ISSN 2039 - 6937  Registrata presso il Tribunale di Catania
Anno XIV - n. 12 - Dicembre 2022

  Studi



Prodotti assicurativi e tutela privacy: il parere dell'autorità garante per la protezione dei dati personali fa luce sulla responsabilità degli intermediari finanziari.

Di Anna Laura Rum
   Consulta il PDF   PDF-1   

Prodotti assicurativi e tutela privacy: il parere dell'autorità garante per la protezione dei dati personali fa luce sulla responsabilità degli intermediari finanziari.

Commento al parere dell’Autorità Garante per la protezione dei dati personali del 18 maggio 2022.

Dì ANNA LAURA RUM

 

 

L’Autorità Garante per la protezione dei dati personali, lo scorso 18 maggio 2022, ha rilasciato un parere su un tema particolarmente delicato e ricorrente, quale il corretto inquadramento soggettivo degli intermediari finanziari che collocano prodotti assicurativi, sotto il profilo della protezione dei dati personali dei clienti assicurati.

Ai sensi dell'art. 28 del Regolamento UE 679/2016 (c.d. GDPR), nel collocamento di prodotti assicurativi, gli istituti di credito operano quali titolari del trattamento dei dati personali, con la sola eccezione per l'attività di archiviazione della documentazione per conto della compagnia di assicurazione, in relazione alla quale essi assumono, di regola, il ruolo di responsabile.

Secondo l'Autorità Garante per la protezione dei dati personali, gli istituti di credito devono essere qualificati come responsabili del trattamento anche quando collocano prodotti assicurativi per conto di compagnie assicuratrici terze: in questa circostanza, non rileverebbe, quindi, il disposto dell’art. 58, comma 1, del Regolamento IVASS n. 40/2018, in forza del quale i distributori di polizze assicurative sono tenuti a raccogliere i dati personali degli interessati al fine di valutare la coerenza dei prodotti proposti con le richieste e le esigenze degli interessati medesimi, assegnando direttamente loro il compito di effettuare un'attività valutativa, come tale caratterizzata da un margine di responsabilità più assimilabile al ruolo di titolare di trattamento, che a quello di responsabile del trattamento.

Il Regolamento UE 679/2016 definisce, infatti, titolare di trattamento "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali", mentre definisce responsabile del trattamento "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento".

Nello specifico, il titolare del trattamento è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati, nonché la responsabilità generale (c.d. accountability) sui trattamenti posti in essere dallo stesso o da altri per suo conto, in qualità di responsabili del trattamento.

Il Garante Privacy, con il parere in esame, ha sottolineato che il citato articolo 58 del Regolamento IVASS n. 40/2018, deve interpretarsi nel senso di attribuire ruolo di titolare di trattamento in capo alla sola compagnia di assicurazione: le imprese assicurative devono impartire agli intermediari e ai dipendenti di cui si avvalgono per la distribuzione dei prodotti assicurativi istruzioni idonee a guidare i medesimi nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti in relazione alla tipologia di contratto offerto.

Nel rendere il parere, il Garante ha, infine, evidenziato la necessità che il ruolo svolto dall’istituto bancario nel collocamento di polizze assicurative sia adeguatamente indicato all’interno delle informative fornite agli interessati.