Bancassurance and Privacy: The Bank is a Data Processor

On 18 May 2022, the Italian Data Protection Authority issued an interesting opinion, at the request of an insurance company, concerning the correct identification of the subjective role of credit institutions that process customers’ personal data in the activity of distributing insurance policies.

In providing the above-mentioned opinion, the Authority referred to the general regulatory framework on the protection of personal data, pointing out that the data controller is the subject on whom fall the basic decisions on the purposes and means of the processing of the personal data of the data subjects and, therefore, the overall responsibility for the processing itself. The data processor, on the other hand, is the person who carries out activities delegated by the data controller, on the basis of well-defined powers and specific instructions, under a contract that establishes the obligations and rights of both parties.

The Authority also referred to the recent ‘Guidelines on the concepts of the data controller and data processor under the GDPR’, adopted on 7 July 2021 by the European Data Protection Board (EDPB), from which it is clear that the allocation of roles between these entities must be based on the activities actually carried out in a specific situation rather than on a mere formal designation and, therefore, is not negotiable.

Then, as regards the sector regulations, in the opinion under comment, the Authority referred to IVASS Regulation No. 40 of 2 August 2018 (as supplemented by IVASS Regulation No. 97 of 4 August 2020) which, in Article 58, provides that distributors, before having an insurance proposal or contract signed, “shall acquire from the policyholder information useful for assessing his requests and needs” and, in particular, “shall request information on the personal characteristics and insurance or social security needs of the policyholder or the insured”.

The aforementioned provision also stipulates that insurance companies shall issue to the intermediaries and employees they use for distribution activities appropriate instructions to guide them in the pre-contractual phase of acquiring from the policyholder useful and relevant information in relation to the type of contract offered’.

The Authority also referred to Article 47 of the aforementioned IVASS Regulation and Article 119 of the Private Insurance Code (Legislative Decree No. 209/2005), which provides for conditions and limits on the distribution of insurance products when such activity is carried out by intermediaries registered under letter D) of the register of insurance and reinsurance intermediaries (banks, SIMs and financial intermediaries).

By virtue of the above regulatory framework, the Authority has pointed out that, in the activity of distributing insurance policies, the relationship between the insurance company and the intermediary bank must be correctly classified as a relationship between the data controller and data processor. In fact, the bank would not have autonomous decision-making power in the acquisition of information useful for assessing the requests and needs of the policyholder, having instead to abide by the indications and instructions received from the Company, which must therefore be recognised as the data processor.

In essence, the Authority points out, the intermediation activity carried out by the bank is in an instrumental relationship with respect to the purpose (of concluding the insurance contract with the customer) pursued by the insurance company, the bank acting on behalf of the latter and, therefore, as a data controller.

In fact, the Authority pointed out, at the time of collecting the personal data of those concerned, the bank renders the information pursuant to Article 13 of Regulation (EU) 2016/679 (GDPR) and acquires their consent on behalf of the Company, which provides it with its own documentation and forms.

Having thus outlined the role of data processors of banks in the activity of placing insurance policies, the Authority finally highlights, in the opinion under comment, the need for this role to be adequately indicated in the information provided to data subjects pursuant to Article 13 of the GDPR.

****

BANCASSURANCE E PRIVACY: LA BANCA E’ RESPONSABILE DEL TRATTAMENTO

Il 18 maggio 2022 il Garante per la protezione dei dati personali ha reso un interessante parere, su richiesta di una Compagnia assicuratrice, con riguardo alla corretta individuazione del ruolo soggettivo degli istituti di credito che trattano dati personali dei clienti nell’attività di distribuzione di polizze assicurative.

Nel fornire il parere suddetto, l’Autorità ha richiamato l’assetto regolatorio generale in materia di protezione dei dati personali, evidenziando come il titolare del trattamento sia il soggetto sul quale ricadono le decisioni di fondo circa le finalità e i mezzi del trattamento dei dati personali degli interessati e, quindi, la responsabilità generale sui trattamenti stessi. Il responsabile del trattamento, invece, è il soggetto che svolge attività delegate dal titolare, sulla base di attribuzioni ben delimitate e di istruzioni specifiche, in forza di un contratto che stabilisca gli obblighi e i diritti di entrambe le parti.

L’Autorità ha, altresì, richiamato le recenti “Linee Guida sui concetti di titolare e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021 dall’European Data Protection Board (EDPB), da cui si evince chiaramente come la ripartizione dei ruoli tra tali soggetti debba avvenire sulla base delle attività effettivamente svolte in una situazione specifica piuttosto che sulla base di una mera designazione formale e, pertanto, non sia negoziabile.

Quanto poi alla normativa di settore, nel parere in commento il Garante ha richiamato il Regolamento IVASS n. 40 del 2 agosto 2018 (come integrato dal Regolamento IVASS n. 97 del 4 agosto 2020) che, all’art. 58, prevede che i distributori, prima di far sottoscrivere una proposta o un contratto di assicurazione, “acquisiscono dal contraente le informazioni utili a valutare le sue richieste ed esigenze” e, in particolare, “chiedono notizie sulle caratteristiche personali e sulle esigenze assicurative o previdenziali del contraente o dell’assicurato”.

La disposizione di cui sopra stabilisce, altresì, che le imprese assicurative impartiscono agli intermediari e ai dipendenti di cui si avvalgono per l’attività distributiva istruzioni idonee a guidare i medesimi nella fase precontrattuale di acquisizione dal contraente delle informazioni utili e pertinenti in relazione alla tipologia di contratto offerto”.

Il Garante ha, inoltre, richiamato l’art. 47 del Regolamento IVASS sopra citato e l’art. 119 del Codice delle Assicurazioni private (D.Lgs. n. 209/2005), ove si prevedono condizioni e limiti all’attività di distribuzione di prodotti assicurativi quando tale attività venga svolta dagli intermediari iscritti alla lett. D) del registro degli intermediari assicurativi e riassicurativi (banche, SIM e intermediari finanziari).

In virtù del quadro normativo di cui sopra, l’Autorità ha evidenziato come, nell’attività di distribuzione di polizze assicurative, il rapporto tra la Compagnia assicuratrice e la banca intermediaria debba essere correttamente inquadrato quale rapporto tra titolare e responsabile del trattamento. Infatti, la banca non disporrebbe di un potere decisionale autonomo nell’acquisizione delle informazioni utili a valutare le richieste ed esigenze del contraente, dovendosi invece attenere alle indicazioni ed alle istruzioni ricevute dalla Compagnia, alla quale deve pertanto riconoscersi il ruolo di titolare del trattamento.

In buona sostanza, rileva il Garante, l’attività di intermediazione svolta dalla banca si pone in rapporto di strumentalità rispetto alla finalità (di conclusione del contratto di assicurazione con il cliente) perseguita dalla Compagnia assicuratrice, operando la banca per conto di quest’ultima e, dunque, quale responsabile del trattamento.

Difatti, ha precisato l’Autorità, al momento della raccolta dei dati personali degli interessati, la banca rende l’informativa ex art. 13 del Regolamento (UE) 2016/679 (GDPR) e ne acquisisce il consenso per conto della Compagnia, che le fornisce la propria documentazione e modulistica.

Così delineato il ruolo di responsabili del trattamento delle banche nell’attività di collocamento delle polizze assicurative, il Garante evidenzia infine, nel parere in commento, la necessità che tale ruolo venga adeguatamente indicato nelle informative fornite agli interessati ai sensi dell’art. 13 del GDPR.