Il settore assicurativo pone due problemi privacy che nessun altro comparto concentra insieme: il trattamento di dati sanitari nelle polizze vita e malattia — categorie particolari ex art. 9 GDPR che richiedono una base rafforzata — e la catena di intermediazione (compagnia, agente, subagente, broker) in cui è spesso poco chiaro chi sia titolare e chi responsabile del trattamento. A ciò si aggiungono le banche dati antifrode (banca dati sinistri IVASS) e, per le compagnie, la sovrapposizione con DORA dal 17 gennaio 2025. Questa guida chiarisce basi giuridiche, ruoli lungo la filiera e obblighi documentali del settore assicurativo.
Punti chiave
- I dati sanitari nelle polizze vita e malattia sono categorie particolari ex art. 9 GDPR: servono una base rafforzata e misure di sicurezza adeguate.
- Nella catena compagnia-agente-subagente-broker va definito con precisione chi è titolare e chi responsabile ex art. 28.
- Le banche dati antifrode (banca dati sinistri IVASS) trattano dati per prevenzione delle frodi su base normativa e di legittimo interesse.
- Il consenso al marketing raccolto lungo la catena degli intermediari va documentato e verificato: qui si concentrano molti reclami.
- Le compagnie applicano anche DORA: la gestione degli incidenti ICT si integra con la sicurezza ex art. 32 GDPR.
Dati sanitari nelle polizze: categorie particolari
Una polizza vita o malattia richiede quasi sempre informazioni sullo stato di salute dell’assicurato: si tratta di categorie particolari di dati ai sensi dell’art. 9 GDPR, il cui trattamento è vietato salvo che ricorra una specifica condizione di liceità. Nel contesto assicurativo la base tipica è il consenso esplicito dell’interessato oppure la necessità per l’accertamento, l’esercizio o la difesa di un diritto, integrata dalle norme nazionali. La compagnia deve garantire un’informativa chiara, misure di sicurezza rafforzate e la limitazione dell’accesso ai dati sanitari al solo personale che ne ha bisogno. Un modello di informativa privacy va adattato per distinguere il trattamento dei dati comuni da quello dei dati sanitari.
La catena degli intermediari: chi è titolare, chi responsabile
Il punto più delicato del settore è la qualificazione dei ruoli lungo la filiera distributiva. Compagnia, agente, subagente e broker trattano gli stessi dati con posizioni diverse:
| Soggetto | Ruolo tipico | Atto necessario |
|---|---|---|
| Compagnia | Titolare del trattamento | Informativa propria, registro |
| Agente monomandatario | Spesso responsabile ex art. 28 | Nomina dalla compagnia |
| Broker | Spesso titolare autonomo | Informativa e registro propri |
| Subagente | Autorizzato o sub-responsabile | Istruzioni/atto della compagnia o dell’agente |
La qualificazione non è formale: dipende da chi determina finalità e mezzi del trattamento. Un broker che consiglia il cliente e sceglie autonomamente le compagnie è tipicamente titolare autonomo; un agente che opera per una sola compagnia seguendone le istruzioni è più spesso responsabile. Ogni rapporto va formalizzato con l’atto corretto: la guida alla nomina del responsabile ex art. 28 elenca le clausole obbligatorie, e la distinzione dei ruoli va poi riflessa nel registro delle attività di trattamento.
Banche dati antifrode e gestione dei sinistri
La prevenzione delle frodi assicurative si appoggia a banche dati di settore, come la banca dati sinistri gestita in ambito IVASS, che consentono di incrociare le informazioni per individuare comportamenti fraudolenti. Questi trattamenti hanno base normativa e, in parte, nel legittimo interesse alla prevenzione delle frodi: quando ci si appoggia al legittimo interesse serve documentare il test di bilanciamento. I dati di gestione del sinistro vanno conservati per il tempo necessario alla definizione della pratica e alla difesa in eventuali contenziosi, secondo una tabella dei tempi di conservazione costruita per categoria.
Consenso al marketing lungo la filiera
Il consenso al marketing raccolto dall’agente o dal subagente e poi utilizzato dalla compagnia (o viceversa) è una fonte ricorrente di irregolarità: spesso manca la prova del consenso, oppure il consenso viene “trasferito” tra soggetti diversi senza base valida. Il consenso deve essere libero, specifico, informato e documentato, e va verificato chi lo raccoglie e per quali finalità. Per formulare correttamente le caselle si vedano gli esempi di consenso GDPR.
