L'istituto bancario è responsabile del trattamento dei dati dei clienti acquisiti per proporre un contratto assicurativo coerente

Con riferimento ai trattamenti di dati personali effettuati nell'ambito dell'attività di distribuzione di polizze assicurative da parte degli istituti bancari, il ruolo di titolare del trattamento va riconosciuto in capo alla compagnia, giacché in questo ambito le banche operano in qualità di responsabili del trattamento.

Con nota del 5 marzo 2021, una Compagnia di assicurazioni chiedeva all'Autorità Garante della Protezione dei dati personali un parere in ordine alla corretta individuazione del ruolo soggettivo da attribuire agli istituti bancari che svolgono attività di distribuzione di polizze assicurative; ciò anche con riguardo al trattamento dei dati relativi alla salute degli interessati (contraenti e assicurati) effettuato mediante la raccolta, gestione, trasmissione e conservazione della documentazione e della modulistica relativa ai contratti di assicurazione delle Compagnie, ivi inclusi i questionari anamnestici.

Il Garante, dopo aver valutato le attività effettivamente svolte dalle Compagnie di assicurazione e dagli Istituti bancari che collocano prodotti assicurativi afferma che “nel rapporto di distribuzione di polizze assicurative, i ruoli soggettivi ricoperti dalla compagnia assicurativa e dalla banca intermediaria appaiono conformi a quelli del rapporto tipico titolare/responsabile del trattamento.In questa prospettiva, l'attività di intermediazione posta in essere dalla banca (e i correlati trattamenti di dati personali che la stessa comporta: raccolta di dati degli interessati e successiva valutazione di coerenza rispetto al prodotto assicurativo che viene proposto), appare configurarsi come un'attività strumentale alla finalità perseguita dalla compagnia assicurativa (la conclusione del contratto di assicurazione con il cliente) e, in quanto tale, può ritenersi effettuata dalla banca, per conto della compagnia, in qualità di responsabile del trattamento.”

Nel descrivere il flusso delle informazioni dal cliente al garante, il Garante afferma che l'istituto bancario è un mero esecutore materiale delle istruzioni impartite dalla Compagnia, che stabilisce dati e modalità di acquisizione, nonché, finalità del trattamento dei dati: valutazione di coerenza (su modulistica preimpostata di compagnia) prodromica alla proposizione di un contratto assicurativo specifico.

In sintesi, esclude la titolarità autonoma del dato in capo all'istituto bancario, giacché egli non regola il flusso dei dati ma lo veicola dalla cliente alla compagnia.

La questione posta all'attenzione del Garante non è di poco momento, perché involge tematiche di estrema attualità, la cui soluzione (oggi proposta), tra l'altro, avrà sicuri riverberi su altre categorie (quale quella degli agenti e dei broker assicurativi), anch'essi parte della catena assicurativa.

Invero al Garante è chiesto di pronunciarsi sul ruolo da riconoscere agli istituti bancari - quali titolari autonomi del trattamento dei dati dei clienti o semplicemente responsabili - allorquando acquisiscono informazioni utili alla conclusione di un contratto assicurativo ai sensi dell'art. 58 co. 1 del Reg. IVASS n. 40/2018.

Il Garante – dopo aver preliminarmente richiamato le definizioni di titolare e responsabile del trattamento contenute nel GDPR, nonché quanto stabilito dalle “Linee guida sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” adottate il 7 luglio 2021 dall'EDPB, ed esaminato le attività effettivamente svolte dalle banche – per escludere che all'istituto bancario possa essere riconosciuto il ruolo di titolare autonomo del trattamento dei dati del cliente, segue un ragionamento sillogistico del seguente tipo:

- premesso che gli istituti bancari in qualità di distributori di prodotti assicurativi “prima di far sottoscrivere una proposta o, qualora non prevista, un contratto di assicurazione, acquisiscono dal contraente le informazioni utili a valutare le sue richieste ed esigenze” (art. 58 co. 1 Reg. Ivas. N. 40/2018)- premessa maggiore

- considerato che “Le imprese, per ciascun prodotto distribuito, impartiscono agli intermediari e ai dipendenti di cui si avvalgono per la distribuzione dei prodotti assicurativi, istruzioni idonee a guidare i medesimi nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti in relazione alla tipologia di contratto offerto” (art. 58 co. 3 Reg. Ivas. N. 40/2018)- premessa minore.

