I contenuti dei registri dei trattamenti del distributore assicurativo

Premessa

Il registro delle attività di trattamento dei dati cui all’art. 30, par. 1 e 2 GDPR è uno degli elementi fondamentali per la definizione del quadro di “accountability” dell’intermediario assicurativo. Si tratta di uno strumento, infatti, che consente di “fotografare” un quadro aggiornato dei trattamenti effettuati, necessario per documentarne la conformità al Regolamento. Nel registro, il distributore, per esempio, deve indicare per quali finalità tratta i dati dei clienti, dei dipendenti, dei fornitori (finalità promo-commerciali, amministrative, etc.), quali tipologie di dati sono oggetto di trattamento, specificare i destinatari dei dati e il periodo di conservazione dei medesimi.

Il registro e il ruolo data protection del distributore assicurativo

In particolare, per quanto riguarda gli obblighi dell’intermediario di primo livello, sulla base del “ruolo GDPR” ricoperto, si possono distinguere le seguenti fattispecie:

- titolare autonomo: l’intermediario deve tenere il registro relativo alle attività di trattamento svolte quale autonomo titolare mediante l’utilizzo di un proprio “template”;

- responsabile: in tale veste, l’intermediario deve riportare nel registro “le categorie di attività relative al trattamento svolte per conto” della/e Compagnia/e e le ulteriori informazioni richieste dall’art. 30, par. 2 GDPR;

- contitolare: il distributore è tenuto a inserire nel registro i riferimenti di ambedue i titolari e le fattispecie di trattamento oggetto di contitolarità con la Compagnia e/o con altro intermediario di primo livello (iscritto nella sezione A, B e D del R.U.I.).

La tenuta e l’aggiornamento del registro

Il registro del trattamento deve essere redatto dal distributore assicurativo in forma scritta, anche in forma elettronica e costantemente aggiornato poiché il suo contenuto deve sempre corrispondere ai trattamenti effettivamente svolti.

Il registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. È importante conservare lo “storico” dei registri e le informazioni relative a determinati trattamenti effettuati in un determinato periodo temporale al fine di agevolare gli eventuali controlli dell’Authority.

Al riguardo, non essendo determinate le modalità di compilazione, la creazione di un file excel, per esempio, può costituire una soluzione che consente di descrivere i trattamenti posti in essere in modo dinamico e di aggiornarlo in modo costante.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare/contitolare (art. 30, par. 1) e in quello del responsabile (art. 30, par. 2).

Il registro dell’intermediario quale titolare/contitolare del trattamento

Di seguito si riportano alcune indicazioni esemplificative (e non esaustive) circa i contenuti che devono essere inseriti nel registro delle attività di trattamento effettuate dall’intermediario assicurativo nella veste di titolare/contitolare:

•            il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati: in questa sezione occorre indicare i dati di contatto (nome, indirizzo, e-mail, pec, telefono) dei soggetti in parola;

•            le finalità del trattamento: devono essere individuate puntualmente e distinte per ogni tipologia di trattamento (ad esempio, il trattamento dei dati dei clienti/potenziali clienti per l'esecuzione dell'attività di consulenza e di distribuzione assicurativa; il trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; il trattamento dei dati di contatto dei fornitori per la gestione degli ordini); seppure non espressamente menzionata, si reputa opportuno anche indicare la base giuridica delle attività di trattamento (cfr. art. 6, 9, 10 GDPR, art. 2, ter, sexies e octies del Codice);

•            la descrizione delle categorie di interessati e delle categorie di dati personali: devono essere indicate sia le tipologie di interessati (ad esempio, i clienti, i fornitori, i dipendenti/collaboratori) sia quelle di dati personali oggetto di trattamento (per esempio, i dati anagrafici, i dati relativi alla salute, i dati relativi a condanne penali o reati, etc.);

•            le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali: andranno riportati, anche suddivisi per categoria di appartenenza; ad esempio, le Compagnie assicurative, gli intermediari con cui sono stati eventualmente sottoscritti accordi di collaborazione orizzontale, l’IVASS, gli enti previdenziali, le società di servizi informatici, di archiviazione, i professionisti, i fornitori, etc.;

•            ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate: andrà riportata l’informazione relativa ai trasferimenti e all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del Regolamento (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, etc.);

•            ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati: l’Autorità auspica che siano sempre individuati i tempi di cancellazione per tipologia e finalità di trattamento atteso che i medesimi devono essere indicati nell’informativa da rendere all’interessato (ad esempio, in caso di rapporto contrattuale, i dati saranno conservati per dieci anni dall’ultima registrazione). Qualora non sia possibile stabilire a priori un termine massimo, i tempi di “data retention” potranno essere specificati mediante il riferimento a criteri (per esempio, la disciplina regolamentare di settore);

•            ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1: sarebbe auspicabile secondo il Garante che fosse sempre inserita la descrizione generale  delle misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 GDPR;  l’Autorità, tuttavia, ha precisato che le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, con possibilità di rinviare per una valutazione più dettagliata a documenti esterni di carattere generale (ad esempio, procedure, policy, etc.).

A ciò si aggiunga che nel registro, l’intermediario potrà inserire qualsiasi ulteriore informazione che ritenga utile indicare: ad esempio, l’unità organizzativa, l’ufficio o l’area che effettua i trattamenti; il luogo in cui risiedono i dati (sia fisico, che digitale); le modalità di raccolta del consenso; le eventuali valutazioni di impatto effettuate; l’eventuale adesione a codici di condotta; etc.

Il registro dell’intermediario nella veste di responsabile del trattamento

Per quanto attiene la compilazione del registro delle attività di trattamento svolte dall’intermediario assicurativo nella veste di responsabile, di seguito si elencano alcuni accorgimenti pratici:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati: in questa sezione occorre indicare i dati di contatto (nome, indirizzo, e-mail, pec, telefono) dei soggetti sopraindicati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento: è possibile far riferimento a quanto contenuto nell’accordo sottoscritto con la Compagnia ai sensi dell’art. 28 GDPR (ad esempio, l’attività di distribuzione assicurativa, l’attività di assistenza alla clientela in caso di sinistro, etc.);

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate: sarà necessario specificare l’informazione relativa ai trasferimenti e all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del Regolamento (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, etc.);

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32 cit.: occorre descrivere le misure di sicurezza tecniche e organizzative adottate nel contesto dei trattamenti eseguiti per conto del titolare.

In conclusione

Occorre, pertanto, che, nella pratica, i distributori assicurativi redigano e aggiornino costantemente il/i registro/registri cui all’art. 30 del Regolamento, avendo contezza di “mappare” le attività di trattamento dei dati effettuate tenuto conto puntualmente del ruolo “data protection” da essi ricoperto (titolare autonomo, responsabile, contitolare).

Come recentemente ribadito dal nostro Garante nella versione aggiornata della “Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali” - infatti, “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.