Banche e polizze assicurative.

Smart Tv, servizi e applicazioni terze: quali ruoli?

 

Un recente parere del Garante Privacy (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9781161) relativo al ruolo degli istituti di credito nel collocamento di prodotti assicurativi, costituisce l’occasione per sottolineare, ancora una volta, la complessità di molti rapporti che caratterizzano la moderna impresa e, in particolare, tutte quelle attività in cui soggetti variegati intermediano o, comunque, mettono a disposizione della propria clientela prodotti o servizi di terze parti.

Se, infatti, in linea di principio ciascuna di queste entità terze, una volta che abbia contrattualizzato il rapporto con il “nuovo” cliente sarà certamente da inquadrarsi come titolare del trattamento, il ruolo del soggetto intermediatore, invece, potrebbe assumere qualificazioni diverse, a seconda delle diverse attività e tipologie di trattamenti che, concretamente, andrà a effettuare. Peraltro, anche il concreto atteggiarsi dei due soggetti deve, in realtà, tenere conto di diversi fattori.

L’intermediazione o la messa a disposizione di prodotti, servizi, contratti o applicazioni specifiche è, come noto, oggigiorno, prassi comune in tanti settori: non solo in quelli, per così dire, ormai tradizionali come quelli bancario o postale, ma anche in ambiti più “moderni”, o  più avanzati tecnologicamente.

Il riferimento è, ovviamente, ai provider e ai fornitori di servizi e piattaforme sulle quali, come nel caso dei social media, è possibile “utilizzare” molteplici funzionalità o “collegarsi” ad una miriade di ulteriori servizi o funzionalità.

Si pensi, ad esempio, alle piattaforme che forniscono, tramite le smart tv, servizi di videostreaming e consentono, in pari tempo, il collegamento e l’integrazione con applicazioni o prodotti diversi (come i noti servizi Amazon Prime, Apple Music, DAZN, Flimmit, Netflix, Soundcloud, Spotify, YouTube e così via).

Il già citato parere del Garante relativo al ruolo degli istituti di credito nel collocamento dei prodotti assicurativi, riletto, assai probabilmente in un’ottica non da tutti condivisibile, potrebbe essere criticato, non solo come fatto da autorevoli esperti (si vedano, ad esempio, le opinioni espresse nei seguenti commenti – ultima visualizzazione: 19 agosto 2022: https://dirittoaldigitale.com/2022/06/30/banche-responsabili-trattamento-polizze-assicurative/#more-3411 e https://www.linkedin.com/pulse/il-ruolo-delle-banche-nel-collocamento-dei-prodotti- ) ma, forse, anche facendo riferimento a recenti prese di posizione del Board Europeo dei Garanti che, sul finire del 2020, ha “rivisitato” e ampliato i concetti di titolare, responsabile, contitolare e al contempo indagato alcune particolarità dell’utilizzo delle piattaforme social.

 

Banche, Agenti e polizze assicurative

 

Da tempo la qualificazione del ruolo privacy nelle reti distributive impegna gli esperti del settore e la stessa Autorità Garante.

Quello dei prodotti assicurativi è, in effetti, uno dei settori maggiormente caratterizzati da una molteplicità di soggetti che, secondo i casi, sono coinvolti non solo nella prestazione dei servizi e delle coperture assicurative, ma anche nella intermediazione e veicolazione dei prodotti stessi.

Un tale modello comporta, inevitabilmente, che plurimi attori effettuino, a vario titolo, diverse attività di trattamento di dati personali, dal tipo più comune, come i “semplici” dati identificativi, a quelli maggiormente delicati e sensibili, che oggi definiamo categorie particolari di dati personali.

E’, innanzitutto, evidente e comprensibile come la corretta qualificazione “privacy” degli intermediari dipenda dalla concreta attività di trattamento di dati personali che venga svolta e, di conseguenza, che si debba verificare, in concreto, quale sia il soggetto che, in senso funzionale, decida realmente ed effettivamente il “perché” e il “come” si trattino i dati stessi (Cfr. Opinion 7/2020 EDPB, n. 33).

