La banca che distribuisce polizze non è titolare del trattamento dati

di Antonio Ciccia Messina
La banca che distribuisce polizze assicurative per conto di una compagnia è un responsabile esterno del trattamento dei dati personali. La banca, quindi, non è titolare del trattamento e non è autonoma quanto ai trattamenti relativi alla vendita dei prodotti assicurativi. Questa la conclusione del Garante della privacy, il quale, con il parere del 17/5/2022 (prot. 27266) ha risolto una diatriba tra le banche (sostenitrici della loro autonoma titolarità) e le compagnie (sostenitrici di una posizione servente delle banche). Gli istituti creditizi avevano dalla loro un orientamento del 2020 dell’Abi. Ribaltato dal Garante: rispetto ai trattamenti di dati effettuati nell’attività di distribuzione di polizze assicurative da parte degli istituti bancari, la compagnia assicurativa riveste il ruolo di titolare del trattamento. Le banche, invece, sono responsabili esterni del trattamento. E’ stata necessaria una lunga istruttoria a partire dalla data di richiesta del parere (5 marzo 2021). La definizione dei ruoli soggettivi “privacy” è difficilissima. Molto spesso la numerosità dei rapporti tra operatori economici o enti pubblici implica che, anche nell’ambito di una stessa relazione, ci possano essere situazioni incrociate, in cui una parte decide (è titolare del trattamento) e l’altra parte opera al servizio dell’altra (è responsabile del trattamento). Inoltre, la normativa (il regolamento Ue sulla privacy n. 2016/679, Gdpr) non è un catalogo di parametri oggettivi, ma un elenco di profili elastici, valutativi e tendenziali. Il risultato è un’immanente incertezza, tanto che nemmeno operatori economici forti, come le banche, arrivano a risposte errate. Il Gdpr è così difficile che anche soggetti economici di primo livello sbagliano l’interpretazione. Figuriamoci operatori economici che hanno minori risorse. A tutto ciò si unisca il fatto che sbagliarsi non è indolore, ma comporta una sanzione fissata nel massimo addirittura in 10 milioni di euro. Allora, soprattutto per venire incontro alle PMI e ad enti e operatori minori è urgente la stesura di un repertorio, che elenchi quanti più casi possibile e indichi come stanno le cose, non in generale, ma in concreto per specifici operatori in relazione a contratti/settori determinati: un repertorio da arricchire continuamente e liberamente consultabile.

Elenchi telefonici. Non si possono creare elenchi telefonici se i numeri non sono estratti dal Dbu, Data Base Unico, cioè l’archivio elettronico unico dei clienti di tutti gli operatori di telefonia. L’incerta provenienza dei numeri è costata 50 mila euro di sanzione irrogata dal Garante a un’impresa, che ha divulgato, sul suo sito web nominativi, indirizzi, numeri di telefono all’insaputa degli interessati (newsletter del Garante n. 491 del 15/5/2022)

Fonte: