Adempimenti degli intermediari assicurativi - INSURANCE & GDPR – Come richiedere il consenso al trattamento dei dati? Le linee guida dei Garanti Europei - Avv. Angela Fiorella - Il Broker.it

Adempimenti degli intermediari assicurativi – INSURANCE & GDPR – Come richiedere il consenso al trattamento dei dati? Le linee guida dei Garanti Europei – Avv. Angela Fiorella –

I Garanti europei della privacy, riuniti nel Gruppo di lavoro ex Articolo 29 della Direttiva 95/46 (WP 29) hanno pubblicato in consultazione lo scorso 28 novembre, il documento con le linee guida sul consenso per il trattamento dei dati personali, in vista dell’applicazione del Regolamento 2016/679 (“GDPR”) sulla protezione dei dati da parte degli Stati membri, a partire dal maggio 2018http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48849.

Il consenso dell’interessato, costituisce una delle sei basi giuridiche per trattare lecitamente i dati personali, come indicato nell’articolo 6 del GDPR. Prima di iniziare un’attività di trattamento dei dati personali, è bene che il Titolare del trattamento faccia sempre un’attenta valutazione per comprendere se il consenso dell’interessato sia un’idonea base giuridica per procedere al trattamento dei dati personali, o se invece – nel caso concreto – sia più opportuno ricorrere ad una delle alternative previste dal succitato art. 6, quale ad esempio l’esecuzione di una prestazione contrattuale, l’adempimento ad un obbligo legale, il perseguimento di un legittimo interesse del titolare, o la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

Il WP29 ha precisato che il Titolare del Trattamento deve identificare la condizione che costituisce la base legittima per il trattamento dei dati prima di iniziare le operazioni di trattamento, e tale condizione non può mutare nel corso delle operazioni del trattamento. In pratica, a titolo esemplificativo, nel caso in cui non sia stato possibile acquisire il consenso dell’interessato, o se il consenso acquisito dovesse risultare privo di validità, non è corretto identificare retroattivamente il legittimo interesse del Titolare, quale base giuridica del trattamento dei dati.  Pertanto, i Titolari del trattamento che chiedono il consenso di un soggetto interessato all’uso dei dati personali non possono in linea di principio utilizzare le altre basi legittime dell’articolo 6 del GDPR come “riserva” per giustificare le operazioni di trattamento dei dati personali eseguite, quando non sono in grado di dimostrare che l’interessato ha prestato un consenso conforme ai requisiti prescritti dal Regolamento, o in caso di revoca del consenso.

Per citare un esempio pratico, si pensi ad un’informativa privacy in cui ai fini della quotazione di un preventivo di una polizza assicurativa per la responsabilità civile auto, si identifica il consenso reso dall’interessato quale base giuridica per le operazioni di raccolta e trattamento dei dati personali. Nel caso in cui l’intermediario o l’impresa assicurativa non raccolga debitamente il consenso dell’interessato, non si potrà invocare in un secondo momento l’adempimento degli obblighi normativi previsti in materia assicurativa (art 6, comma 1 lettera c) del GDPR) quale base giuridica del trattamento dati eseguito, sebbene tale operazione risulti indispensabile ai fini della conclusione del contratto assicurativo R.C. auto e dell’adempimento dei connessi obblighi normativi di cui all’art. 131 comma 2 e art. 132, commi 1 e 3, del d.lgs. n. 209/2005.

Nei casi in cui il consenso risulti la base giuridica più appropriata per giustificare il trattamento dei dati personali, il Titolare del trattamento dovrà valutare se questo è stato ottenuto e raccolto nel rispetto dei rigorosi requisiti prescritti dal GDPR. In caso contrario, posto che l’interessato sarebbe privo di un’effettiva possibilità di controllo delle informazioni e dei dati forniti, il consenso costituirà una base non valida per le operazioni di trattamento, le quali risulteranno illegittime.