DORA e sicurezza per le compagnie
Dal 17 gennaio 2025 le compagnie assicurative, come entità finanziarie, applicano DORA (Regolamento UE 2554/2022) sulla resilienza operativa digitale, sotto la vigilanza di IVASS per il settore. DORA impone gestione del rischio ICT, segnalazione degli incidenti e governance dei fornitori terzi, e si integra con l’art. 32 GDPR sulla sicurezza del trattamento. Un incidente informatico che coinvolge dati personali può richiedere sia la notifica DORA sia la notifica della violazione al Garante entro 72 ore. Per il fronte DORA è utile un software per la conformità DORA. Le indicazioni ufficiali del Garante sono su garanteprivacy.it e il testo del GDPR su EUR-Lex.
Profilazione, tariffe personalizzate e telematica
L’assicurazione moderna si regge sulla profilazione del rischio, e alcune pratiche recenti spostano l’asticella: le polizze telematiche (scatole nere auto, dispositivi che monitorano lo stile di guida), i dispositivi indossabili nelle polizze salute, i modelli di scoring che personalizzano il premio. Sono trattamenti di profilazione che influenzano una decisione — la tariffa — e possono ricadere nella disciplina delle decisioni automatizzate (art. 22 GDPR). Richiedono base giuridica solida, trasparenza sulla logica applicata, consenso dove necessario e, quando sono su larga scala o ad alto rischio, una valutazione d’impatto. La raccolta continua di dati di guida o di salute è particolarmente sensibile: va limitata allo stretto necessario e protetta con misure adeguate.
Diritti degli assicurati e gestione delle richieste
Gli assicurati esercitano i diritti dell’art. 15 e seguenti in momenti tipici: contestazione di un rifiuto di indennizzo, richiesta della documentazione del sinistro, opposizione al marketing ricevuto tramite l’intermediario. La compagnia deve rispondere entro un mese e coordinarsi con la propria rete distributiva, perché spesso i dati sono raccolti dall’agente ma trattati dalla compagnia. Le richieste più delicate riguardano i dati sanitari e le decisioni sui sinistri: qui la compagnia deve bilanciare il diritto di accesso dell’assicurato con le esigenze di gestione della pratica e antifrode. Predisporre un flusso chiaro lungo la catena degli intermediari evita che una richiesta si trasformi in un reclamo al Garante o in un contenzioso.
FAQ
Serve il consenso per trattare i dati sanitari in una polizza?
Di regola sì, il consenso esplicito è la base tipica per i dati sanitari (categorie particolari ex art. 9 GDPR) nelle polizze vita e malattia, salvo che ricorra la necessità per l’accertamento o la difesa di un diritto. In ogni caso servono informativa chiara e misure di sicurezza rafforzate.
L’agente assicurativo è titolare o responsabile del trattamento?
Dipende da chi determina finalità e mezzi. Un agente monomandatario che opera seguendo le istruzioni della compagnia è spesso responsabile ex art. 28; un broker che sceglie autonomamente le compagnie e consiglia il cliente è tipicamente titolare autonomo. La qualificazione va analizzata caso per caso e formalizzata.
Posso usare le banche dati antifrode per valutare un sinistro?
Sì, le banche dati antifrode di settore poggiano su base normativa e, in parte, sul legittimo interesse alla prevenzione delle frodi. Il trattamento va però documentato, limitato alla finalità e reso trasparente all’interessato nell’informativa.
Le compagnie assicurative devono rispettare DORA?
Sì. Le compagnie sono entità finanziarie soggette a DORA dal 17 gennaio 2025, sotto la vigilanza di IVASS. DORA si aggiunge al GDPR: la gestione degli incidenti ICT e dei fornitori terzi va coordinata con gli obblighi di sicurezza e notifica del Regolamento.
Le polizze telematiche con scatola nera sono a norma?
Possono esserlo, ma richiedono cautele. Il monitoraggio continuo dello stile di guida è una profilazione che influenza la tariffa e può ricadere nell’art. 22 GDPR sulle decisioni automatizzate. Servono base giuridica solida, trasparenza sulla logica applicata, minimizzazione dei dati raccolti e, in genere, una valutazione d’impatto per il trattamento su larga scala.
Vedi anche: il GDPR in sanità, settore che condivide con le assicurazioni il trattamento di dati sulla salute.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial