativa titolare dei dati nonché dal GDPR. In tali casi, qualora un trattamento debba essere effettuato per conto del Titolare, quest'ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincola il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il riferimento contenuto nella normativa a un mero "atto giuridico" lascia intendere che tale formalizzazione, in continuità con quanto sinora avvenuto, possa essere adempiuta anche mediante le lettere di nomina a responsabile esterno del trattamento ai sensi dell'art. 29 del Codice Privacy, purché provviste dei contenuti minimi indicati dall'art. 28 del GDPR.

Quali obblighi per gli agenti assicurativi

Gli agenti assicurativi che agiscono in qualità di responsabili del trattamento, saranno tenuti ai sensi dell'art. 28, comma 3, del GDPR a:

  • Rispettare l'obbligo di trattare i dati solo in conformità alle istruzioni documentate ricevute dal titolare, anche in ipotesi di trasferimento dei dati al di fuori dell'Unione Europea.
  • Garantire che le persone fisiche autorizzate alle attività di trattamento (collaboratori o dipendenti) siano vincolate da obblighi di riservatezza, contrattualmente assunti o stabiliti per legge.
  • Adottare le misure richieste ai sensi dell'art. 32 del Regolamento, vale a dire le misure tecniche e organizzative a protezione dei dati ritenuti idonee a garantire un livello di sicurezza adeguato al rischio insito nel trattamento.
  • In caso di subappalto, ottenere sempre una previa autorizzazione scritta da parte del titolare, sia essa specifica o generale.
  • Assistere il titolare, mediante misure tecniche e organizzative adeguate, e nella misura in cui ciò sia possibile, nel dar seguito alle eventuali richieste degli interessati (accesso, rettifica, cancellazione, portabilità, opposizione).
  • Tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assistere il titolare:
    • Nell'assicurare protezione ai dati attraverso misure tecniche e organizzative adeguate, ai sensi dell'art. 32 del Regolamento.
    • Nel notificare all'Autorità eventuali data breach occorsi, ai sensi dell'art. 33 del Regolamento.
    • Nel comunicare agli interessati gli eventuali data breach occorsi, nei casi previsti dall'art. 34 del Regolamento.
    • Nell'effettuare la valutazione di impatto (impact assessment) richiesta dall'art. 35 del Regolamento.
    • Nel consultare l'Autorità, qualora la valutazione di impatto effettuata indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.
  • Cancellare o restituire i dati, su scelta del titolare, al momento della cessazione del rapporto, salvo che la legge non imponga specifici obblighi di conservazione.
  • Mettere a disposizione del titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi.
  • Consentire al titolare di effettuare attività di audit, direttamente o per il tramite di terze parti all'uopo incaricate.

 

La configurazione del ruolo di responsabile determina per gli agenti assicurativi l'assunzione della responsabilità anche nei confronti degli interessati. Ciò in quanto l'art. 82 prevede "Qualora piu? titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento e? responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato". Alla luce di ciò si ritiene molto importante in sede di assessment inquadrare correttamente il ruolo delle parti coinvolte nei trattamenti dei dati personali e in relazione delle funzioni svolte determinare le responsabilità che ne derivano. Il rischio di un inquadramento errato e incompleto è la mancata sottoscrizione delle nomine da parte dei soggetti individuati come responsabili.

 

17 ottobre 2018