- ne consegue che gli istituti bancari, nella qualità di distributori di prodotti assicurativi, nell'assumere le informazioni indicate nel comma 2 dell'art. 58 del reg. Ivass n. 40/2018 ( ovvero “ notizie sulle caratteristiche personali e sulle esigenze assicurative o previdenziali del contraente o dell'assicurato, che includono, ove pertinenti, specifici riferimenti all'età, allo stato di salute, all'attività lavorativa, al nucleo familiare, alla situazione finanziaria ed assicurativa e alle sue aspettative in relazione alla sottoscrizione del contratto, in termini di copertura e durata, anche tenendo conto di eventuali coperture assicurative già in essere, del tipo di rischio, delle caratteristiche e della complessità del contratto offerto”) “non possa[no] prescindere dai criteri e dalle indicazioni fornite dalla compagnia assicurativa per garantire la coerenza tra le esigenze di copertura dell'interessato e il contratto di assicurazione concretamente proposto. Tale attività non configura pertanto un potere decisionale (del tutto) autonomo rispetto alle legittime indicazioni della compagnia assicurativa e quindi una vera e propria titolarità del trattamento dei dati.” (si legge nel parere).

E' noto che il sillogismo è un ragionamento di carattere logico - che fa seguire a due premesse introduttive (una maggiore, più ampia, e una minore, più ristretta) una conclusione che si risolve attraverso le due introduzioni – che se ben costruito consente di decifrare un principio, diversamente, sebbene costituito da componenti reali, porta ad una conclusione priva di dignità logica.

Ebbene nel caso di specie, il ragionamento seguito dal Garante appare fallace, perché della seconda specie.

Per il Garante, nel parere in commento, il ruolo dell'intermediario assicurativo (sebbene nel caso di specie il suo intervento sia limitato alla posizione dell'istituto bancario e non anche a quella degli agenti e dei broker) è ancillare rispetto a quello della Compagnia nella raccolta delle informazioni necessarie per la valutazione dei bisogni del cliente, giacché la funzione svolta dal distributore è subordinata a quello del produttore, in virtù di un rapporto si sussidiarietà del 1° e 2° co. dell'art. 58 Reg. IVASS n. 40/2018, rispetto al 3° co. dello stesso articolo. Deduzione, questa, errata, perché contraria, come meglio si vedrà di qui a poco, alla (condivisibile) lettura data dall'Ivass in occasione dell'emanazione del regolamento, atteso che l'istituto di vigilanza, in risposta ad alcuni interrogatovi posti dalle associazioni di categoria (ANIA, ABI e SNA) circa la portata dell'articolo, fornì un'interpretazione (autentica, quindi prevalente) dalla quale, però, il Garante, nel parere che ci occupa, prescinde del tutto.

I motivi che rilevano gli errori di metodo possono sono ermeneutici oltre che logici:

