Gli Intermediari e l'obbligo di nomina del D.P.O. (Data Protection Officer). - Il Broker.it

Gli Intermediari e l’obbligo di nomina del D.P.O. (Data Protection Officer).

GLI INTERMEDIARI ASSICURATIVI E L’OBBLIGO DI NOMINA DEL D.P.O. (Data Protection Officer). Avv. Fabio Quadri.

Il Regolamento Europeo sulla protezione dei dati personali n. 2016/679 ha previsto, in determinati casi, sia per gli enti pubblici sia per le aziende private, la designazione del Data Protection Officer (DPO), anche detto Responsabile per la Protezione dei Dati personali (RPD).

In particolare, il Considerando 97 sancisce che: «Il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati».

Ai sensi dell’art. 37, par. 1, del Regolamento (UE) 2016/679, la nomina di un RPD è obbligatoria in tre casi specifici:

  1. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  2. se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  3. se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati personali5 o di dati relativi a condanne penali o reati.

 

L’art. 4, par. 7, del GDPR stabilisce inoltre che il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali». Quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento, l’art. 26 gli impone di definire, mediante accordo, le rispettive responsabilità in merito all’osservanza degli obblighi, all’esercizio dei diritti dell’interessato e all’informativa.

Quindi, le imprese d’assicurazione e gli intermediari determinano congiuntamente finalità e mezzi del trattamento dei dati personali dei propri, rispettivi clienti, stabilendo le responsabilità ed i compiti sull’osservanza degli obblighi derivanti dal GDPR.. Gli intermediari quando trattano dati personali per conto della Compagnia (Titolare del trattamento) divengono anche Responsabili del trattamento. Quando invece trattano i dati per conto proprio diventano essi stessi titolari del trattamento.

Si è già ricordato che la lettera b), par. 1, dell’art. 37 del Regolamento europeo richiede la nomina del RPD quando le attività principali del titolare del trattamento o del responsabile del trattamento «consistono in trattamenti che per loro natura richiedono il monitoraggio regolare e sistematico degli interessati su larga scala». Il «monitoraggio regolare e sistematico» viene definito come il monitoraggio effettuato periodicamente o in via continuativa.

 

Ribaditi tali concetti normativi, si deve anche rammentare che, in ossequio alle garanzie del rispetto dei diritti e delle libertà fondamentali dell’individuo, il GDPR si fonda su pochi ma precisi principi, primo fra tutti quello dell’accountability, ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. In sostanza, con il GDPR si è passati dall’imporre delle “forme” ben precise per adempiere alla tutela della privacy alla “sostanza”, non imponendo la redazione di meri atti formali ma dall’essere in grado di avere “sostanzialmente” posto in essere procedure, comportamenti e strumenti idonei alla protezione concreta dei dati. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Sennonchè tale concetto non è stato del tutto compreso da molti operatori e, ritengo, sia stato quasi del tutto ignorato dagli intermediari assicurativi che hanno affrontato l’entrata in vigore del GDPR come un ulteriore mero adempimento burocratico limitandosi a ciò che le proprie mandanti imponeva o ha imposto loro di fare.

In questo contesto, non risulta che gli intermediari assicurativi abbiano proceduto alla nomina dei D.P.O., anchè perchè si sono lasciati probabilmente fuorviare dalle linee guida pubblicate dal Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793#3) il quale ha così precisato: ” 3. Chi sono i soggetti privati obbligati alla sua designazione? Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento”.

Datosi che il Garante, pur avendo precisato che l’elenco era a mero titolo esemplificativo, si è limitato ad indicare fra i soggetti che hanno l’obbligo della nomina del D.P.O. le imprese assicurative ma non gli intermediari, questi ultimi hanno, a mio modo erroneamente, ritenuto di essere esclusi da tale obbligo.

Sennonchè, a questo punto ci si dovrebbe chiedere se gli intermediari assicurativi effettuino trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali.

Ritengo che si debba distinguere fra le tipologie di intermediari assicurativi, ovvero fra coloro che sono iscritti alla sezione A del RUI (Il RUI è stato istituito dal Codice delle Assicurazioni, in attuazione della Direttiva 2002/92/CE sull’intermediazione assicurativa), ovvero gli Agenti Generali, coloro che sono iscritti alla sezione B, ovvero i Brokers, da coloro che sono iscritti alla sezione C, ovvero i produttori diretti, ed alla sezione E, i cosiddetti sub-agenti.

Ora, stante la caratteristiche degli intermediari sopra descritti, si può certamente ritenere che i soggetti iscritti alle sezioni C e E, stante la tipologia della loro intermediazione limitata ad un numero di casi modesto, non eseguano certamente trattamenti su larga scala e, pertanto, non abbiano l’obbligo della nomina del D.P.O..

Altrettanto, però, non si può dire per i soggetti iscritti alla sezione A e B i quali, per giungere alla decisione di iscriversi a tali sezioni, salvo rare eccezioni, certamente effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali. A prescindere dal gran numero di clienti (certamente centinaia se non migliaia) gestiti da costoro non si deve ignorare il fatto che sia per la stipulazione di alcune polizze (sanitarie, infortuni, vita), sia per la gestione dei sinistri, gli Agenti e i Brokers devono trattare anche dati sensibili quali quelli sanitari dei clienti.

Pertanto, sembra abbastanza evidente che, anche in applicazione del principio di accountability per costoro è fortemente consigliata la nomina del D.P.O.. La nomina del D.P.O. consentirebbe loro, in caso di violazione della privacy e/o di accertamento, di porsi al riparo da eventuali sanzioni che, rammentiamolo, sono assolutamente rilevanti.

Avv. Fabio Quadri

Non ci sono post correlati.

0 Comments

Leave A Comment

© 2020 Il Broker | P.iva 02610320992 | Privacy Policy | Cookie Policy | Powered by Grownnectia S.r.l.