Garante per la protezione
    dei dati personali

Newsletter

PRIVACY E ASSICURAZIONI: LE REGOLE DEL CONSIGLIO D'EUROPA

Il Consiglio d'Europa ha approvato lo scorso 18 settembre una Raccomandazione (Rec(2002)9) sulla protezione dei dati personali raccolti e trattati per scopi assicurativi. E' un documento al quale gli esperti del Consiglio hanno lavorato per quasi 12 anni, a partire dal novembre 1990, e rappresenta un importante contributo in un settore di grande complessità che tocca direttamente gli interessi della quasi totalità dei cittadini. La Raccomandazione, che non è vincolante, si fonda sui principi fissati dalla Convenzione n. 108/1981 del Consiglio d'Europa, relativa alla protezione delle persone fisiche rispetto al trattamento di dati personali, ma tiene conto anche degli sviluppi nel frattempo intercorsi ed, in particolare, dei principi sanciti dalla direttiva europea in materia di protezione dei dati personali (95/46/CE). La Raccomandazione non riguarda i trattamenti effettuati per scopi di previdenza sociale, oggetto di una specifica raccomandazione che il Consiglio d'Europa aveva elaborato nel 1986 (Raccomandazione R(86) 1); tuttavia, lascia gli Stati membri liberi di decidere se estendere l'applicazione dei principi di questa più recente raccomandazione anche a tali trattamenti.

Non è possibile sintetizzare le disposizioni della Raccomandazione in questo contesto; ci limiteremo pertanto ad evidenziare alcuni punti-chiave, rimandando alla lettura del testo integrale http://cm.coe.int/stat/E/Public/2002/adopted_texts/recommendations/2002r9.htm e del rapporto illustrativo http://cm.coe.int/stat/E/Public/2002/cmdocs/2002cm123add.htm che saranno presto disponibili in italiano sul nostro sito web.

La Raccomandazione definisce "titolare" del trattamento chiunque (persona fisica o giuridica, autorità pubblica, agenzia o altro ente) determini le finalità e gli strumenti utilizzati per la raccolta e il trattamento di dati personali. Questa definizione si applica, come chiarito dal Rapporto esplicativo, anche ai broker, agli agenti indipendenti e agli istituti finanziari nella misura in cui essi raccolgano e trattino dati personali anche in previsione della conclusione di un contratto assicurativo.

La Raccomandazione stabilisce che, in linea di principio, i dati personali devono essere raccolti direttamente presso l'interessato o un suo rappresentante.

Vengono specificati in modo esplicito gli "scopi assicurativi" dei quali tratta la Raccomandazione (al punto 4.4.), fra i quali rientrano anche attività di indagine di mercato e di marketing diretto. Uno dei principi fondamentali della Convenzione 108/1981 (e della direttiva 95/46) è però quello dell'utilizzazione dei dati per scopi compatibili. Pertanto, si ribadisce che i dati raccolti per una di tali finalità non possono essere trattati per scopi incompatibili: ad esempio, dati relativi allo stato di salute raccolti per gli scopi di una polizza sanitaria non devono essere utilizzati per le esigenze di un altro tipo di polizza – ad esempio, una polizza sulla vita – a meno che il diritto interno stabilisca la compatibilità di tali trattamenti.

Il trattamento di dati sensibili (4.6), altrimenti vietato secondo un principio ripreso anche nella direttiva europea di protezione dati, è legittimato, fra l'altro, se una norma di legge lo consente e risulta necessario per l'adempimento di obblighi giuridici o contrattuali del titolare. Come sottolineato nel Rapporto esplicativo, si tratta di una condizione di legittimazione non contemplata nella direttiva europea 95/46 – e neppure nella legge italiana di protezione dati.

Per quanto riguarda, in particolare, la raccolta e il trattamento di dati relativi allo stato di salute per scopi assicurativi, si ribadisce che essi devono essere effettuati soltanto da professionisti del settore sanitario oppure secondo principi di segretezza paragonabili a quelli cui soggiacciono gli operatori del settore sanitario. Non si danno indicazioni rispetto al trattamento dei dati genetici, oggetto della Raccomandazione 97(5) sul trattamento dei dati sanitari e di altre specifiche Raccomandazioni del Consiglio (in particolare, R(92)3), nonché della Convenzione di Oviedo del 1997 sulla biomedicina. Su questo punto si sottolinea l'esistenza di numerose divergenze nella legislazione degli Stati membri del Consiglio d'Europa, per cui gli esperti hanno preferito attendere i risultati dell'analisi condotta dal gruppo che si sta occupando specificamente della redazione di un protocollo aggiuntivo alla Convenzione di Oviedo in materia di genetica.

Rispetto al trattamento di dati personali per scopi di marketing diretto nel settore assicurativo, la Raccomandazione stabilisce il principio che il titolare può effettuarlo per commercializzare e promuovere i propri servizi salvo obiezione dell'interessato. Vale dunque il principio dell'opt-out, il che si applica anche alla comunicazione fra soggetti appartenenti o meno ad uno stesso gruppo o ad una stessa società (8.1.c) ). Tuttavia, va sottolineato che su questo punto la Raccomandazione del Consiglio R(85) 20, relativa ai trattamenti per scopi di marketing diretto, stabilisce che qualora dati personali siano comunicati a terzi, ad esempio attraverso indirizzari o altri elenchi, "gli elenchi non devono fornire informazioni suscettibili di violare la privacy dell'interessato, a meno che quest'ultimo vi abbia acconsentito". Giova ricordare che i principi di quest'ultima raccomandazione sono espressamente richiamati anche nel decreto n. 467/2001 che ha previsto l’adozione di un codice deontologico per i trattamenti effettuati a fini di marketing diretto, al quale il Garante sta lavorando insieme alle organizzazioni di settore.

Fra le misure di sicurezza che i titolari sono tenuti a adottare, vengono indicate in modo dettagliato quelle finalizzate ad evitare, in particolare, la commistione fra dati identificativi degli interessati, dati amministrativi e dati sensibili; in sostanza, deve essere possibile accedere in modo separato a tali categorie di dati.

Rispetto alla conservazione dei dati trattati per scopi assicurativi, la Raccomandazione indica l'opportunità di non conservarli oltre il periodo necessario per gli scopi della loro raccolta (in linea con l'articolo 5(e) della Convenzione 108/1981, e con la direttiva europea 95/46), tenendo conto della necessità di far fronte ad obblighi legali (ad esempio, per dimostrare la buona fede della compagnia) o di fornire la prova di transazioni effettuate, ovvero per giustificare, ad esempio, la mancata sottoscrizione di una polizza assicurativa. Tuttavia, deve essere possibile disporre dei dati per scopi di ricerca scientifica o di statistica, per cui si deve prevederne la conservazione secondo opportuni accorgimenti (separazione da altri record, ecc.).