1) la norma richiamata, sia da un punto di vista letterale che sistematico, lascia intendere l'esatto contrario di quanto assunto dal Garante della privacy, dacché (contrariamente a quanto da questo sostenuto) al distributore viene attribuito, in via esclusiva, dal 1° e 2° comma dell'art. 58, il compito di acquisire tutte le informazioni, da lui ritenute utili, dal cliente al fine di valutare il bisogno assicurativo e scegliere il prodotto ad esso più coerente; tanto è vero che l'inesatto adempimento di tale obbligazione comporta responsabilità civilistiche precontrattuali a carico dell'intermediario; mentre alla Compagnia spetta, ai sensi dell'art. 58 co. 3, solo una funzione di indirizzo e consiglio (di supporto alla prima);

ove non bastasse la interpretazione letterale della norma,

2) l'IVASS, ente regolatore, autore e fautore del regolamento, in risposta alle osservazioni formulate da vari organismi di categoria - all'esito della procedura di pubblica consultazione prodromica alla adozione e pubblicazione del reg. 40/2018 - in ordine alla interpretazione e alla portata dell'art. 58 affermava testualmente (in risposta ad un quesito dell'ANIA) che “sul contenuto del comma 3 dell'art. 58, l'Istituto ha inteso attribuire all'impresa un ruolo di supporto a un'attività in cui il distributore assume un ruolo fondamentale e di cui è pienamente responsabile [qui responsabile non è inteso in ottica privacy, ma, bensì, in ottica di responsabilità civile]. Il supporto dell'impresa, quale soggetto che conosce il prodotto per averlo realizzato, può indirizzare la propria rete distributiva affinché vengano acquisite presso il contraente le informazioni chiave per valutare l'adeguatezza del contratto offerto”, poi aggiunge “In ogni caso, il distributore è libero di acquisire tutte le ulteriori informazioni che nella circostanza concreta appaiono necessarie per le valutazioni da effettuare” atteso che “le istruzioni impartite dalle imprese … sono finalizzate ad agevolare gli intermediari e i loro dipendenti nell'acquisizione delle informazioni pertinenti a valutare la coerenza delle richieste e delle esigenze del contraente rispetto allo specifico prodotto offerto” (tale ultima osservazione in risposta ad una domanda dello SNA);

tenuto conto che,

3) seguire l'interpretazione proposta dal Garante rischierebbe di vanificare la portata dell'art. 58 – in un'ottica di tutela del consumatore - che al secondo comma lascia libero l'intermediario, e non la Compagnia, di richiedere tutte le informazioni da lui ritenute utili per valutare l'esigenza assicurativa (nell'interesse) del cliente, atteso che. nel documento in pubblicazione citato, in risposta ad una domanda dell'ABI, l'IVASS affermava che “ il comma 3 [dell'art. 58] individua, a titolo esemplificativo e non esaustivo la natura delle informazioni idonee a verificare la coerenza del contratto rispetto alle esigenze assicurative e previdenziali del contraente menzionate al comma 1”, lasciando così il distributore libero di stabilire le domande da formulare al cliente, ampliando, se del caso - e soprattutto se carenti - i questionari di coerenza suggeriti dalla compagnia.

Il richiamo all'art. 119 del codice delle assicurazioni private, fatto dal Garante, al fine di corroborare la propria tesi non pare rilevante e significativo: la previsione di una responsabilità solidale della impresa e del distributore incaricato, non incide sulla portata dell'articolo 58 del Reg. citato, ma è una declinazione dell'art. 2049 c.c. L'obiettivo dell'art. 119 CAP è quello di rafforzare la tutela risarcitoria del consumatore, non di stravolgere la portata dell'art. 58 o mutare i titoli di responsabilità, atteso che l'impresa potrà agire in rivalsa nei confronti dell'intermediario che si sia reso responsabile di condotte illecite, doloso o colpose, così come l'IVASS potrà agire in via disciplinare-.

