La nomina del data protection officer (“DPO”): cosa impone il GDPR agli operatori del settore assicurativo

A più di 5 anni dall’entrata in vigore del Reg. UE 679/2016 (General Data Protection Regulation o “GDPR”) alcuni adempimenti in materia di protezione dei dati personali restano ancora carta bianca; uno di questi è la nomina del Responsabile della Protezione dei Dati, comunemente indicato come DPO, prevista dall’art. 37 del Regolamento stesso.

Il rischio di tali negligenze è più elevato laddove il trattamento dei dati personali riguardi le categorie particolari di dati, i cc.dd. ex “dati sensibili” di cui all’art. 9 del GDPR, ovvero quei dati che rivelino “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”, nonché i dati giudiziari di cui all’art. 10 del GDPR.

L’industria assicurativa ne è certamente un esempio, in quanto tratta una moltitudine di dati genetici, biometrici, sanitari e giudiziari.

Con il presente articolo proveremo, quindi, a fare maggiore chiarezza riguardo all’obbligatorietà, o meno, della designazione del DPO – ancora poco chiara – per gli operatori del mercato assicurativo. 

I compiti del DPO, meglio elencati nell’art. 39 del GDPR, sono innanzitutto così riassumibili:

• informare e fornire consulenza in merito agli obblighi derivanti dal GDPR ed in generale dalla normativa vigente in materia e vigilare rispetto alla relativa applicazione;
• fornire, ove richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35 del Regolamento;
• cooperare con l’autorità di controllo;
• fungere da intermediario tra l’autorità di controllo ed il titolare del trattamento, oltre che da consulente da interpellare per qualsiasi questione afferente al trattamento dei dati personali di particolare rilevanza.

Si tratta, dunque, di una figura professionale altamente specializzata, che supporta anche sul piano operativo il titolare o il responsabile del trattamento nella corretta gestione e protezione dei dati personali, con il compito di sovrintendere a tutti i processi aziendali che abbiano un impatto sulla privacy.

Sussiste un vero e proprio dovere di nominare il DPO allorquando:

• il titolare o il responsabile del trattamento sia un’autorità pubblica o un organismo di diritto pubblico;
• l’attività svolta in via principale dal titolare o dal responsabile, a prescindere dalla relativa natura giuridica, implichi il monitoraggio regolare e sistematico, su larga scala, degli interessati;
• il trattamento, anche qui a prescindere dalla natura giuridica del titolare o del responsabile del trattamento, abbia ad oggetto i dati particolari di cui agli artt. 9-10 del GDPR. 

Al di fuori delle fattispecie di cui all’art. 37 del GDPR la nomina del DPO è facoltativa. 

Occorre ora soffermarsi sui concetti di “larga scala” e di monitoraggio “regolare e sistematico”, al fine di comprendere per quali realtà aziendali sia effettivamente obbligatorio nominare un DPO. 

Per larga scala può senz’altro intendersi, anche sulla scorta di quanto riportato nel Considerando 91 del GDPR, la quantità dei dati trattati, sia in assoluto che in relazione alla popolazione di riferimento, il volume dei dati stessi, la durata del trattamento e l’estensione geografica. Il Gruppo di Lavoro ex art. 29 ha ritenuto integrato, ad esempio, il requisito del monitoraggio su “larga scala” nell’ambito dei trattamenti effettuati da una compagnia di assicurazioni nell’ordinaria attività aziendale.

Neppure il requisito del monitoraggio regolare e sistematico trova specifica definizione nel Regolamento; in via interpretativa può ritenersi tale il monitoraggio continuativo, costante e periodico degli interessati da parte del titolare o del responsabile del trattamento, attraverso un processo di raccolta dati predeterminato, organizzato e metodico. 

Alla luce di quanto precede, anche il Garante per la Protezione dei Dati Personali ha precisato che, con riferimento al settore privato, sono tenuti alla nomina del DPO, fra le altre, le imprese assicurative. Mentre parrebbero esclusi, poiché non espressamente menzionati, gli intermediari assicurativi, ovvero gli agenti e i broker. 

Tuttavia, ai fini del presente articolo, occorre considerare alcuni fattori, la cui disamina potrebbe agevolare gli intermediari assicurativi nel valutare l’opportunità, o meno, di nominare un DPO, stante l’assenza di un obbligo normativo in tal senso.

Spesso le imprese assicurative e gli intermediari determinano congiuntamente finalità e mezzi del trattamento dei dati personali dei clienti condivisi. 

L’art. 26 del GDPR prevede che quando due o più titolari stabiliscono in via congiunta mezzi e finalità dei trattamenti, essi sono tenuti a definire mediante un accordo di contitolarità le rispettive responsabilità in merito all’applicazione e all’osservanza della normativa in materia di privacy. 

Dinanzi ad una contitolarità nel trattamento dei dati personali, l’interessato può rivolgersi indistintamente all’uno o all’altro titolare per far valere i propri diritti, sussistendo una responsabilità solidale tra contitolari del trattamento. 

In alternativa, gli intermediari possono rivestire il ruolo di responsabili del trattamento (art. 4, par. 1, n. 8 GDPR), quando trattano dati personali per conto della specifica compagnia assicurativa, seguendone pedissequamente le relative istruzioni, secondo gli accordi contrattuali.

Infine, occorre porre l’attenzione sui principi generali enucleati dal GDPR, primo fra tutti quello di accountability, traducibile come un approccio al rischio basato su consapevolezza e senso di responsabilità, in virtù del quale l’azienda dovrebbe adoperarsi al meglio delle proprie possibilità per adottare misure concrete, adeguate ed efficaci per la gestione dei dati personali in conformità all’art. 5 del GDPR, nonché per la prevenzione, gestione e controllo dei rischi di violazione degli stessi. 

Ebbene, alla luce di quanto sopra, sebbene il Garante menzioni espressamente agenti e broker assicurativi quali soggetti tenuti a nominare un DPO ex art. 37 del GDPR, si ritiene – tuttavia – che per tali operatori sussista un onere implicito in tal senso: sia in quanto gli intermediari si trovano spesso a svolgere il ruolo di contitolari o responsabili del trattamento rispetto alle compagnie di assicurazione – queste si obbligate a designare un DPO -, sia in ottica di accountability. 

La nomina del DPO, seppur non obbligatoria per tutti gli operatori del comparto assicurativo, è fortemente consigliata per gli intermediari, poiché rappresenta – in ogni caso – una applicazione del principio di accountability, funzionale in ottica di implementazione delle misure di sicurezza e di riduzione del rischio di violazione di dati personali all’interno dell’azienda. 

Ove agenti e broker assicurativi si determinino per la nomina volontaria del DPO, saranno comunque tenuti ad osservare le disposizioni di cui agli artt. 37-39 del GDPR. Diversamente, in caso di mancata designazione del Responsabile della Protezione dei Dati, è opportuno che gli intermediari siano comunque in grado di motivare tale scelta. 

Scarica qui l’articolo completo in PDF.