Trattamento dei dati personali in ambito assicurativo: GDPR e normativa di settore

Il quadro normativo

Quello assicurativo è un settore vigilato, disciplinato da norme internazionali, europee e nazionali destinate in modo specifico a tale settore e da norme che regolano più in generale il sistema finanziario.

L'Istituto per la Vigilanza sulle Assicurazioni (IVASS), oltre ad esercitare funzioni di vigilanza nei confronti delle imprese di assicurazione e riassicurazione, ha un importante ruolo nella produzione della normativa nazionale secondaria applicabile al settore in esame. La funzione normativa dell'IVASS si esplica attraverso l'adozione di Regolamenti e di Provvedimenti di carattere generale aventi natura vincolante, diretti agli operatori del settore assicurativo, connotati da alto tecnicismo e grado di dettaglio non rinvenibile nelle fonti primarie. Inoltre, l'Istituto emana raccomandazioni e orientamenti (c.d. soft regulation) attraverso comunicazioni, lettere al mercato e circolari. Divulga altresì documenti esplicativi, a carattere non vincolante, volti a condividere con i soggetti vigilati le aspettative dell'Istituto su specifiche materie.

Tale quadro normativo di riferimento prevedeva, già prima dell'entrata in vigore del GDPR, espliciti rinvii alla normativa sulla protezione dei dati personali e, nello specifico, al d.lgs. 196/2003 per il trattamento e la protezione dei dati personali (c.d. Codice Privacy). Il GDPR, pertanto, si affianca e talvolta si sovrappone alla normativa di settore, ricordando alle imprese di assicurazione che non si può prescindere dalla lettura in combinato disposto delle due discipline.  

Principali obblighi per le compagnie: connessioni tra GDPR e normativa di settore

Ogni aspetto dell'attività assicurativa che comporti il trattamento di dati personali, dalla produzione alla distribuzione dei prodotti assicurativi, passando dalla gestione delle polizze fino alla liquidazione dei sinistri, pone sulle Compagnie rilevanti obblighi di conformità al GDPR, a cominciare dai principi sanciti dall'art. 5 GDPR.

Tali principi offrono, da un lato, la possibilità di trattare i dati personali e di consentirne, quindi, la libera circolazione; dall'altro, pongono dei limiti al trattamento i cui confini, tuttavia, sono rimessi alla valutazione e all'accountability del titolare del trattamento. Senza la pretesa di voler qui offrire una panoramica completa ed esaustiva di tutti gli obblighi posti in capo ai titolari, appare interessante esaminare quelli che le compagnie devono rispettare e che, al contempo, generano parallelismi e sovrapposizioni con la normativa di settore; in particolare: a) la liceità del trattamento; b) la trasparenza del trattamento; c) i diritti dell'interessato; d) la sicurezza del trattamento.

a) Liceità del trattamento

L'art. 6, par. 1 GDPR indica le condizioni di liceità del trattamento dei dati personali definendo le c.d. basi giuridiche che il titolare individua in funzione delle finalità perseguite, con quel grado di autonomia e di accountability concessi dal GDPR.

In ragione delle sue peculiari finalità, l'espletamento dell'attività assicurativa può dar luogo a quello che potremmo definire un cumulo di basi giuridiche. È incontestabile, infatti, che l'attività di gestione dei contratti di assicurazione sia legittimata dalla necessità di eseguire un contratto di cui l'interessato è parte (il contratto di assicurazione appunto) o per l'esecuzione di misure precontrattuali adottate su richiesta dello stesso (ad esempio, la richiesta di un preventivo). Tuttavia, è altrettanto vero che le compagnie possono ricorrere a differenti e ulteriori basi giuridiche nell'esercizio della loro attività quali, in primis, l'adempimento di un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, par. 1, lett. c)). Si pensi, ad esempio, alla normativa antiriciclaggio e di prevenzione del finanziamento del terrorismo che le imprese di assicurazione sono chiamate ad applicare, come altri operatori, ma – nel loro caso - nel rispetto dello specifico Regolamento IVASS 12 febbraio 2019, n. 44 adottato ai sensi dell'art. 7 d.lgs. 21 novembre 2007, n. 231.

Particolare attenzione merita poi la condizione di liceità del trattamento rappresentata dal consenso (art. 6, par. 1, lett. a) GDPR) in relazione al quale il titolare deve essere in grado di garantirne la corretta gestione, dalla raccolta all'eventuale revoca, nel rispetto delle condizioni stabilite dall'art. 7 GDPR. Questa base giuridica, infatti, trova la sua applicazione anche per specifici trattamenti finalizzati al perseguimento di finalità proprie dell'attività assicurativa, primo fra tutti il trattamento dei dati sanitari (si veda infra).

b) Trasparenza del trattamento

Quello della trasparenza è un principio e un obbligo che permette al soggetto interessato di conoscere e comprendere le modalità con le quali i suoi dati personali sono trattati e di intervenire nel merito esercitando i suoi diritti nei confronti del titolare.