Così come irrilevante si giudica il riferimento all'art. 47 del Regolamento Ivass n. 40/2018, che predilige la vendita di prodotti standardizzati da parte degli istituti bancari, limitando la vendita di quelli non standardizzati alla sussistenza di stringate condizioni (“… all'interno dei locali di tali intermediari e a condizione che le persone fisiche che distribuiscono i contratti all'interno di tali locali: a) siano iscritte nella sezione A del Registro e siano titolari di un mandato conferito dalla medesima impresa mandante dell'iscritto nella sezione D; b) siano iscritte nella sezione B del Registro e siano titolari di una lettera di libera collaborazione con la medesima impresa mandante dell'iscritto nella sezione D; c) siano in possesso di una valida copertura di responsabilità civile professionale”). Ancora una volta, il ragionamento sillogistico induce il Garante in errore: dal fatto che i prodotti offerti tramite la bancassicurazione siano prevalentemente standardizzati, non si può desumere che l'intermediario bancario venda solo prodotti standardizzati e che non sia in grado o non possa ampliare le simmetrie informative per acquisire maggiori dati di quelli stabiliti nei questionari delle imprese.

Tornando al ragionamento seguito dal Garante, è logico dedurre che, cambiando l'ordine delle premesse, il risultato cambia. Ovvero partendo dalla premessa che la Compagnai nella fase precontrattuale ha solo una funzione di indirizzo e consiglio, al contrario dell'intermediario, che invece è responsabile della scelta delle informazioni da acquisire per la valutazione del bisogno del cliente, la conclusione del sillogismo sarebbe diversa, ovvero l'esatto contrario.

E', invero, erroneo affermare che nella fase precontrattuale le finalità del trattamento del dato sono scelte dalle Compagnie. Il Garante, così opinando, smentisce se stesso, atteso che nel documento web 1410057 del 27 aprile 2007 sulla c.d. catena assicurativa aveva dato atto che il settore assicurativo è caratterizzato da una molteplicità di soggetti che intervengono nelle varie fasi e che va valutata con la massima attenzione il ruolo effettivamente svolto dai soggetti che vengono chiamati a cooperare nella c.d. catena assicurativa, verificando se sussiste un reale e autonomo potere decisionale in ordine alla finalità del trattamento. E nel caso di specie il Garante lo esclude a priori (confondendo trattamento del dato del cliente con proprietà del dato industriale, ma questa è altra questione, che esula da questo lavoro).

Ebbene l'autonomo potere decisionale, in capo all'intermediario, esiste ed è reale perché è previsto espressamente dalla legge: l'art. 58 co. 1 e 2 del Rg. Ivass n. 40/2018 (che è una norma di legge, sia pure secondaria, a tutti gli effetti). L'acquisizione di informazioni in questa fase non necessita di consenso del cliente, ai fini privacy, atteso che la base giuridica del trattamento è la legge. Ciò non toglie che il titolare del dato debba rilasciare l'informativa e trattare i dati nel rispetto del GDPR.

Tanto, a parer mio è motivo sufficiente per affermare che l'intermediario possa essere inteso titolare autonomo del trattamento dei dati acquisiti del cliente tout court.

Nell'affermare che l'intermediario non stabilisce le finalità del trattamento, il Garante mostra di ignorare che l'intermediario, in qualità di distributore, possa operare per più compagnie (in regime di plurimandato o di collaborazioni orizzontali), nel qual caso egli acquisirà le informazioni utili per comprendere quale sia la Compagnia che offra il prodotto più coerente ai bisogni assicurativi del cliente. Non riconoscere all'intermediario un ruolo di titolare autonomo nel trattamento di questi dati implicherebbe una violazione, implicita, della disciplina sulla concorrenza, fortemente voluta dal legislatore comunitario (DIR. 2002/92/CE del 9 dicembre 2002) e nazionale, con l'abolizione dell'esclusiva rami danni (art. 8 l. 248/2006, per la RC auto seguito da art. 5, comma 1, del d.l., 31 gennaio 2007, n. 7/2007 convertito con l. 40/2007, per tutti gli altri rami danni) e l'introduzione delle collaborazioni orizzontali tra intermediari (art 22, comma 10, d.l. 179/2012).

