AUTORE
Avv. Stefano Petrussi
Il Garante per la privacy ha sanzionato recentemente un istituto bancario che ha riscontrato in modo tardivo e parziale l’istanza di cancellazione dei dati personali di un interessato (provvedimento n. 305 del 15 settembre 2022, doc. web n. 9815947). In particolare, la banca aveva cancellato i dati soltanto quattro mesi (anziché entro un mese) dopo la presentazione della richiesta a causa di un disguido tecnico.
Tale decisione costituisce un’occasione importante per ripercorrere alcuni distinguo in merito alla gestione delle richieste di esercizio dei diritti GDPR nel settore assicurativo e della distribuzione assicurativa. In particolare, per quanto riguarda gli obblighi dell’intermediario di primo livello, sulla base del “ruolo GDPR” ricoperto, si possono distinguere le seguenti fattispecie:
- titolare autonomo: l’intermediario ha l’onere di gestire autonomamente le istanze dell’interessato nei termini previsti dagli artt. 12 e ss. del GDPR;
- responsabile: in tale veste, il distributore è tenuto a collaborare con la Compagnia (ottemperando alle istruzioni di cui all’atto di nomina ex art. 28 del GDPR) ai fini della corretta gestione delle istanze di esercizio dei diritti ad esso pervenute;
- contitolare: l’accordo di contitolarità ex art. 26 del GDPR deve individuare quale titolare del trattamento sarà incaricato di rispondere alle richieste degli interessati.
.
È necessario, pertanto, che gli intermediari assicurativi – tenuto conto delle specificità sopra menzionate – adottino adeguate misure tecniche e organizzative per favorire l´esercizio dei diritti e il riscontro tempestivo alle richieste presentate dagli interessati, facendo tesoro delle indicazioni fornite dall’Authority sul tema.
.