In tal senso un istituto bancario esegue normalmente una “propria” e autonoma attività di trattamento di dati personali e, allorché questa sia effettuata sulla propria clientela, per gestirne ad esempio il rapporto contrattuale o adempiere alle numerose previsioni legislative di settore, l’istituto appare pacificamente inquadrabile come titolare del trattamento di tali dati.

Più labili, invece, per molti interpreti, sono i confini e la qualificazione della banca laddove l’attività dell’istituto sia eseguita in esecuzione di accordi che prevedano l’intermediazione di prodotti assicurativi: non è infatti sempre agevole distinguere quando l’istituto operi come banca e quando, invece, come “mero” intermediario: anche in virtù delle disposizioni relative al comportamento degli istituti nell’attività di distribuzione previste dall’IVASS (Cfr. Regolamento IVASS 40/2018, art. 58 c. 1), le banche, effettivamente, operano diverse e autonome valutazioni e specifiche consulenze tese alla presentazione delle proposte di contratto più confacenti per la propria clientela e collaborano, coadiuvandoli, con gli interessati nella gestione e nell’esecuzione delle attività preparatorie alla sottoscrizione delle polizze.

Per tale motivo nella prassi le banche agiscono come autonomi titolari del trattamento nei confronti dei propri clienti: ne deriva che il cliente riceve, usualmente, una doppia serie di documenti informativi: una della propria banca ed un’altra della compagnia assicuratrice, con ulteriore duplicazione dei (poco) eventuali moduli per i consensi granulari.

Quanto agli agenti di assicurazione, spesso coinvolti nelle attività di intermediazione di prodotti assicurativi, se è ben vero che la qualificazione più immediata degli stessi appare essere quella di responsabili del trattamento, qualche perplessità può invece sorgere allorché, ad esempio, si sia in presenza di agenti multimandatari, ovvero di agenti che possono offrire o promuovere, ad una propria clientela, più prodotti, servizi, polizze.

Sembra infatti ad alcuni interpreti che, in tali casi, alcune decisioni e valutazioni sulle singole e specifiche offerte sottoposte ad alcuni piuttosto che ad altri dei propri clienti, possano essere qualificabili come scelte e decisioni assunte dagli agenti in qualità di titolari autonomi del trattamento dei dati della propria clientela, beninteso fino a che essi non abbiano sottoscritto le diverse polizze con la compagnia che diverrà, allora, l’effettiva titolare del trattamento dei dati ai fini assicurativi.

 

Il parere del Garante

 

Se quanto abbiamo letto sopra sembra essere ciò che normalmente accade nella vita di tutti i giorni, il parere del Garante è invece piuttosto chiaro e non lascia margini di dubbio: anche in virtù di quanto previsto proprio dal Regolamento IVASS (richiamato anche dagli autori già citati per criticare l’orientamento dell’Autorità: Cfr. comma 3 del citato art. 58; art. 47 stesso Reg.; art. 119 Cod. Ass. Private) e da altre disposizioni, “nel rapporto di distribuzione di polizze assicurative, i ruoli soggettivi ricoperti dalla compagnia assicurativa e dalla banca intermediaria appaiono conformi a quelli del rapporto tipico titolare/responsabile”.

Secondo il Garante, dunque, l’attività di valutazione rimessa alla banca, in relazione alla quale, ad ogni modo, viene riconosciuta alla stessa una certa autonomia, non può prescindere dai criteri e dalle indicazioni fornite dalla compagnia assicuratrice: l’attività di raccolta dei dati personali degli interessati e la valutazione di coerenza, spesso, proprio sugli obblighi imposti sugli istituti dalla regolamentazione in esame che diversi interpreti insistono per evidenziare come, in aderenza a quanto indicato dall’EDPB nell’Opinion 7/2020, laddove sussista un obbligo di legge che imponga un determinato trattamento, il soggetto che lo effettui riveste la qualifica di titolare) rispetto al prodotto proposto, si pongono come attività funzionali e strumentali rispetto alle finalità decise e stabilite dall’assicurazione, ai fini della conclusione del contratto di assicurazione con il cliente.