Per spezzare una lancia in favore del Garante: v'è da ritenere che il suo ragionamento sia stato indotto dalla peculiarità del sistema della bancassicurazioni, ove gli istituti bancari propongono preferibilmente prodotti standardizzati (art. 47 reg. Ivass n. 40/2018) e utilizzando questionari di coerenza di Compagnia. Anche a voler ritenere coerente il ragionamento seguito dal Garante, e così non è (perché tende ad escludere a priori che un intermediario avveduto e professionalmente preparato, anche se appartenente al sistema bancario, possa decidere di richiedere informazioni aggiuntive al cliente, o soddisfare le condizioni richieste dalla legge per offrire anche prodotti non standardizzati), esso non potrebbe trovare applicazione analogica ai dati trattati da agenti e ancor meno ai broker ( che trattano su delega dei clienti), condividendosi, così, le osservazioni svolte da N. Tilli, Il garante sul ruolo del trattamento dati degli istituti di credito, quali intermediari di prodotti assicurativi: primi commenti, in Diritto e Giustizia, 21,06.2022.

In conclusione, si dissente dal parere esposto dal Garante perché:

- propone una lettura delle norme richiamate che contrasta con l'interpretazione autentica data dall'VASS;

- basato su un ragionamento deduttivo sbagliato, nel quale non si tiene conto che le finalità del trattamento del dato acquisito in fase assuntiva- precontrattuale - sono determinate dall'intermediario (non dalla Compagnia, che è estranea in tale fase), il quale solo dopo aver acquisto i dati e valutato le esigenze del cliente deciderà a chi trasferirli per la conclusione del contratto (e, solo in questo momento compilerà il questionario di coerenza, che normalmente contiene solo una parte dei dati assunti);

- esclude a priori che un professionista attento e avveduto possa allargare il perimetro delle informazioni indicate dalla Compagnia, compilando, ancor prima del questionario di coerenza di compagnia un proprio questionario di valutazione del bisogno e/o ampliando le domande suggerite dalla Compagnia, con altre ritenute dall'intermediario pertinenti alla valutazione del bisogno assicurativo e previdenziale;

- prescinde dal fatto che la fase precontrattuale ricade sotto la sfera proprietaria dell'intermediario e non della Compagnia, giacché il sistema civilistico non manda esente da responsabilità l'intermediario che si sia attenuto alla compilazione dei questionari di coerenza indicati delle compagnie, se carenti, giacché compete al distributore attivarsi con diligenza nel chiedere “… notizie sulle caratteristiche personali e sulle esigenze assicurative o previdenziali del contraente o dell'assicurato, che includono, ove pertinenti, specifici riferimenti all'età, allo stato di salute, all'attività lavorativa, al nucleo familiare, alla situazione finanziaria ed assicurativa e alle sue aspettative in relazione alla sottoscrizione del contratto, in termini di copertura e durata, anche tenendo conto di eventuali coperture assicurative già in essere, del tipo di rischio, delle caratteristiche e della complessità del contratto offerto”.

Comunque, sia, a tutto voler concedere e ponendosi nel solco tracciato dal Garante, deve dedursi che l'intermediario - che compili un proprio questionario di valutazione del bisogno assicurativo e/o ampli le informazioni da richiedere al cliente per valutare la coerenza di prodotto con riguardo a tali dati - non possa che assumere la qualifica di autonomo titolare del trattamento (oltre che proprietario unitamente al cliente), atteso che le finalità sono da lui esclusivamente stabilite nella fase precontrattuale in autonomia (a prescindere dalla Compagnia) e che le informazioni sono da lui lavorate, per evitare di incorrere in responsabilità, dai risvolti punitivi e risarcitori, previsti dalla legge a suo carico per violazione del diritto di protezione.

• M. LEMBO; La nuova distribuzione dei prodotti assicurativi, Roma, 2020
• G.M. RICCIO, G. Scorza, E BELISARIO, GDPR e normativa privacy, Commentario, Milano, 2018
• N. BRUTTI, La distribuzione di prodotti assicurativi: una guida per le banche. Normativa, adempimenti, regole di comportamento, sanzioni, Roma, 2007.