Sul punto, è interessante evidenziare la connessione tra gli obblighi di informativa sul trattamento dei dati personali ex artt. 13 e 14 GDPR e gli obblighi di informativa ai sensi del Regolamento IVASS 2 agosto 2018, n. 41 recante disposizioni in materia di informativa, pubblicità e realizzazione dei prodotti assicurativi.

Le due normative, infatti, perseguono il comune obiettivo di rendere trasparente l'operato della compagnia, nel suo ruolo di titolare del trattamento e di impresa esercente l'attività di assicurazione, mediante la messa a diposizione di documentazione redatta seguendo specifiche disposizioni per consentire una efficace comprensione delle informazioni ivi contenute.

Così come gli artt. 13 e 14 GDPR, unitamente alle Linee Guida sulla trasparenza WP260 rev.01 del Gruppo di Lavoro articolo 29 che forniscono chiarimenti sull'obbligo di trasparenza e suggerimenti per il suo rispetto, anche il Regolamento n. 41 indica le condizioni attraverso le quali applicare il principio in esame.

La disciplina sulla trasparenza del trattamento dei dati personali ancora una volta si affianca e, per certi versi, coincide con quella regolamentare laddove, ad esempio, interviene per stabilire il contenuto minimo delle informazioni da fornire, la necessità di adottare un linguaggio chiaro e sintetico e una presentazione di facile lettura, anche mediante l'impiego di icone.

c) Diritti dell'interessato

Tra le informazioni essenziali da fornire con l'informativa sul trattamento dei dati personali, di non poco rilievo è l'espressa indicazione di quel ventaglio di diritti che il GDPR mette a disposizione dell'interessato ai sensi degli artt. 15-22. In ambito assicurativo, l'esercizio dei diritti degli interessati ha più volte richiesto l'intervento del Garante per la protezione dei dati personali per rispondere a quesiti e chiarire alcune temi non correttamente interpretati. Su tutti, l'equivoco di considerare equivalenti il diritto di accesso agli atti, disciplinato dal Decreto del Ministero dello sviluppo economico 29 ottobre 2008, n. 191 e dall'art. 146 d.lgs. 7 settembre 2005, n. 209 (Codice delle Assicurazioni Private, c.d. CAP), e il diritto di accesso ai dati personali ex art. 15 GDPR.

Nella sua Relazione annuale 2020, infatti, l'Autorità si esprime nuovamente sulla “differenza tra il diritto di accesso ai dati personali previsto dall'art. 15 del RGPD e il diverso diritto di accesso agli atti e ai documenti previsto dall'art. 146, d.lgs. n. 209/2005” e “nel richiamare l'orientamento già espresso in precedenti pronunce, l'Ufficio ha ribadito che l'esercizio del diritto di accesso ai dati personali permette agli interessati di conoscere i dati e le informazioni a sé riferite, ma non di ottenere anche l'accesso agli (o la copia degli) atti e documenti che li contengono, specie se l'accesso documentale è già previsto e disciplinato da normative di settore eventualmente applicabili”.

d) Sicurezza del trattamento

L'obbligo di adottare misure di sicurezza tecniche e organizzative adeguate al livello di rischio connesso al trattamento richiede alle compagnie, forse più di ogni altro obbligo, una approfondita verifica delle modalità del trattamento in quanto la natura, l'oggetto, il contesto e le finalità del trattamento in ambito assicurativo delineano un quadro complesso e delicato, anche in considerazione delle tipologie di dati trattati e delle categorie di interessati coinvolti dai trattamenti. Sotto il profilo delle misure organizzative, emerge in tutta la sua rilevanza l'obbligo per le compagnie di individuare i soggetti destinatari dei dati personali e di disciplinare i rapporti con i soggetti che trattano i dati sotto la loro autorità (autorizzati ex art. 29 GDPR) o per loro conto (responsabili del trattamento ex art. 28 GDPR) o che agiscono per proprie finalità (autonomi titolari del trattamento) o per finalità congiunte (contitolari del trattamento ex art. 26 GDPR).

A rafforzare questo compito, si aggiungono le disposizioni del Regolamento IVASS 2 agosto 2018, n. 40 rivolte ai soggetti che svolgono l'attività di distribuzione assicurativa e riassicurativa, ivi compresi agenti, broker, banche, società finanziare e SIM, imponendo loro condizioni sia di accesso che di svolgimento di tale attività, anche sulla base delle istruzioni impartite dalle imprese di assicurazione. Proprio su quest'ultimo aspetto si è di recente espresso il Garante con un parere atto a chiarire il ruolo soggettivo delle banche che svolgono attività di distribuzione assicurativa per conto delle compagnie, indicando che le stesse operano in questo caso come responsabili del trattamento. A sostegno di questa indicazione, l'Autorità ha richiamato, infatti, l'art. 58, comma 3 Regolamento n. 40 secondo cui “le imprese [n.d.r. assicurative], per ciascun prodotto distribuito, impartiscono agli intermediari e ai dipendenti di cui si avvalgono per la distribuzione dei prodotti assicurativi, istruzioni idonee a guidare i medesimi nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti in relazione alla tipologia di contratto offerto”.

