Home

Catena assicurativa: ruoli e responsabilità del produttore e del distributore

05 Ottobre 2023

L’Autore illustra le modalità con le quali le Compagnie assicurative hanno disciplinato i rapporti con le reti distributive agenziali e, in particolare, analizza i ruoli, gli obblighi e le responsabilità che competono all’intermediario assicurativo nel contesto dell’attività che svolge sotto il profilo della protezione dei dati alla luce della giurisprudenza dei Garanti privacy europei.

Premessa

Nel settore della distribuzione assicurativa, a seguito dell'entrata in vigore del Regolamento (UE) 2016/679, diverse sono le modalità attuate dalle Compagnie per disciplinare la materia dei dati personali e lo scambio dei flussi informativi con le reti distributive agenziali.

Alcune Compagnie hanno regolato il trattamento effettuato dall'Agente assicurativo, nella veste di responsabile, nell'espletamento del mandato agenziale, attraverso contratti o altri atti giuridici in conformità con quanto previsto dall'art. 28 GDPR. Alcune Compagnie, invece, hanno concluso con gli Agenti specifici accordi di contitolarità (art. 26 GDPR) che stabiliscono la partecipazione congiunta nella determinazione delle finalità e dei mezzi di trattamento dei dati personali.

Infine, alcuni “accordi dati” presenti sul mercato hanno previsto che l'intermediario assicurativo possa assumere il ruolo di autonomo titolare al di fuori dei rapporti con la Compagnia e diventare responsabile o contitolare nell'ambito del contesto contrattuale con l'Assicurazione.

Al riguardo, gli orientamenti forniti dai Garanti europei nella versione finale delle “Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Version 2.0.” adottate il 7 luglio 2021 contribuiscono a fare chiarezza sul significato dei concetti di titolare, responsabile e contitolare suggerendo alcune best practices che dovrebbero guidare i player del comparto assicurativo nel declinare correttamente l'applicazione del GDPR con riguardo ai trattamenti svolti nell'ambito della cosiddetta “catena assicurativa”.

Prima di esaminare l'impatto delle Guidelines” 07/2020 sui rapporti tra Compagnie e rete distributiva e, in specie, sulla qualificazione che può rivestire l'agenzia di assicurazioni nel contesto del GDPR, risulta necessario svolgere alcune preliminari considerazioni sui termini e sulle modalità di applicazione dei precetti in materia di “data protection” e sulle peculiarità che contraddistinguono il settore assicurativo e della distribuzione.

Prima di tutto occorre soffermare l'attenzione sul Provvedimento del 26 febbraio 2007  (riguardante specificatamente i trattamenti effettuati all'interno della c.d. “catena assicurativa”) nel quale il Garante per la privacy distingueva puntualmente i ruoli di titolare del trattamento, individuabile quando “sussiste un reale ed autonomo potere decisionale in ordine alle finalità del trattamento” e del responsabile, sottoposto “alle istruzioni formulate dalle compagnie assicurative”, cui deve “conformare il proprio operato”.

In particolare, sul tema, l'Authority precisava che “Il settore assicurativo è caratterizzato da una frequente molteplicità di soggetti che, secondo i casi, vengono coinvolti nella prestazione dei servizi assicurativi relativi alla copertura di un medesimo rischio, ed effettuano (in taluni casi in qualità di "titolari", in altri come "responsabili del trattamento") operazioni di trattamento di dati personali (talvolta di natura sensibile) necessari per adempiere ad obblighi (di legge o connessi all´esecuzione del contratto) assunti nell´ambito dello svolgimento di tale peculiare attività d´impresa”.

Fino al 25 maggio 2018 (data di entrata in applicazione del Regolamento), le suddette indicazioni costituivano la “bussola” per orientare il mondo assicurativo nel disciplinare la molteplicità di trattamenti effettuati nella c.d. “catena assicurativa”. Con l'avvento del GDPR, il provvedimento del 26 aprile 2007 è rimasto in vigore solo nelle parti compatibili con la nuova normativa e i player dell'industry assicurativa sono stati chiamati a declinare correttamente l'applicazione delle disposizioni europee, soffermandosi e tenendo conto della specificità delle attività di trattamento svolte dalle reti distributive agenziali.

Ruoli data protection e profili di responsabilità dell’agente assicurativo

Al riguardo, deve precisarsi fin da subito che la possibilità da parte dell'Agente di ricoprire vesti diverse e sovrapponibili sotto il profilo della disciplina in materia è connaturata nel fatto che nel settore della distribuzione assicurativa si “incrociano” le attività svolte dall'intermediario, nella veste di autonomo imprenditore, nel collocamento di prodotti assicurativi e le attività effettuate dall'Impresa che assume il rischio oggetto del contratto di assicurazione.