Per cogliere meglio il concetto, consideriamo l’esempio dell’impresa assicurativa che ha venduto tramite il proprio sito web una polizza per l’assicurazione casa al Sig. Rossi, il quale ha acconsentito, mediante una funzionalità di “opt-in” presente sul sito web, al rinnovo automatico della polizza acquistata alla scadenza dell’annualità. Alla scadenza dell’annualità, l’impresa assicurativa invia al Sig. Rossi la documentazione per il rinnovo della polizza casa. In tale contesto, può la medesima impresa assicurativa promuovere con il Sig. Rossi una polizza RC Auto, o deve acquisire il consenso per il trattamento dei dati per finalità commerciali, in sede di rinnovo della polizza casa? Posto che l’invio di comunicazioni commerciali, o anche l’invio di newsletters, richiede la presenza del consenso esplicito del Sig. Rossi, è necessario acquisire il consenso del cliente. Infatti, qualora il soggetto Titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti – che nel caso di specie risulta essere l’acquisto di una polizza per l’assicurazione casa – prima di tale ulteriore trattamento, il Titolare deve sempre fornire all’interessato informazioni in merito a tale diversa finalità. Si dovrebbero inoltre evitare formule di consenso troppo generiche, quali ad esempio “presta il consenso a ricevere comunicazioni promozionali”, per garantire agli interessati il pieno controllo sui dati personali che li riguardano.

CONSENSO LIBERO

Il consenso dell’interessato, per essere utilizzato quale idoneo giustificativo del trattamento dei dati, dovrà risultare in una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento

Il WP29 fornisce un interessante approfondimento interpretativo per comprendere quando il consenso è effettivamente reso liberamente, ribadendo che il consenso non costituisce un valido presupposto per il trattamento dei dati personali qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, in considerazione dello squilibrio dei poteri, e rispettivi interessi e diritti delle parti.

Di conseguenza, se l’interessato non è realmente posto in condizione di compiere una scelta, il consenso non potrà essere considerato valido, così come nell’ipotesi in cui all’interessato non è consentito negare o revocare il proprio consenso senza conseguenze negative, quali ad esempio l’addebito di costi o spese aggiuntive, o qualsivoglia situazione di svantaggio posta a carico di quest’ultimo (si veda il Considerando 42 del GDPR). Inoltre, ai fini della valutazione della libera prestazione del consenso, assume rilievo quanto disposto dall’art 7 comma 4 del GDPR, che impedisce di collegare l’esecuzione di un contratto o la prestazione di un servizio alla prestazione del consenso per il trattamento dei dati personali che non sono necessari per l’esecuzione di quel determinato contratto o servizio. Secondo il parere 06/2014 del WP29, il concetto di “necessarietà” deve essere interpretato in maniera restrittiva, occorrendo un collegamento diretto e oggettivo tra il trattamento dei dati e l’esecuzione del contratto, o la prestazione del servizio, come ad esempio la registrazione dell’indirizzo dell’interessato per la consegna dei beni acquistati online, o l’elaborazione dei dettagli della carta di credito per facilitare il pagamento di una determinata prestazione.

Il WP29 adduce il seguente caso pratico:

Un’applicazione mobile per il fotoritocco chiede ai propri utenti di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. L’ applicazione comunica inoltre ai propri utenti che utilizzerà i dati raccolti per scopi di pubblicità comportamentale. Né la geo-localizzazione, né la pubblicità comportamentale online, sono necessari per la fornitura del servizio di fotoritocco e sono pertanto superflui ai fini dell’esecuzione del servizio di base fornito dall’ applicazione. Poiché gli utenti non possono utilizzare l’applicazione senza acconsentire a tali scopi, il consenso non può essere considerato come liberamente prestato.

§  CONSENSO SPECIFICO

Gli interessati devono sempre prestare il consenso per uno specifico scopo di Trattamento dei dati. Secondo quando previsto dal Considerando 32 del GDPR, qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato specificamente per ciascuna di queste. Il medesimo consenso può anche riguardare diverse operazioni di trattamento dei dati, purché tali operazioni abbiano lo stesso scopo.

Il WP29 identifica tre condizioni che il Titolare del trattamento deve rispettare, per garantire l’adesione al principio di specificità del consenso:

1.     Indicazione esatta dello scopo, per evitare fenomeni di utilizzo improprio dei dati

2.     Granularità nelle richieste di consenso

3.     Chiara separazione delle informazioni relative all’ottenimento del consenso per le attività di elaborazione dati, dalle informazioni relative ad altri argomenti

Nel caso in cui sia necessario raccogliere il consenso dell’interessato per più finalità, si dovranno prevedere diverse possibilità di opt-in per ciascuna finalità, in modo da consentire agli utenti di prestare, o negare, il consenso al trattamento dei propri dati per ognuna di esse. Con specifico riferimento al requisito della “granularità”, Occorre precisare infatti che il Considerando 43 del GDPR prevede una presunzione di assenza di libertà di scelta per l’interessato al trattamento dei dati, qualora il processo di raccolta del consenso non preveda delle modalità di accettazione distinte e separate per le diverse operazioni e finalità di trattamento dati personali.

