Il collocamento di polizze assicurative da parte di istituti di credito

L’istituto di credito che funge da intermediario nel collocamento di polizze assicurative è considerato come responsabile del trattamento, mentre il ruolo di titolare del trattamento è affidato alla compagnia assicurativa; queste sono le conclusioni a cui giunge il Garante privacy, con il Parere 18 maggio 2022.

Attraverso il Parere 18 maggio 2022 il Garante privacy ha illustrato la corretta procedura per la qualificazione ai fini privacy degli istituti di credito che trattano dati personali dei clienti ai fini del collocamento di polizze assicurative.
Il trattamento dei dati da parte della banca viene effettuato mediante la raccolta, gestione, trasmissione e conservazione della documentazione e della modulistica relativa ai contratti di assicurazione, questionari anamnestici compresi.

Lo schema contrattuale

Secondo quanto previsto dal contratto tra istituto di credito e compagnia assicurativa, l’istituto di credito:

  • raccoglie i dati personali di contraenti e assicurati, utilizzando documenti (preventivi, proposte di polizze, polizze, modulistica, ecc.) forniti dalla compagnia assicurativa non modificabili;
  • sottopone a contraenti e assicurati il modulo di informativa e consenso della compagnia assicurativa;
  • deve attenersi alle istruzioni impartite dalla compagnia assicurativa;
  • accede ai sistemi informativi della compagnia assicurativa, per caricare e rendere disponibili i dati personali acquisiti;
  • utilizza le procedure informatizzate della compagina assicurativa, per la valutazione delle richieste ed esigenze assicurative degli interessati;
  • conserva gli originali dei documenti cartacei relativi alle polizze assicurative sottoscritte;
  • è oggetto di controlli periodici da parte della compagnia assicurativa;
  • si occupa dei reclami relativi ai comportamenti della rete vendita, ma non di quelli riguardanti i contratti e servizi gestiti esclusivamente dalla compagina assicurativa.

L’interpretazione della compagnia assicurativa

Secondo quanto sostenuto dalla compagnia assicuratrice, le attività di trattamento poste in essere dalle banche per il collocamento di polizze assicurative per conto della compagnia sono effettuate in qualità di responsabili del trattamento.

Tale interpretazione sarebbe giustificata:
– dai criteri delineati dal Garante privacy nel Provvedimento “Esonero dall’informativa in ambito assicurativo (c.d. catena assicurativa)” del 26 aprile 2007;
– dalla specifica regolazione dei rapporti tra la compagnia assicurativa e l’istituto di credito.

L’interpretazione dell’istituto di credito

Secondo l’istituto di credito, il trattamento dei dati nello svolgimento della descritta attività di intermediazione viene effettuato come titolare del trattamento dei dati personali (e non in qualità di responsabile del trattamento); il trattamento viene effettuato in qualità di responsabile solo per quanto riguarda l’attività di archiviazione dei documenti per conto della compagnia assicurativa.

L’istituto di credito segnala infatti che l’articolo 58, comma 1 del Regolamento IVASS n. 40/2018 prevede che i distributori di polizze sono tenuti a raccogliere i dati personali degli interessati al fine di valutare la coerenza dei prodotti proposti con le richieste e le esigenze degli interessati; tale attività valutativa sarebbe più assimilabile con il ruolo di titolare del trattamento, e non con il ruolo di responsabile.

Il Parere del Garante

Preliminarmente, il Garante osserva che:

  • sul titolare del trattamento ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati, e la responsabilità generale sui trattamenti posti in essere dallo stesso o da altri per suo conto;
  • il ruolo del responsabile del trattamento è caratterizzato dallo svolgimento di attività delegate dal titolare, che delimita l’ambito delle attribuzioni e fornisce specifiche istruzioni sui trattamenti da effettuare.

Secondo l’EDPB, inoltre, la ripartizione dei ruoli deve essere effettuata sulla base delle attività effettivamente svolte, e non sulla base della mera designazione formale; di conseguenza, tale ripartizione non è negoziabile, basandosi sull’analisi degli elementi di fatto e dalle circostanze del caso.

Nel caso di specie, secondo il Garante i ruoli di compagnia assicurativa e banca intermediaria sono conformi a quelli del rapporto tipico titolare/responsabile del trattamento.

Secondo quanto previsto dal citato Regolamento IVASS, infatti:

  • la banca distributrice di prodotti assicurativi è tenuta a proporre prodotti coerenti, e ha l’obbligo di acquisire le informazioni utili a valutare le richieste ed esigenze del cliente; tali informazioni sono specificamente individuate, e la banca non può acquisire ulteriori informazioni;
  • la compagnia assicurativa deve impartire alla banca le istruzioni idonee per lo svolgimento della fase precontrattuale di acquisizione delle citate informazioni; l’attività di valutazione in capo alla banca non può quindi prescindere dai criteri e dalle indicazioni fornite dalla compagnia assicurativa.

Il Garante ritiene quindi che l’attività della banca non configura un potere decisionale del tutto autonomo rispetto alle indicazioni della compagnia assicurativa; di conseguenza, nel caso di specie non vi è una vera e propria titolarità del trattamento dei dati in capo all’istituto bancario.

In altre parole, l‘attività di intermediazione effettuata dalla banca si configura come un’attività strumentale alla finalità perseguita dalla compagnia assicurativa; per questo motivo, tale attività si considera effettuata dalla banca, per conto della compagnia, in qualità di responsabile del trattamento.

Il ruolo di responsabile del trattamento svolto dall’istituto bancario nell’attività di collocamento di polizze assicurative dovrà quindi essere adeguatamente indicato nelle informative privacy rilasciate agli interessati.

Fonte Seac spa