E’ per tale motivo, in conclusione, che in tali fasi di trattamento essa deve utilizzare la modulistica (informative, eventuali consensi e documentazione contrattuale) fornita dalla compagnia, unica titolare del trattamento in questione: esegue, nell’ottica del Garante, attività che le sono demandate dalla mandante.

Ferma l’importanza del parere del Garante, peraltro, sembra però corretto suggerire a istituti e agenti di dotarsi di idonee ed esaustive informazioni da fornire agli interessati in aggiunta alla modulistica predisposta dalle mandanti, giacché è sempre opportuno che laddove un soggetto decida, in qualche modo, quali attività di trattamento eseguire e ne stabilisca, ulteriormente, le modalità, si doti e faccia in modo di fornire indicazioni trasparenti e comprensibili sui trattamenti effettuati, di modo che la propria clientela (gli interessati che diventeranno clienti delle compagnie) possano avere tutti i chiarimenti che dovessero desiderare.

 

Le critiche al parere e le (forzate?) similitudini con quanto rilevato dall’EDPD nelle Opinion 7 e 8/2020

 

Come già accennato le principali critiche alla impostazione dell’Autorità, peraltro strettamente aderente al dettato normativo sui concetti di titolare e responsabile del trattamento, si focalizzano su alcuni elementi che farebbero deporre per una titolarità del trattamento riservata alle banche; si tratta, sostanzialmente, dei seguenti aspetti:

  • l’autonomia nella gestione della fase precontrattuale, il cui svolgimento è sostanzialmente deciso e gestito interamente dalle stesse, sia per la titolarità dei dati della clientela loro pertinente, sia a motivo di diverse disposizioni regolamentari che lo prevedono;
  • l’ulteriore autonomia nella valutazione di coerenza dei prodotti e servizi sottoposti alla clientela, comprendente la consulenza e la collaborazione, anche in tal caso riguardate sotto l’aspetto dell’autonomia funzionale con la quale vengono gestite dagli istituti;
  • l’aderenza alle indicazioni dell’EDPB nel parere 7/2020 laddove in presenza di un obbligo di raccolta o trattamento dei dati personali espressamente previsto, il soggetto destinatario di tale obbligo riveste la qualifica di titolare in relazione alla finalità specificata nel precetto.
  • Infine, anche se non per importanza, viene sottolineato “il contesto delle dinamiche proprie del canale bancassurance, contraddistinto dalla naturale sovrapposizione della clientela assicurativa e bancaria”, ciò che comporterebbe, in caso di integrale “affermazione” dell’orientamento dell’Autorità, la necessità di “modificare gli accordi in essere” con la previsione di un nuovo rapporto che qualifichi le banche come puri responsabili.

 

La bancassicurazione

 

Come noto, la bancassurance, ossia la cooperazione e il collegamento tra istituti bancari e compagnie di assicurazione, è una strategia organizzativa che consente ad una banca di offrire vari tipi di polizze e coperture assicurative. 

Il modello viene creato stabilendo rapporti continuativi con uno o più assicuratori, che si servono del personale, delle risorse e della clientela della banca per vendere le proprie polizze.

Benchè gli specifici modelli operativi e di business possano differire nello specifico dettaglio, quel che preme rilevare è che il fenomeno appare il primo canale distributivo di prodotti assicurativi in Italia: il collocamento di polizze mediante sportelli bancari è stato nel 2020 pari a 62,5 miliardi di euro, ed ha rappresentato circa il 58% della raccolta assicurativa complessiva, seguito dalla distribuzione tramite il canale delle agenzie (https://www.ilsole24ore.com/art/la-bancassurance-si-evolve-ma-fatica-diventare-digitale-e-mobile-AExYmCOB?refresh_ce=1, ultima visualizzazione 19 agosto 2022).

 

Le similitudini

 

A modesto avviso di chi scrive il modello di business appena indicato presenta diverse similitudini con alcuni dei fenomeni “tecnologici” e, pure, di business, che sono oggigiorno sempre più frequenti e utilizzati: quello dell’utilizzo dei social media provider come “strumenti” di massimizzazione dei profitti e, anche se in minor misura, quello dell’utilizzazione dei provider di servizi in streaming per la fornitura o la promozione di altri prodotti e servizi.