Si rende necessario, quindi, distinguere il segmento di attività in cui l'agente di assicurazioni tratta i dati dei clienti/potenziali clienti nello svolgimento della propria attività imprenditoriale (per esempio, nel contesto dell'attività distributiva di prodotti di più imprese o in collaborazione con altri distributori assicurativi) dalla diversa attività per la quale l'intermediario tratta i dati seguendo le istruzioni fornite dalla Compagnia ai fini dell'espletamento del mandato agenziale e, ancora, dalla fattispecie della contitolarità del trattamento dei dati con l'impresa di assicurazioni.

Nel primo caso, l'intermediario assicurativo agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati dei clienti/potenziali clienti per il perseguimento di scopi concernenti la propria attività e, pertanto, non può che assumere il ruolo di titolare del trattamento.

Nella seconda ipotesi, l'Agente riveste la qualifica di responsabile relativamente alle attività di trattamento eseguite “per conto” dell'impresa assicurativa attenendosi ai compiti attribuiti dalla Compagnia nei termini di cui all'art. 28 GDPR.

Da ultimo, nella terza fattispecie (contitolarità), l'Agente agisce in qualità di contitolare per quanto attiene i trattamenti condivisi con l'Impresa e disciplinati tramite la sottoscrizione di un accordo di contitolarità ex art. 26 GDPR.

La peculiarità che contraddistingue l'agente assicurativo, come si vedrà più diffusamente nel prosieguo, consiste, pertanto, nella possibilità per il medesimo di poter assumere, se del caso, anche contemporaneamente le qualificazioni sopra citate (titolare, responsabile e contitolare) a seconda delle specificità delle concrete attività di trattamento svolte e alla luce dei diversi rapporti intercorrenti con le singole Compagnie.

Anche l'EDPB ha evidenziato questo concetto al paragrafo 26 delle Linee guida 07/2020: “La necessità di una valutazione fattuale significa anche che la titolarità di un trattamento non deriva dalle caratteristiche soggettive di chi tratta i dati, ma dalle attività concretamente svolte da tale soggetto in un contesto specifico. In altre parole, uno stesso soggetto può agire contemporaneamente in qualità di titolare del trattamento per determinate operazioni di trattamento, e in qualità di responsabile del trattamento per altre operazioni; inoltre, la qualifica di titolare o di responsabile del trattamento va valutata in relazione a ciascuna specifica attività di trattamento dei dati”.

Sul tema, è d'obbligo richiamare quanto sottolineato dall'Autorità Garante che, il 13 dicembre 2018, in ordine al ruolo “privacy” degli agenti di assicurazione, aveva rimarcato “la complessità dell'inquadramento di tale figura nell'alveo della disciplina del GDPR, certamente non identificabile aprioristicamente nel solo ruolo di “titolare autonomo” del trattamento (o dei trattamenti) nell'ambito della c.d. “catena assicurativa”; al contrario, la possibilità di rivestire ruoli diversi sotto il profilo della disciplina di protezione dei dati personali (responsabile o contitolare del trattamento) appare connaturata, e non può che dipendere, dall'atteggiarsi concreto dei rapporti intercorrenti tra le parti”.

a) L'agente assicurativo quale autonomo titolare del trattamento

L'agente di assicurazioni quando determina autonomamente le finalità e i mezzi del trattamento di dati personali degli interessati (ovvero “il perché” e “il come” del trattamento) assume ovviamente il ruolo di autonomo titolare (art. 4, par. 1, n. 7) GDPR).

In specie, a titolo meramente esemplificativo, si pensi ai trattamenti eseguiti dall'intermediario nel contesto dell'attività distributiva svolta per conto di una pluralità di Compagnie (c.d. “plurimandato”)  o delle collaborazioni orizzontali con altri intermediari di primo livello (iscritti nelle sezioni A, B e D o nell'Elenco annesso del Registro Unico degli Intermediari assicurativi); ai trattamenti effettuati con propri strumenti informatici; alle attività di trattamento dei dati dei propri dipendenti, collaboratori e fornitori e ai trattamenti finalizzati allo svolgimento di autonome iniziative di carattere promozionale e commerciale.