Il consenso può essere prestato anche attraverso mezzi elettronici, attraverso la selezione di un’apposita casella in un sito web, o qualsiasi altra dichiarazione o comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.

L’esempio citato dal WP29 è il seguente:

Una rete TV via cavo raccoglie i dati personali degli abbonati, in base al loro consenso, per suggerire loro la visione di nuovi film a cui potrebbero essere interessati in base alle loro abitudini di visualizzazione. Dopo un periodo di tempo, la rete TV vorrebbe consentire a terzi di inviare pubblicità mirata sulla base delle abitudini di visualizzazione dell’abbonato. In ragione delle nuove finalità di utilizzo dei dati personali degli abbonati, è necessario che la rete TV raccolga un nuovo consenso.

§  CONSENSO INFORMATO

La trasparenza è uno dei requisiti fondamentali da rispettare quando si trattano dati personali, così come la liceità e la correttezza delle operazioni di trattamento. Prima di acquisire il consenso degli interessati al trattamento dei dati, è essenziale fornire agli interessati le informazioni necessarie, che possano consentire loro di capire chiaramente cosa stanno accettando. Se il Titolare del trattamento non fornisce un’informativa facilmente accessibile, il controllo dell’interessato diventa illusorio e di conseguenza il consenso non potrà costituire una corretta base giuridica per il trattamento dei dati.

Il WP29 statuisce che per ottenere validamente il consenso, è necessario fornire all’interessato almeno le seguenti informazioni

(i) l’identità del Titolare del trattamento

(ii) ciascuna finalità per cui è richiesto il consenso al trattamento dei dati personali

(iii) quali dati saranno raccolti e trattati

(iv) l’esistenza del diritto dell’interessato di revocare il consenso

(v) l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e in tali casi, informazioni sulla logica utilizzata, nonché l’importanza e le conseguenze di tale trattamento per l’interessato

(vi) i possibili rischi di trasferimenti di dati verso paesi terzi, in assenza di una decisione di adeguatezza della Commissione e di garanzie adeguate (Articolo 49 (1a)).

Per quanto riguarda i punti (i) e (iii), il WP29 osserva che nel caso in cui il consenso richiesto dovrà essere utilizzato da più Titolari (contitolari), o se i dati devono essere trasferiti o elaborati da altri Titolari che desiderano fare affidamento sul consenso originariamente acquisito, tutti i Titolari del trattamento dovranno essere individuati univocamente nell’informativa resa anche nel loro interesse. I Responsabili del trattamento non devono invece essere necessariamente individuati nel corpo dell’informativa, tuttavia, Titolari del trattamento dovranno fornire su richiesta dell’interessato un elenco completo dei destinatari o delle categorie di destinatari, inclusi i Responsabili del Trattamento, a cui i dati personali sono o saranno comunicati.

Con l’intento di comprendere in che modo il Titolare del trattamento può effettivamente dimostrare di aver reso agli interessati informazioni chiare e perfettamente intellegibili, ai fini dell’acquisizione del consenso al trattamento dei dati, può essere certamente utile consultare il seguente esempio, citato dal WP29:

La società X è un Titolare che ha ricevuto reclami poiché non è chiaro agli interessati per quali finalità verranno utilizzati i dati per i quali questi ha richiesto il consenso al trattamento. La società X desidera pertanto verificare se l’informativa resa agli interessati, ai fini dell’acquisizione del consenso, è di facile comprensione. La società X organizza dei test con gruppi di volontari, che rappresentano le diverse categorie dei propri clienti, ai quali sottopone ogni nuovo aggiornamento delle informative privacy che verranno utilizzate, prima di comunicarle esternamente. La selezione del gruppo dei volontari che prendono parte ai test rispetta il principio di indipendenza e si svolge sulla base di standard che garantiscono un risultato rappresentativo ed imparziale. Il gruppo di volontari riceve un questionario e indica cosa ha compreso del contenuto dell’informativa privacy, e fornisce una valutazione relativa alla chiarezza e pertinenza delle informazioni ricevute. La società X continua i test fino a quando il gruppo di volontari riferisce all’unanimità che le informazioni consultate sono pienamente comprensibili. La società X redige un rapporto dei test e lo mette a disposizione per eventuali future esigenze di consultazione.