 

 

La contitolarità del trattamento nell’Opinion 8/2022 

 

Uno degli aspetti di maggiore rilevanza del modello di business dei social media è, come noto, lo sviluppo di comunità di reti e di utenti che, nell’utilizzo del provider di contenuti e servizi social, consentono a questi ultimi di fornire alle imprese e agli imprenditori utenti diversi servizi di targeting estremamente performanti.

Il Board delle autorità europee dei Garanti si è occupato specificamente, sul finire del 2020, del fenomeno, anche in dipendenza di alcune sentenze della Corte di Giustizia Europea che avevano già affrontato l’argomento (EDPB Opinion 8/2020 on the targeting of social media users: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-082020-targeting-social-media-users_en).

Senza alcuna pretesa di completezza si possono riassumere alcuni punti rilevanti della opinione citata che, come noto, segue immediatamente l’altra (8/2020), sui concetti “generali” di titolare, contitolare, responsabile e terze parti.

Premesso che viene ribadito come, al di là delle eventuali definizioni contrattuali o formali, l’indagine effettiva debba dipendere dalle specifiche circostanze fattuali del concreto atteggiarsi delle parti e che la posizione di “contitolarità” possa essere assunta anche nel caso in cui uno dei titolari coinvolti non abbia accesso diretto ai dati personali, pare di poter dire che gli elementi determinanti la contitolarità siano i seguenti:

  • una decisione di esternalizzazione di attività di trattamento che abbia elementi di influenza sull’esternalizzazione stessa;
  • una pluralità di soggetti coinvolti nell’attività di trattamento, sia essa dipendente da una “decisione comuneo, comunque, “convergente” al riguardo, di tal che la partecipazione degli attori non sia destinata ad avere un ruolo esclusivamente e meramente esecutivo, giacché in tale ultimo caso il ruolo sarebbe automaticamente quello di un responsabile. 

Il Board, anche qui senza pretese di esaustività, individua sostanzialmente quattro ipotesi in cui dovrebbe ravvisarsi contitolarità di trattamenti:

  • quella in cui i dati personali siano forniti dall’interessato direttamente al social media provider: in tal caso il targerter, ossia l’imprenditore, si rivolge al e utilizza il social media per veicolare i propri messaggi, prodotti e servizi verso determinate categorie di possibili interessati o acquirenti o in base a specifici criteri e parametri; l’EDPB qualifica tali attività in contitolarità a motivo della comune finalità della visualizzazione del messaggio pubblicitario da parte del destinatario targettizzato: il social media decide i mezzi specifici con cui veicolare i messaggi e, soprattutto, i criteri per raggiungere i destinatari desiderati, mentre l’imprenditore targeter decide quali destinatari debbano essere raggiunti;
  • quella in cui l’imprenditore targeter utilizzi già proprie liste di interessati (e in cui pertanto i dati personali siano forniti direttamente dall’interessato allo stesso imprenditore) e questi utilizzi i sistemi e le tecnologie messe a disposizione dal social media per la veicolazione dei messaggi: in tale ipotesi la contitolarità dei trattamenti resterebbe limitata alle fasi di incrocio dei dati tra i titolari per la selezione dei criteri di targeting e la generazione dei report delle campagne. L’impresa targeter rimarrebbe titolare dei dati raccolti precedentemente senza l’intervento del social media;
  • quella delle attività relative alla generazione dei dati di utilizzo dei servizi;
  • quella, infine, della generazione o creazione, da parte dell’uno (social media) o dell’altro (targeter) dei dati risultanti dagli incroci e collegamenti.

Il sommario riassunto della posizione espressa nell’Opinion citata (8/2020) non si discosta, ovviamente, da quanto rilevato anche in quella precedente (7/2020) laddove, indagando i rapporti intercorrenti tra agenzie di viaggio, compagnie aeree e hotel, il Board ricorda che, nel caso in cui questi tre soggetti decidano congiuntamente di costituire una piattaforma internet allo scopo comune di fornire pacchetti di offerte di viaggio, concordando le modalità di funzionamento del sistema, le modalità di conservazione dei dati, le specifiche modalità di assegnazione e conferma delle prenotazioni e i privilegi di accesso, condividendo, altresì, i dati degli interessati per effettuare attività di marketing, si verte in un’ipotesi di contitolarità dei trattamenti ai sensi dell’art. 26 del Gdpr (Cfr. Opinion 7/2020, n. 66: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en)

 

Banche e social media: la (esagerata?) similitudine

 

A parere di chi scrive il modello di business della bancassurance e dei social media, cui partecipano, in un caso le compagnie di assicurazione e, nell’altro, i targeter, non sembrano divergere così tanto.