In questi casi, l'Agente è responsabile autonomo della compliance dei trattamenti effettuati alle prescrizioni in materia e sarà tenuto ad informare l'interessato ai sensi degli artt. 13 e 14 GDPR (e dall'interessato – ove necessario – dovrà acquisire il consenso nei casi previsti dalla normativa) tramite una propria modulistica nonché ad assumere le misure tecniche e organizzative di sicurezza in conformità con il principio di accountability.  Nello specifico, per quanto attiene il trattamento da parte dell'Agente dei dati personali dei clienti e dei potenziali clienti (“prospect”), per quanto sopra rappresentato, sotto il profilo squisitamente pratico, qualora l'intermediario rivesta la qualifica di titolare, veicolerà all'interessato sia il “proprio” modulo di informativa e consenso per i trattamenti effettuati in autonomia, sia quello fornito dalla Compagnia per i termini di trattamento svolti secondo le prescrizioni della mandante e/o un modulo “condiviso” con l'Impresa nelle fattispecie di contitolarità in considerazione dei diversi rapporti  instaurati con la/le Compagnia/e.

b) L'agente assicurativo nella veste di responsabile del trattamento

Per quanto concerne la figura del responsabile cui all'art. 28 GDPR, due sono i requisiti per la ricorrenza della sua qualifica: deve trattarsi di un'entità separata dal titolare e che tratti i dati personali per conto del titolare.

Sul piano concreto dei rapporti tra Compagnia e rete di distribuzione, si rappresenta che l'Agente viene designato dall'Impresa quale responsabile del trattamento dei dati per lo svolgimento delle attività disciplinate  dal contratto di agenzia.

Il ruolo di responsabile, in particolare, si realizza quando l'Agente opera quale “longa manus” dell'Impresa (titolare del trattamento). Si pensi, a titolo esemplificativo, all'ipotesi in cui l'intermediario, nell'emettere un contratto assicurativo, tratta i dati personali conferiti dal cliente attraverso i sistemi informatici messi a disposizione dalla Compagnia, oppure, ancora, alle attività di trattamento svolte nella gestione di un sinistro. In questi casi il distributore tratta i dati nel rispetto delle istruzioni impartite dall'Impresa mandante nei termini di cui all'art. 28 GDPR ai fini dell'esecuzione delle attività previste dal mandato conferitogli.

Il suddetto ruolo di responsabile non contrasta, pertanto, come sopra accennato con le figure di titolare o contitolare del trattamento in quanto la possibilità che l'Agente ricopra profili differenti e “paralleli” scaturisce dalle attività concretamente svolte dall'intermediario e dalla peculiarità dei rapporti instaurati con le Compagnie.

c) L'agente assicurativo quale contitolare del trattamento

Nella fattispecie di contitolarità di cui all'art. 26 GDPR, l'Agente condivide con la Compagnia assicurativa la determinazione delle finalità e dei mezzi di trattamento dei dati. Sul concetto di contitolare le “Guidelines 07/2020” precisano che la contitolarità può assumere la forma di una comune decisione presa da due o più entità o derivare da decisioni convergenti di due o più entità per quanto riguarda gli scopi e i mezzi essenziali del trattamento.

Nell'accordo di contitolarità, Compagnia e Agente regolano la partecipazione alla determinazione delle finalità e dei mezzi del trattamento e la ripartizione di obblighi e responsabilità (art. 26, par. 1, cit.).

L'accordo di contitolarità, inoltre, definisce gli obblighi dell'impresa e dell'intermediario assicurativo con particolare riguardo all'esercizio dei diritti dell'interessato, nonché i rispettivi ruoli nella comunicazione delle informazioni agli interessati (art. 26, par. 1, cit.). A tal fine, l'accordo tra i contitolari può individuare un punto di contatto per gli interessati, i quali, comunque, potranno esercitare i propri diritti nei confronti di ciascun titolare del trattamento.

Più precisamente, i contitolari sono tenuti a determinare in modo trasparente e coordinare le rispettive responsabilità per il rispetto degli obblighi previsti dal Regolamento, stabilendo "chi fa cosa", decidendo tra di loro chi dovrà svolgere i compiti al fine di garantire che il trattamento sia conforme alla normativa applicabile e agli obblighi previsti dal GDPR in relazione al trattamento congiunto in questione.

Specificatamente, seguendo le indicazioni dell'EDPB, alcuni accorgimenti operativi che le Compagnie e gli Agenti (nella veste di contitolari del trattamento) dovrebbero considerare nella stesura degli accordi di contitolarità e nella determinazione delle rispettive responsabilità, possono essere così delineati:

  • l'esercizio dei diritti dell'interessato (art. 15 e ss. cit.): per esempio, l'accordo di contitolarità potrebbe prevedere la gestione da parte della Compagnia delle richieste di esercizio dei diritti indirizzate all'Agente da parte dell'interessato nel contesto delle attività di trattamento svolte nel regime di contitolarità, all'interno degli applicativi informatici/sistemi IT messi a disposizione per il collocamento dei prodotti;
  • gli obblighi di prestare le informazioni di cui agli artt. 13 e 14 cit.: sul punto, deve significarsi che una soluzione conosciuta e applicata nel settore assicurativo è quella di fornire alla clientela un modulo di informativa e consenso unico, “condiviso” tra i contitolari (tale modalità applicativa, infatti, ha il pregio di evitare la duplicazione di adempimenti informativi nei confronti dell'interessato);
  • le misure di sicurezza (art. 32 cit.): al riguardo, Agente e Compagnia dovranno definire puntualmente i termini di responsabilità della sicurezza dei dati trattati nel perimetro della contitolarità sui sistemi informatici/applicativi IT concessi in uso dall'Impresa all'intermediario per la distribuzione dei prodotti;
  • la notifica di una violazione dei dati personali all'autorità di controllo e all'interessato (artt. 33 e 34 cit.): fermo restando la necessità di mettere nero su bianco  una procedura ad hoc, una soluzione applicativa potrebbe consistere nel prevedere che la Compagnia si faccia carico della gestione dei data breach che dovessero verificarsi sulle piattaforme tecnologiche fornite all'Agente, prevedendo obblighi di immediata informativa qualora l'intermediario venga a conoscenza di una violazione di dati sui predetti sistemi;
  • i contatti con gli interessati e le autorità di controllo: i contitolari, per esempio, potrebbero individuare un punto di contatto univoco per gli interessati per l'esercizio dei diritti da artt. 15 a 22 GDPR e prevedere un supporto operativo della Compagnia per quanto concerne la gestione e la definizione di eventuali richieste che dovessero pervenire all'Agente dall'Autorità Garante.

Occorre a questo proposito, infine, precisare che, relativamente al trattamento dei dati personali dei clienti e dei potenziali clienti, dal punto di vista pratico-operativo, qualora l'Agente rivesta la qualifica di contitolare con l'impresa assicurativa, nelle suindicate fattispecie, ecco che, quindi, l'interessato riceverà un modulo di informativa e consenso reso dall'intermediario nella veste di autonomo titolare (per quanto attiene i trattamenti svolti autonomamente) e quello “condiviso” con la Compagnia, fornito dall'Agente quale contitolare (che indica all'interessato i trattamenti svolti dall'Agente e dall'Impresa nel perimetro della contitolarità) o di responsabile (mediante l'utilizzo dell'informativa fornita dall'Impresa) in considerazione della differente natura dei rapporti instaurati con le Compagnie per cui distribuisce prodotti assicurativi.

In conclusione

Al fine di declinare correttamente l'applicazione del GDPR con riguardo ai trattamenti svolti nell'ambito della cosiddetta “catena assicurativa”, occorre anzitutto sottolineare che i concetti di titolare, contitolare e di responsabile del trattamento sono concetti “funzionali”: si basano, quindi su un'analisi fattuale piuttosto che formale. E' necessario, come precisato dall'EDPB nelle Linee guida 07/2020, pertanto, per identificare correttamente il ruolo svolto dall'Agente sotto il profilo della disciplina in materia di protezione dei dati,  valutare, caso per caso, le attività effettuate dal medesimo in un contesto specifico. Attesa la molteplicità e la variegata specificità dei trattamenti posti in essere nel settore assicurativo e della distribuzione assicurativa, la possibilità che l'agente assicurativo assuma contemporaneamente ruoli diversi e sovrapponibili tra loro discende inevitabilmente dalle attività di trattamento dei dati concretamente svolte e dai rapporti e dalle specifiche relazioni instaurate con le Compagnie assicurative.

Detta circostanza riveste, infine, grande importanza anche in merito ai profili di responsabilità in materia di adozione delle misure di sicurezza tecniche e organizzative cui all'art. 32 GDPR. A questo proposito, si precisa che, da un lato, infatti, deve richiamarsi l'obbligo dell'intermediario di uniformarsi alle misure prescritte nell'atto di designazione a responsabile fornito dalla Compagnia e, dall'altro, per quanto concerne le attività di trattamento svolte autonomamente, a tutte quelle adeguate misure di sicurezza di tipo tecnico e organizzativo che lo stesso dovrà assumere sulla base di una preventiva attività di “risk assessment” della propria struttura distributiva. Si pensi, per esempio, alle misure di sicurezza che dovrà adottare l'Agente per quanto attiene i propri applicativi e/o sistemi informatici, ovvero alle cautele e ai presidi che l'intermediario dovrà assumere per il trattamento dei dati (anche particolari) dei dipendenti e collaboratori.

Guida all’approfondimento

R. Floreani e S. Petrussi, Il GDPR in ambito assicurativo (parte prima), Giuffrè Francis Lefebvre, Milano, 2022.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Ruoli data protection e profili di responsabilità dell’agente assicurativo
Guida all’approfondimento