§  CONSENSO INEQUIVOCABILE

Il consenso deve essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, mediante dichiarazione scritta, ma anche attraverso mezzi elettronici, o oralmente. A questo proposito, preme evidenziare che anche un’azione fisica può qualificarsi quale azione positiva inequivocabile (es: fai scorrere il dito su questa barra a sinistra per accettare l’uso delle informazioni X per lo scopo Y. Ripeti il movimento per confermare). Si rammenta tuttavia, che l’utilizzo di flag preimpostati in senso positivo, che richiedono l’intervento dell’interessato per rifiutare di aderire a condizioni preimpostate, vizia di per sé la registrazione del consenso, in quanto condiziona la volontà dell’interessato. Il silenzio o l’inattività da parte dell’interessato, non possono considerarsi come un’indicazione attiva di scelta. Il WP29 precisa inoltre chescorrere una pagina web verso il bassoo sfogliare con il dito (swipe) i termini e le condizioni di utilizzo di un servizio, ove si cita anche il consenso all’utilizzo dei dati (pure nei casi in cui sullo schermo appare l’avviso per l’interessato, che lo scroll di pagina comporta il consenso al trattamento dei dati) non costituisce un’azione inequivocabile e positiva. Ciò poiché è altamente probabile che l’avviso possa essere ignorato quando un soggetto scorre rapidamente grandi quantità di testo. Per completezza, va aggiunto che il Titolare dovrà trovare valide soluzioni – se del caso, anche tecnologiche – per dimostrare l’acquisizione del consenso, e che gli interessati dovranno essere messi in condizione di revocare il consenso con la stessa facilità con cui esso è stato prestato. I responsabili ed i titolari del trattamento dovranno quindi mantenere evidenza del consenso acquisito per tutta la durata dell’attività correlata all’operazione di trattamento dei dati, al termine della quale la prova del consenso dovrà comunque essere conservata, al fine di adempiere agli obblighi di legge o per stabilire, esercitare o difendere un diritto in sede giudiziaria.

Occorre ricordare che nel caso in cui il trattamento dei dati personali riguardi dati sensibili o dati giudiziari, o presenti rischi specifici per i diritti e le libertà fondamentali delle persone (ad esempio nel contesto di processi decisionali automatizzati, compresa la profilazione, trasferimenti di dati verso paesi terzi o organizzazioni internazionali in assenza di adeguate garanzie, etc.) è necessario acquisire il consenso esplicito e per iscrittodell’interessato al trattamento di tali dati personali

In un contesto digitale o online, si può per esempio richiedere all’interessato di compilare un modulo e di inviare la dichiarazione di consenso al trattamento dei dati a mezzo e-mail, o attraverso il caricamento di un documento scansionato contenente la firma dell’interessato o ricorrere alla firma elettronica. In teoria anche il consenso al trattamento dei dati reso oralmente potrebbe validamente ritenersi una forma di consenso esplicito, tuttavia, può essere difficile per il titolare del trattamento dimostrare che si è provveduto ad adempiere a tutte le condizioni per l’acquisizione del consenso previste dal GDPR, al momento della registrazione della dichiarazione.

Può essere buona prassi predisporre soluzioni di verifica in due passaggi. Ad esempio il Titolare può inviare una email di notifica al soggetto interessato circa le modalità e finalità di utilizzo dei dati personali raccolti, richiedendo l’invio di una email di risposta contenente la frase “Accetto”. A seguito di tale risposta, l’interessato potrebbe ricevere un link di verifica, che dovrà cliccare, o un messaggio SMS con un codice di verifica, per confermare di aver prestato il consenso al trattamento dei propri dati. 

Per concludere, è bene sottolineare che anche in presenza del consenso dell’interessato al trattamento dei dati, il Titolare è in ogni caso tenuto al rispetto dei principi sanciti dal GDPR, come il principio di correttezza, minimizzazione ed esattezza dei dati trattati, previsti dall’articolo 5. Di conseguenza, anche se un’operazione di trattamento dei dati personali fosse fondata sul consenso prestato dell’interessato, il Titolare non potrebbe raccogliere di dati che non si rendono necessari in relazione allo scopo per il quale sono richiesti.

Angela Fiorella

Business Development & Account Manager– Dekra Italia s.r.l.

Claims & Expertise Services

0 Comments

Leave A Comment