♦ La recente presa di posizione del garante per la protezione dei dati in risposta alla richiesta di parere avanzato riguardo al ruolo degli istituti di credito che trattano i dati personali dei clienti ai fini del collocamento di polizze assicurative per conto di compagnie terze è lapidaria e pone fine a ogni dubbio in tema di contitolarità.
“Al riguardo – afferma l'Autority nel documento a firma del dirigente Francesco Modafferi - è stato poli rappresentato che, con riferimento al distributivo di cd bancassurance, le attività e le correlate operazioni di trattamento poste in essere dalle banche per il collocamento delle assicurazioni sono fatte dalle stesse per conto della compagnia, in qualità di responsabili del trattamento”. Ciò in quanto gli istituti di credito nel raccogliere i dati della clientela si attengono alle istruzioni impartite dalla facoltà senza facoltà di alcunché in tema di formazione prodotto, utilizzo dei sistemi informativi, procedure informatizzate e quant'altro.
In particolare, la banca è soggetta a controlli periodici effettuati dalla compagnia sulle attività sopra si e occupa soltanto dei reclami relativi di comportamenti messi in atto dalla rete e non certo di quelli gestiti i contratti ei servizi assicurativi che sono gestiti esclusivamente dalla compagnia stessa.
I concetti di titolare e responsabile del trattamento sono da considerarsi, secondo l'orientamento europeo per la protezione dei dati (EDPB), funzionali e quindi determinati in modo non “negoziabile” sulla base delle attività svolte dai due soggetti interessati in ogni situazione specifica. L'Autority per la privacy, dal suo canto, aveva peraltro presentato nella newsletter del 15 giugno scorso “come al titolare spettino le decisioni su finalità e modalità del trattamento dati, nonché la responsabilità generale sui trattamenti posti in essere dallo stesso o da altri per suo conto. Il responsabile del trattamento svolge invece le attività delegato dal titolare”.
Mutatis mutandis, vengo alla questione che più mi interessa riguardante il concetto di contitolarità e riprendo le tesi sostenute sull’argomento nella recente analisi effettuata dall’ing. Angelo Ottaviani della Nimaja Consulting. “C’è contitolarità - sostiene Ottaviani riferendosi al parere espresso dal Garante - quando due o più titolari del trattamento decidono insieme… quali dati trattare, per quali finalità devono essere trattati, con quali mezzi trattarli”. Nella fattispecie della distribuzione di polizze assicurative viene a configurarsi piuttosto una situazione di assoluta dominanza da parte della compagnia che decide e di sudditanza dell’intermediario che esegue. In altre parole, la mandante assume inequivocabilmente il ruolo di titolare e il mandatario altrettanto chiaramente quello di responsabile: la prima decide e il secondo esegue le relative istruzioni.
In una condizione di questo genere, secondo Ottaviani, nel documento dell’Autority non “si prospetta mai neanche lontanamente l’idea di un potere decisionale condiviso”. E aggiunge: “la contitolarità non c’è, non esiste, non viene mai presa in considerazione, né tantomeno evocata… non c’è il presupposto fondamentale affinché la contitolarità possa esistere” e cioè che vi siano due o più soggetti che condividono il potere decisionale sul trattamento dei dati”. Ecco quindi venire meno il teorema sul quale sono stati costruiti finora tutti gli accordi dati stipulati dalle mandanti con i rispettivi Gruppi agenti e a questo proposito l’ingegnere è addirittura lapidario quando afferma che “si è cercato di mascherare il contratto di contitolarità, facendolo passare per uno pseudo contratto di comproprietà dei dati”.
Già, perché la questione vera non è la contitolarità che il Garante ha dimostrato non esistere nella fase di raccolta, archiviazione e utilizzo dei dati in fase precontrattuale e contrattuale, laddove la compagnia svolge il ruolo di titolare e l’agente di responsabile, quanto piuttosto la proprietà industriale di quei dati in ambito extra-contrattuale. Perché sostiene ancora Ottaviani “la contitolarità come declinazione privacy del rapporto tra compagnia e singolo agente, in merito al trattamento dei dati personali dei contraenti o potenziali tali, non c’entra assolutamente nulla” con la proprietà del dato, unico reale presupposto per il pieno e libero utilizzo, da parte dell’agente, delle informazioni in chiave promo commerciale, sia in corso di mandato con una determinata compagnia, sia dopo la sua cessazione.
Nel consegue, conclude l’ingegner Ottaviani che, fermo restando il ruolo di titolare autonomo dell’agente per i trattamenti extra contrattuali, il parere dell’Autority per la protezione dei dati ha derubricato gli accordi sottoscritti dai Gaa a “sostanziale lettera morta”.
Non sarà quindi il caso che tutti i Gruppi agenti si siedano intorno a un tavolo di approfondimento e adottino insieme allo Sna una risoluzione univoca e definitiva di questo tema che ha assunto le caratteristiche di un tormentone lasciando spazio ai singoli presidenti di fornire, insieme ai loro gruppi dirigenti, ciascuno l’interpretazione più vicina alle esigenze delle rispettive mandanti?
La soluzione c'è ed è contenuta nel cosiddetto “teorema Santoro”, basta avere il coraggio di adottarla: l'agente acquisisce la sua proprietà personale industriale del dato attraverso l'analisi precontrattuale a 360 gradi dei bisogni del cliente, non già allo scopo di consentire alla compagnia l'elaborazione di uno specifico prodotto assicurativo, ma di individuare sul mercato tutte le soluzioni assicurative coerenti con i bisogni espressi o latenti provenienti dalle famiglie, dalle professioni imprese.
Roberto Bianchi
