Le violazioni di dati personali (“data breach”) all’interno di un’agenzia assicurativa possono scaturire non soltanto da attacchi esterni (virus, malware, etc.) o dagli incidenti derivanti dal furto o dallo smarrimento di smartphone e/o tablet ma anche da comportamenti umani di natura intenzionale. Si pensi, ad esempio, all’attività di concorrenza sleale perpetrata dall’ex collaboratore che è rimasto in possesso dell’elenco dei clienti dell’Agenzia.
.
.
Più precisamente, ci si riferisce all’ipotesi in cui l’ex collaboratore, dopo avere iniziato ad operare con un diverso intermediario e al fine di avviare la nuova attività, rivolge le sue offerte commerciali ai clienti conosciuti per effetto del precedente rapporto di collaborazione. Il possesso ingiustificato di dati, sia personali che commerciali dei clienti dell’Agenzia non rappresenta soltanto il presupposto per la predisposizione degli atti di concorrenza sleale ma costituisce anche una violazione che può comportare la perdita di confidenzialità e, in alcuni casi, di integrità e di disponibilità dei dati personali.
.
GLI OBBLIGHI DI NOTIFICA ALL’AUTORITÀ DI CONTROLLO E DI COMUNICAZIONE AGLI ASSICURATI
Per valutare se sussistono da parte dell’Agenzia gli obblighi di notifica della violazione dei dati subita al Garante e di comunicazione alla clientela, occorre valutare, caso per caso, la sussistenza di rischi, eventualmente elevati, per i diritti e le libertà degli interessati.
In specie, l’Agenzia dovrà valutare se i dati personali oggetto di violazione riguardano un numero considerevole di interessati; verificare la tipologia dei dati “sottratti” (dati anagrafici e di contatto o anche dati particolari, etc.) e se sono state adottate particolari misure di protezione a tutela dell’elenco dei clienti.
.
LE RACCOMANDAZIONI DEI GARANTI PRIVACY EUROPEI: LE LINEE GUIDA 01/2021
Sul tema, occorre precisare che il Comitato Europeo per la protezione dei dati (EDPB) nelle recenti “Guidelines 01/2021 on examples regarding personal data breach notification” adottate il 14 dicembre 2021, affrontando una casistica analoga a quella in esame, suggerisce al titolare del trattamento, qualora la violazione comporti un rischio per i diritti e le libertà degli interessati, di procedere con la sola notifica all’Autorità senza che sia necessario provvedere alla comunicazione verso gli interessati. Al riguardo, il Board raccomanda tuttavia di valutare anche l’opportunità di informare direttamente i clienti dell’accaduto. In ogni caso, è bene notare, come l’intermediario, a prescindere dalla notifica al Garante, dovrà documentare il data breach sul registro delle violazioni di cui all’art. 33, par. 5 del GDPR.
.

.
CONSIDERAZIONI FINALI: GLI STRUMENTI DI TUTELA DELLA LISTA CLIENTI DELL’AGENZIA
Concludendo, si rileva, anzitutto, come in questa fattispecie, tra le misure di mitigazione, le Autorità di controllo europee suggeriscono di promuovere un’azione legale immediata per impedire ulteriori impieghi dei dati detenuti illecitamente dall’ex collaboratore. Sul punto, occorre evidenziare che lo strumento dell’inibitoria disciplinato dal diritto industriale consente all’intermediario l’arresto immediato da parte del collaboratore dell’attività di utilizzo abusivo dei dati di Agenzia.
A ciò si aggiunga che, per prevenire casi analoghi futuri, anzitutto sarà necessario che l’Agenzia, da un lato, si doti di una specifica procedura di “data breach” e, dall’altro, assuma adeguate misure e policy interne di protezione dei dati: si pensi, per esempio, alla redazione di specifiche clausole contrattuali per disciplinare l’utilizzo del patrimonio informativo di Agenzia in costanza e in caso di cessazione del rapporto di collaborazione oppure all’implementazione di mirate politiche di accesso ai file e alle informazioni.