E’ ben vero che sia in un caso sia nell’altro la “creazione” della piattaforma social oppure del sistema bancario dipendono e sono decisi solo da uno dei due soggetti; ma quel che più conta, in questa possibile e opinabile visione, è ciò che viene, sostanzialmente, deciso congiuntamente per evidenti fini di business e, quindi in ampia e condivisa comunanza di finalità: la messa in comune di un servizio o di una piattaforma per il conseguimento di fini ulteriori, in parte coincidenti.

Come del resto molto autorevolmente notato sono ipotesi estremamente “frequenti nel mercato dei servizi digitali” quelle in cui “sono condivise piattaforme, tool standardizzati o altre infrastrutture che, predisposte in un certo modo da una delle parti al fine di essere utilizzate anche dalle altre, permettono comunque di trattare i dati parte di più soggetti” (Cfr. L. Bolognini e S. Zipponi, Accordi strategici di mercato: contitolarità del trattamento e libera iniziativa imprenditoriale, in PRIVACY E LIBERO MERCATO DIGITALE, Giuffrè Editore, pagg. 43 e ss., 2021).

Sebbene e ovviamente con la precisazione che in dipendenza del concreto atteggiarsi delle singole attività di trattamento, ciascun soggetto del “gruppo” potrà assumere qualificazioni diverse, non pare così lontano dai concetti espressi dall’EDPB rilevare che siano possibili molteplici forme e modalità di business nelle quali singole o più attività di trattamento dei dati siano decise congiuntamente o avvengano per l’effetto di decisioni comuni o convergenti e determinino una partecipazione delle parti alle attività di trattamento che possa essere ravvisata come “inextricably linked” (Cfr. Opinion 8/2020, nn.i 51 e 53).

La cooperazione tra attività bancaria e assicurativa (la già citata bancassurance) in Italia è estremamente rilevante: se, come visto, il collocamento di polizze mediante sportelli bancari ha rappresentato nel 2020 circa il 58% della complessiva raccolta assicurativa, addirittura il 40% dei prodotti assicurativi del ramo vita sono venduti per il tramite del medesimo canale.

L’offerta assicurativa è divenuta determinante per il settore bancario e anche prodotti differenti rispetto a quelli più sopra ricordati, sfruttano le potenzialità del know how bancario per essere correttamente indirizzati: anche i prodotti assicurativi non-vita sono offerti con un maggiore livello di personalizzazione e rilevanza, in modalità stand-alone, anche attraverso canali digitali, con una personalizzazione delle offerte che dipende in massima parte dalle informazioni detenute dagli istituti.

Ferme restando (e non oggetto di queste indicazioni), le necessarie cautele sulle modalità di prestazione degli eventuali consensi alle comunicazioni di dati, appare evidente che la personalizzazione delle offerte dipenda in gran lunga da decisioni di trattamento dei dati e delle informazioni che è difficile vedere come semplicemente “separate” tra istituti e compagnie: queste ultime utilizzano la platea e i servizi bancari per indirizzare al meglio le proprie proposte, servendosi del canale bancario come il targeter si serve, in diverse ipotesi, del social media: i dati sono forniti direttamente dagli interessati clienti alle banche all’apertura dei relativi rapporti ma le compagnie, esattamente come i targeter, richiedono alle banche (come chiederebbero al social media), la presentazione dei propri prodotti ad un pubblico determinato e selezionato secondo determinati parametri: ad una audience selezionata e mirata.

Insomma, ad avviso di chi scrive è ben difficile non intravedere grandi similitudini con le operazioni che l’EDPB ha, seppure con molti distinguo e diverse critiche (per lo più orientate nel senso delle diverse difficoltà e farraginosità delle conseguenze operative in dipendenza di una tale impostazione), qualificato come poste in essere in parziale regime di contitolarità di trattamento.

