Altro che contitolarità tra Impresa Assicurativa e singolo intermediario…. i ruoli privacy di Compagnia mandante e distributore mandatario sono Titolare e Responsabile.
Lo dice chiaramente il Garante nel proprio parere sul ruolo soggettivo degli istituti di credito che trattano dati personali dei clienti ai fini del collocamento di polizze assicurative, datato 18 maggio 2022.
Come ben noto a che si occupa di privacy, il GDPR dice che c’è contitolarità quando due o più titolari del trattamento decidono insieme:
- quali dati trattare
- per quali finalità devono essere trattati
- con quali mezzi trattarli
Questi tre elementi devono essere presenti contemporaneamente per poter parlare di contitolarità.
Se ne manca anche solo uno, viene meno il presupposto che sta alla base della definizione di contitolarità, così come definita nell’articolo 26 del GDPR.
L’accordo di contitolarità, quando sussiste una partnership reale e un reale equilibrio tra i poteri decisionali delle parti, è figlio di un’alleanza vera, non fittizia.
La domanda da porsi è: esiste questo equilibrio nel rapporto tra singolo agente e compagnia?
Se nel rapporto tra due soggetti si concretizza una “dominanza” e poi si va a forzare una contitolarità in ambito privacy, possiamo pensare di considerare finta quella contitolarità, perché una delle parti non “codeciderà” mai nulla.
Questo è esattamente il perimetro di un rapporto mandante-mandatario. Una delle due parti decide, l’altra no; anche perché una parte (il mandatario) opera per conto dell’altra (mandante).
Il Garante Privacy ha analizzato questo tipo di rapporto nell’ottica del trattamento dei dati personali e ha dato notizia. nel giugno scorso, del proprio parere, in cui non mette mai in dubbio che i ruoli privacy che devono assumere Mandante-e Mandatario non possono essere altro che Titolare e Responsabile.
Nel proprio documento infatti, il Garante, dopo aver definito il perimetro (“Ambito dell’attività di distribuzione di polizze assicurative”) sviluppa la logica del proprio ragionamento considerando esclusivamente il rapporto tra un soggetto che decide e uno che segue le relative istruzioni e lo fa in merito ai trattamenti dei dati dei clienti, finalizzati al rapporto contrattuale e a ciò che è funzionale al singolo contratto/polizza.
Quel che interessa di più nella presente analisi è che MAI, nelle pagine del documento del Garante, si prospetta neanche lontanamente l’idea di un potere decisionale “condiviso”, né in ambito di gestione contrattuale dei dati, né in quella parte di gestione precontrattuale legata al prodotto che si sta andando a proporre o vendere.
La contitolarità non c’è, non esiste, non viene mai presa in considerazione, né tantomeno evocata.
E questo avviene probabilmente perché il Garante, analizzando in modo neutro il contesto, non può vederla, perché non c’è il presupposto fondamentale affinché la contitolarità possa esistere.
E il presupposto è uno solo: avere due (o più) soggetti che condividono il potere decisionale sul trattamento dei dati.
È molto semplice comprendere che il singolo agente NON condivide alcun potere decisionale con la propria mandante. Né sul piano teorico, né tantomeno su quello sostanziale.
Quindi l’ordine logico è molto chiaro:
PRIMA guardo se il singolo agente e la compagnia CONDIVIDONO il potere decisionale sui trattamenti dei dati.
POI (stabilito se questa condivisione di potere decisionale tra i due soggetti esiste realmente ed è attuabile nella realtà) definisco, DI CONSEGUENZA, una contitolarità che andrò a disegnare e poi formalizzare ai sensi dell’articolo 26 del GDPR.
Questo è il SEMPLICISSIMO ragionamento che chiunque faccia un corso basico di Privacy conosce e che ci illumina sull’assoluta insussistenza del rapporto di contitolarità tra singolo agente e compagnia.
E allora perché in questo settore si parla di contitolarità, dal novembre 2013, tra gli intermediari assicurativi?
Molto probabilmente perché in questo settore è iniziato, prima, ciò che in altri settori è avvenuto nel 2018, con l’entrata in vigore di GDPR: si è cercato di mascherare il contratto di contitolarità, facendolo passare per uno pseudo contratto di comproprietà dei dati, senza peraltro raggiungere mai lo scopo.
In tutto ciò nessuno dei presunti contratti di contitolarità al momento presenti sul mercato risponde appieno a quanto sancito puntualmente nell’articolo 26 del GDPR, che prevede la formalizzazione di un accordo che governi le responsabilità e non, come avvenuto finora, il potere di governo dei dati degli interessati (i clienti).
In sostanza, la svolta rappresentata dal Parere del Garante è, a nostro avviso, di portata epocale e pone fine a dieci anni di forzature interpretative, che anche dal punto di vista applicativo non hanno avuto alcun seguito tangibile, derubricando gli accordi a sostanziale lettera morta.
Non solo, questi accordi hanno come conseguenza, ormai verificabile, la mala gestione delle dinamiche operative di tutti i giorni, per i grossolani errori di applicazione della normativa privacy, che un occhio esperto può cogliere molto facilmente, a partire dalle disgiunte finalità inserite nelle informative in contitolarità per proseguire con supposte “continuità” di trattamento, nel momento in cui un’agenzia viene sostituita da un’altra.
Talvolta addirittura si prova ancora a negare un dato di fatto non contrattabile. Il ruolo da Titolare dell’agente per i trattamenti extra contrattuali.
In sostanza, come conseguenza diretta del Parere del Garante, si è finalmente materializzata l’assoluta inconsistenza del rapporto di contitolarità, in ambito privacy, tra un’impresa assicurativa e il singolo intermediario che ne esercita un mandato.
Nella filiera di trattamento contrattuale i ruoli privacy si concretizzano in un rapporto tra il Titolare-Compagnia e il Responsabile-Intermediario.
Nelle filiere complementari antecedenti a quella contrattuale, l’intermediario è Titolare Autonomo perché determina in autonomia finalità e modalità e questo lo fa palesemente fino al momento dell’analisi dei bisogni (quindi prima del Demands&Needs), quando opera da proponente in una collaborazione orizzontale o quando fa consulenza.
Negarlo significa non sapere come funziona la privacy.
Troppe agenzie non hanno impianti privacy a norma, troppe pensano di averla e credono di essere a norma facendo “firmare” un foglio al cliente, ma non sanno che quella firma rischia di non valere nulla e sono pieni di fogli con consensi non validi; troppe agenzie sono in mano ad apprendisti stregoni che spacciano modulistica identica (talvolta malamente scopiazzata) a centinaia di agenzie diverse dal punto di vista organizzativo, contribuendo a generare confusione e a lasciare le stesse agenzie in balia delle compagnie.
Credo sia tempo di incominciare ad applicare la privacy seriamente, concentrandosi sulle procedure che hanno lo scopo di far sì che ciascuna agenzia si faccia carico di tutelare i dati personali che tratta, così come richiede la normativa.
Solo così si può iniziare a utilizzare la leva strategica di consapevolezza che aiuta gli agenti a valorizzare concretamente il proprio patrimonio informativo relativo ai clienti.
Siamo nel 2022, i dati hanno valore economico.
Tornerò su questi argomenti con altri contributi.
Ing. Angelo Ottaviani
Nimaja Consulting & Privacy Solutions S.r.l.