Il Garante della privacy, con parere del 18 maggio scorso Prot. U.0027269.18.05.2022 , ha chiarito che con riferimento ai trattamenti di dati personali effettuati nell’ambito dell’attività di distribuzione di polizze assicurative da parte degli istituti bancari, la compagnia opera in qualità di titolare del trattamento. Le banche operano, invece, in qualità di responsabili del trattamento.
Il parere del Garante è stato reso accogliendo la richiesta di una compagnia assicurativa che, rifacendosi al modello distributivo c.d. bancassurance, ha sostenuto che le operazioni di trattamento poste in essere dalle banche per il collocamento delle polizze assicurative sono effettuate dalle stesse, per conto della compagnia, in qualità di responsabili del trattamento. Il Garante si è dunque pronunciato in senso contrario a quanto sostenuto da alcuni istituti di credito, secondo i quali, nello svolgimento della suddetta attività di intermediazione, gli stessi opererebbero quali titolari del trattamento, a eccezione dell'attività di archiviazione della documentazione per conto della compagnia, in relazione alla quale assumerebbero il ruolo di responsabili ex articolo 28 Reg. 2016/679 “GDPR” . Le ragioni poste alla base della decisione Il Garante ha preliminarmente richiamato le definizioni di titolare e responsabile del trattamento contenute nel GDPR, nonché quanto stabilito dalle “Linee guida sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” adottate il 7 luglio 2021 dall'EDPB, ribadendo che la ripartizione dei ruoli deve essere determinata sulla base delle attività effettivamente svolte in una situazione specifica, piuttosto che sulla base della mera designazione formale ad esempio, quanto contrattualmente stabilito . Sulla scorta di tale premessa, l'Autorità, al fine di giungere alle proprie conclusioni, ha ritenuto, tra l'altro, particolarmente rilevante quanto previsto dall'articolo 58 del Regolamento IVASS numero 40/2018 in materia di valutazione delle richieste ed esigenze del contraente e dei relativi obblighi precontrattuali posti in capo agli intermediari e in particolare, quanto previsto al comma 3 del medesimo articolo, il quale stabilisce che «le imprese [numero d.r. assicurative], per ciascun prodotto distribuito, impartiscono agli intermediari e ai dipendenti di cui si avvalgono per la distribuzione dei prodotti assicurativi, istruzioni idonee a guidare i medesimi nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti in relazione alla tipologia di contratto offerto». Secondo l'Autorità è lo stesso articolo 58 del Regolamento IVASS a fissare i principi che regolano i rapporti tra la compagnia assicurativa e l'intermediario nei termini di un rapporto tipico titolare/responsabile del trattamento. Infatti, da un lato, la discrezionalità dell'intermediario con riferimento alla determinazione delle finalità e dei mezzi del trattamento è limitata normativamente in quanto è la stessa norma a indicare quali sono le informazioni che l'intermediario deve raccogliere per valutare le richieste ed esigenze del contraente dall'altro, il citato comma 3 riduce ulteriormente il margine di autonomia del ruolo del distributore, ponendo in capo alla compagnia assicurativa il compito di impartire all'intermediario le istruzioni idonee a guidarlo nella fase precontrattuale di acquisizione delle informazioni. Testualmente il comma recita così «Le imprese, per ciascun prodotto distribuito, impartiscono agli intermediari e ai dipendenti di cui si avvalgono per la distribuzione dei prodotti assicurativi, istruzioni idonee a guidare i medesimi nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti in relazione alla tipologia di contratto offerto». Il Garante ha quindi sostenuto che, in questa prospettiva, l'attività di intermediazione posta in essere dalla banca si configuri come un'attività strumentale alla finalità perseguita dalla compagnia assicurativa. La portata del provvedimento estensibilità analogica soggettiva e oggettiva Il punto di discussione ora diventa per interpretazione analogica, logica e sistematica, l'analisi che i vari operatori del mercato faranno di tale decisione quanto è estendibile a tutti gli intermediari la suddetta sottoposizione del sistema bancario, in quanto distributore assicurativo, al ruolo di responsabile del trattamento dei dati personali? Con il parere in commento il Garante è finalmente intervenuto all'interno