Fattori di rischio

Considerato l'approccio risk based del GDPR e partendo dall'assunto che il trattamento dei dati personali comporta sempre un grado di rischio che può essere mitigato con adeguate misure di sicurezza ma, in nessun caso, completamente eliminato, le compagnie devono valutare attentamente, in relazione a ciascun trattamento di dati personali, i rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

In considerazione delle caratteristiche dell'attività assicurativa ovvero delle tipologie e categorie di dati trattati nonché delle finalità del trattamento, meritano particolare considerazione, in quanto passibili di poter presentare un potenziale rischio elevato: a) il trattamento dei dati sanitari; b) i sistemi decisionali automatizzati e la profilazione.

a) Trattamento dei dati sanitari

Come noto, l'attività assicurativa può essere svolta sia nei rami danni che nei rami vita. In entrambi, anche se in momenti diversi e per finalità differenti, le compagnie possono avere la necessità di raccogliere e trattare categorie particolari di dati e, più nello specifico, dati sanitari ovvero dati inerenti allo stato di salute. Si pensi alla gestione di un sinistro in cui l'assicurato o un soggetto terzo riportino danni alla persona per i quali siano necessarie cure mediche, o al questionario anamnestico necessario per valutare la possibilità di assicurare un soggetto contro i rischi di malattia o di sottoscrivere una polizza vita.

Il trattamento di tali dati è generalmente vietato dall'art. 9, par. 1 GDPR, salvo il caso in cui ricorrano le eccezioni previste al successivo paragrafo 2. Poiché è indubbio, come visto sopra, che nello svolgimento di alcune attività assicurative sia necessario trattare i dati sanitari, è ormai non contestato che la base giuridica da adottare, quale eccezione al citato divieto, sia il consenso esplicito e specifico ai sensi dell'art. 9, par. 2, lett. a) GDPR. Ciò presuppone, però, che le imprese assicuratrici abbiano individuato chiaramente la finalità per la quale i dati sanitari debbano essere raccolti e trattati e che, conseguentemente, abbiano approntato le misure necessarie per gestire tale consenso, anche attraverso la c.d. catena assicurativa.

b) Sistemi decisionali automatizzati e profilazione

L'attività assicurativa non può prescindere dalla previsione delle probabilità di insorgenza di un rischio nel momento in cui si valuta la possibilità di offrire la copertura assicurativa ad un potenziale cliente. Di conseguenza, si rende necessario raccogliere e trattare tutte quelle informazioni di tipo personale e comportamentale che consentono di calcolare il profilo di rischio del contraente e l'ammontare del premio ad esso richiesto. Si tratta di un'attività che, da un lato, consente alle compagnie di affrontare il rischio con riserve adeguate a coprire eventuali sinistri; dall'altro, rappresenta una forma di protezione del contraente al quale sono proposti solo prodotti coerenti con le sue esigenze ai sensi dell'art. 58 del Regolamento IVASS n. 40/2018. Il rischio, in questo caso, è rappresentato dal fatto che, se automatizzata, questa attività di trattamento costituisce profilazione degli interessati e che, pertanto, è autorizzata solo nei casi espressamente previsti dall'art. 22, par. 2 GDPR ossia qualora “(…) a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento; b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; c) si basi sul consenso esplicito dell'interessato”.

Ancora una volta, in ossequio al principio di responsabilizzazione ex art. 5, par. 2 GDPR, è rimesso al titolare ovvero alle compagnie l'onere di individuare la base giuridica che legittima il trattamento. Inoltre, sorge l'ulteriore obbligo di indicare nell'informativa sul trattamento dei dati “l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'art. 22, paragrafi 1e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato” (art. 13, par.2, lett. f) GDPR).

In conclusione

Come sopra rappresentato, il settore assicurativo è un contesto complesso nel quale le attività di trattamento sono effettuate su larga scala e possono riguardare anche categorie particolari di dati spesso inerenti a soggetti vulnerabili. Alle imprese di assicurazione è richiesto, quindi, un grande impegno per garantire la protezione dei dati personali che, allo stesso tempo, rappresentano per queste un asset importante e imprescindibile per lo svolgimento della loro attività. Proprio per tale ragione, è indispensabile che le compagnie (ma questo vale per ogni titolare del trattamento) passino da una visione meramente prescrittiva del GDPR, ormai retaggio del passato, ad una visione dinamica dello stesso, anche in considerazione delle necessarie e obbligatorie interazioni con la normativa di settore. Ciò significa guardare alle disposizioni del Regolamento UE 679/2016 non più come ad un insieme di obblighi fini a sé stessi ma come strumenti di conformità a disposizione dei titolari e come opportunità per una corretta attività imprenditoriale basata sui dati personali, espressione di autonomia e di responsabilizzazione.