 

 

Piattaforme tv, video streaming, applicazioni varie

 

A questo punto sorge spontanea una domanda: accade qualcosa di realmente diverso sulle piattaforme che offrono il collegamento ad ulteriori servizi, dispositivi, applicazioni?

L’utilizzo dei media online è aumentato, negli ultimi anni, a dismisura, con una decisa accelerazione nel periodo del lockdown: è fatto noto che vi sia stato un boom dei servizi di intrattenimento in streaming, attraverso i quali è possibile vedere e ascoltare i contenuti trasmessi su molte piattaforme internet.

Allo streaming, tecnologia che consente di fruire di servizi e contenuti multimediali, si accede semplicemente da internet. 

Molti provider di servizi consentono di accedere a diversi altri contenuti, applicazioni, servizi (si pensi a Sky, Netflix, Disney, Amazon, YouTube, ecc.).

Questi big rendono disponibile ma in molti casi promuovono, in virtù di particolareggiati accordi, di accedere ai contenuti e ai servizi anche dei competitor.

Dai decoder o dalle pagine internet dei provider è possibile accedere ad applicazioni rese disponibili da terze parti; queste applicazioni possono includere contenuti, funzionalità e servizi specifici, dettagliatamente indicati nelle rispettive condizioni contrattuali di adesione o del rapporto.

Fermo restando, anche qui, ovviamente, che le distinte parti dovranno essere qualificate rispettivamente come autonomi titolari del trattamento dei dati personali per tutto ciò che riguarda la gestione del rapporto contrattuale una volta iniziato ovvero il pre-contatto rispetto all’offerta commerciale o, ancora e in generale il “dopo” la contrattualizzazione, non sembra esagerato ritenere che la messa a disposizione, da parte di uno di questi imprenditori, della propria piattaforma, al fine di rendere disponibili servizi, clusterizzazioni, targettizzazioni e altre modalità di contatto della possibile clientela, assomigli in tutto e per tutto alle ipotesi esaminate dall’EDPB nella più volte citata opinione 8/2020.

Quel che avviene, infatti, in concreto, sembra ricadere sia nell’ipotesi viste più sopra in cui i dati sono forniti direttamente dall’utilizzatore al provider e che il contitolare – targeter richieda alla piattaforma di convogliare determinate offerte e promozioni sia, pure, quella in cui il contitolare – targeter utilizza proprie liste per creare, congiuntamente con il provider, audience particolari o selezioni di criteri per veicolare i propri prodotti, anche con incroci di dati e informazioni.

 

Conclusioni

Come accennato queste considerazioni non intendono in alcun modo essere definitive, ma solo evidenziare come, successivamente alle Opinion più volte citate e, in particolare, a quella relativa al targeting degli utenti dei social media, gli interrogativi per gli interpreti siano, di fatto, aumentati anziché diminuiti.

Il concetto che si voleva esprimere è, in fondo, piuttosto semplice: fermo restando, come più volte indicato, che la qualificazione concreta dei tanti soggetti debba dipendere da una attenta disamina fattuale e funzionale di quanto avviene nella realtà, l’attuale ecosistema digitale ma anche di business tradizionale vede molteplici attori coinvolti in svariate attività: i grandi operatori, tecnologici o tradizionali, godono di strumenti e possibilità non praticabili per i più piccoli: da un lato pare comprensibile che qualificazioni corrette ma estremamente semplificate, come quella con la quale si è iniziato questo scritto, non soddisfino; da altro punto di vista un’indagine ampia e approfondita del concreto svolgimento dei rapporti intercorrenti, soprattutto nel mondo digitale, tenuto conto delle attuali facoltà e disponibilità di dati e interrelazioni disponibili per i grandi provider, mette questi ultimi, in ogni opzione che desiderino praticare (da fornitori a targeter, da sviluppatori a inserzionisti) nella necessità di attentamente valutare pro e contro delle diverse e tante impostazioni e qualificazioni oggi possibili.

 

Venerdì 19 agosto 2022

 

Credits: pixabay.com