di un dibattito da sempre molto accesso tra imprese assicuratrici e intermediari e non si tratta del mero ambito bancario. Sono anni che le varie categorie rappresentative degli interessi degli intermediari chiedono all'Autorità interventi chiarificatori ricordo a memoria incontri di pochi anni orsono tra i rappresentanti del Sindacato Nazionale Agenti e il Garante . Non è un segreto che compagnie e intermediari, soprattutto a seguito dell'entrata in vigore del GDPR, si siano confrontanti spesso con una certa durezza proprio sulla qualificazione dei rispettivi ruoli privacy. Non solo. A volte, all'interno della stessa area di interessi, sorgono posizioni contrapposte il Sindacato Nazionale Agenti rappresentativo di tutta la categoria è politicamente contro gli accordi di contitolarità basti verificare la letteratura di news in materia sul sito di riferimento , mentre molti gruppi agenti rappresentativi a livello nazionale degli agenti di quella specifica compagnia hanno firmato accordi di contitolarità. Si dirà, come fa ad interpretarsi uniformemente una normativa se non solo vi è contrapposizione di vedute tra i mondi separati di compagnie e intermediari, ma la stessa contrapposizione frontale è rinvenibile all'interno della stessa categoria di intermediari? Alla luce di ciò, una delle prima domande che ci si può porre per tentare di verificare la percorribilità di soluzioni giuridiche oggettive e incontestabili è se quanto statuito dal Garante con riferimento alle attività degli intermediari bancari iscritti in sezione D del Rui possa soggettivamente applicarsi per via analogica anche ad altre categorie di intermediari quali agenti assicurativi iscritti in sezione A e broker di assicurazione iscritti in sezione B . Ciò con una premessa parlare di soluzioni giuridiche oggettive e incontestabili in un contesto in cui è stato veicolato e reso vigente il principio di accountability che dovrebbe concedere la libertà di trattare i dati nella forma ritenuta più opportuna da titolari e responsabili è evidentemente un ossimoro. Che rispetto infatti può esservi dell'autonomia derivante dal processo di accountability, reso sempre nel rispetto delle finalità concrete perseguite, se, per reinterpretazione postuma del Garante tutto “il castello” dell'assessment di un titolare o di due contitolari o di un responsabile, può crollare da un momento all'altro? D'altra parte così è, come ricorda lo stesso Garante pag. 5 del provvedimento , laddove cita le “Linee guida sui concetti di Titolare e Responsabile del trattamento ai sensi del GDPR” dell'EDPB European Data Protection Board che precisano come i due concetti siano “funzionali” ovvero determinati sulla base dell'attività svolta effettivamente in una situazione specifica piuttosto che sulla base della mera designazione formale il che suona più o meno così “cari titolari, scrivete pure quello che volete, tanto noi possiamo sempre reinterpretare i vostri accordi sui dati”. Con buona pace dell'accountability. Ma torniamo alla possibilità estensione del ruolo imposto ora agli intermediari D alle altre categorie di intermediari. Per quanto riguarda i broker si rileva totale discrasia tra le premesse del provvedimento, la sua motivazione e il ruolo dei broker stessi. Il Garante muove in premessa dai contratti di distribuzione bancaria dei prodotti assicurativi tra compagnie e banche e dal ruolo sottoposto, direzionato che da tali contratti emerge in capo alle banche. Nulla di ciò avviene per i broker e anche l'art 58 comma 3 parla di «istruzioni rese agli intermediari di cui si avvalgono» per quanto riguarda le compagnie. Istruzioni che non sono confacenti al rapporto che instaura tra compagnie e broker. In altre parole, l'indipendenza del broker è salvifica rispetto ad una automatica estensione del ruolo di responsabile in capo al broker stesso. Il che non significa prendere posizione in queste tre pagine sul ruolo privacy del broker stesso. Per quanto riguarda gli agenti, vale lo stesso fatto che la premessa del provvedimento analizza le caratteristiche del rapporto contrattuale tra compagnie e banche, non il mandato di agenzia. Occorrerebbe quindi verificare quante delle suddette caratteristiche, denominate nei punti da a ad h all'interno del parere, siano effettivamente presenti nel mandato di agente. Chiaramente l'articolo 58 nel suo complesso è applicabile, in via interpretativa agli agenti che devono sottostare alle istruzioni della preponente, ma è pur vero che il Garante nel giustificare il provvedimento cita elementi peculiari dell'intermediario bancario a Gli articoli 47 del Reg. 40/2018 e l'articolo 119 CAP b Il fatto che gli istituti di credito possano distribuire solo prodotti standardizzati, il che li rende, ad evidenza, sottoposti alla totale direzione e controllo della preponente. D'altra parte, il Garante nel giungere alle proprie conclusioni ha prevalentemente fatto leva se non esclusivamente su quanto previsto dall'articolo 58 Reg. IVASS numero 40/2018. Come noto, tale norma è indiscutibilmente applicabile tanto agli intermediari D quanto agli intermediari A e, in effetti, le caratteristiche del rapporto soggettivo tra compagnie e istituti di credito, sono rinvenibili – in maggior parte se non completamente - oltre che nel contratto tra essi, anche nel mandato di agenzia. Peraltro, nel testo del parere si leggono sia motivazioni o argomentazioni che possano condurre a ritenere che il ragionamento operato dall'Autorità debba limitarsi alla particolare attività di intermediazione effettuata dagli istituti di credito, con conseguente esclusione di tutti gli altri intermediari assicurativi, sia riferimenti che potrebbero portare ad una potenziale applicazione di quanto statuito dall'Autorità nei confronti degli intermediari D, anche ad altre categorie di intermediari. La mia conclusione è che tale estensione soggettiva non possa essere effettuata in quanto carente dei minimi canoni logico-interpretativi, in quanto se vi sono contraddizioni o letture interne al provvedimento che tendenzialmente possono portare a conclusioni opposte, in ogni caso, nessuna interpretazione analogica è plausibile in salvezza del principio di certezza del diritto. Piuttosto che il Garante si esprimesse apertamente anche sulle altre categorie di intermediari, dovendo ad oggi l'interprete soffermarsi con rigidità sull'applicazione del principio alla sola categoria di intermediari individuata gli istituti di credito. Rimanendo appunto nel mondo degli istituti finanziari, occorre altresì chiedersi se la pronuncia in parola possa trovare un'estensione anche dal punto di vista oggettivo. In particolare, ci si domanda se tale ripartizione dei ruoli privacy possa valere anche con riferimento alla materia del credito al consumo, rispetto alla quale esistono norme simili a quelle previste Regolamento numero 40/2018, che rendono evidente il ruolo di subordinazione del distributore. In questo caso la risposta è certamente, a mio parere, negativa. Infatti, il Garante, nel fornire il proprio parere, ha fatto espresso riferimento alla normativa IVASS e alla distribuzione assicurativa, utilizzando argomentazioni strettamente connesse al dato letterale delle disposizioni regolamentari. Per il momento, non sussistono, pertanto, particolari ragioni che dovrebbero spingere gli operatori a effettuare un'estensione di compliance volontaria in materia di credito al consumo a quanto previsto per il mondo assicurativo. Conclusioni sempre minor spazio per il principio di Accountability Lo abbiamo già accennato, ma il tema è centrale e occorre concludere con un ulteriore cenno al principio di responsabilizzazione, alla sua relatività e ai rischi di sanzioni connessi. Indipendentemente dagli impatti che la decisione del Garante assumerà con riferimento tanto al mondo degli intermediari finanziari, quanto a quello degli intermediari assicurativi, ciò che è certo sin d'ora è che l'accountability, quale principio e guida per gli operatori in ambito privacy sta subendo dei duri colpi proprio per mano dell'Autorità di controllo. La stessa, infatti, sulla base di valutazioni astratte e generali come nel caso in esame , tende ormai sempre più a pronunciarsi nel merito in decisioni che, al contrario, dovrebbero essere prese dai singoli soggetti coinvolti nel trattamento dei dati sulla scorta di valutazioni effettuate in concreto, come peraltro suggerito dalle stesse Linee guida dell'EDPB sopra citate. Così proseguendo, si rischia, invece, di andare verso la nascita di un sistema ibrido, in parte fondato sull'accountability e in parte sulla tassatività fornita dall'Autorità di controllo, all'interno del quale le valutazioni di compliance diventeranno sempre più difficili e incerte, con conseguente aumento dei rischi sanzionatori.
Garante Privacy, parere 18 maggio 2022