Fonte: Garante
Oggetto: ruolo soggettivo dell’impresa assicurativa nell’ambito dei bandi di gara per l’affidamento dei servizi assicurativi
1. Con nota del 5 giugno 2019, XX S.p.A. (di seguito, XX) ha rappresentato a questa Autorità che, successivamente all’applicazione del Regolamento (UE) 2016/679 (di seguito anche “Regolamento”), nei bandi di gara per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, etc.), alcuni enti pubblici e/o società controllate o partecipate da enti pubblici (di seguito, enti aggiudicanti) prevedono che la compagnia assicurativa aggiudicataria debba necessariamente assumere il ruolo di responsabile del trattamento ai sensi dell’art. 28 del Regolamento.
Nella medesima nota XX, nel sottolineare come tale prassi si stia diffondendo sebbene la nuova normativa in materia di protezione dei dati personali nulla di nuovo disponga in merito, ha evidenziato come detta situazione ponga spesso l’impresa assicuratrice davanti al “bivio di dover decidere se accettare l’attribuzione del ruolo e degli obblighi del responsabile del trattamento e partecipare alla gara, o se rifiutarla ed essere esclusa”.
2. Al riguardo, si rileva, in via preliminare, che la vigente disciplina in materia di protezione dei dati personali (Regolamento (UE) 2016/679, d. lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018), si pone in linea di continuità con il quadro normativo previgente rispetto all’individuazione dei ruoli di “titolare” e di “responsabile” e alla distribuzione delle relative responsabilità.
Infatti, con definizione sostanzialmente sovrapponibile a quella contenuta nella Direttiva 95/46/CE (art. 2, lett. d), il Regolamento, da un lato, definisce quale «titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 1, n. 7) e, dall’altro, quale «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, par. 1, n. 8).
Alla luce delle definizioni sopra riportate, pertanto, il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati nonché una responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento.
Il ruolo del responsabile è, invece, caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse - in termini di conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento (cfr. Cons. 81 del Regolamento) -, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare (cfr. WP 169, Parere 1/2010 sui concetti di "responsabile e incaricato del trattamento" del 16 febbraio 2010).
Il rapporto tra titolare e responsabile deve essere regolato da un contratto – o da altro atto giuridico stipulato per iscritto – che, oltre a vincolare reciprocamente le due figure, preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti (cfr. Cons. 81 del Regolamento).
3. Muovendo dal predetto quadro regolatorio, si osserva che, ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento, è necessario valutare, caso per caso, la specificità dell’attività posta in essere, non rilevando a tal fine la modalità con la quale l’ente aggiudicante (come nell’ipotesi della gara di appalto) effettua la scelta o la selezione del soggetto che fornirà il servizio.
Ciò posto, appare evidente che il rapporto tra ente aggiudicante e impresa assicuratrice non possa configurarsi nei termini di titolare e responsabile del trattamento.
In primo luogo, infatti, l’esercizio dell’attività assicurativa non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore; l’attività assicurativa infatti è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle imprese assicurative (art. 11, co. 1 cod. ass.), le quali operano sotto la vigilanza di un’Autorità di controllo.
La società assicuratrice, aggiudicataria del servizio di copertura assicurativa, agisce, quindi, in qualità di autonomo titolare in quanto non pone in essere un trattamento di dati “per conto” dell’ente aggiudicante, circostanza questa che, peraltro, priverebbe la società medesima dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno (spetta infatti a tale società, in base a proprie valutazioni interne, decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio). Non vi è dubbio, infatti, che l’ente aggiudicante e la compagnia assicuratrice perseguono interessi separati e distinti, come del resto emerge dalla citata normativa di settore che, nel definire in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individua gli obblighi che ricadono sulle parti contraenti (in tal senso, v. anche artt. 1882 e ss. c.c.).
Alla luce di quanto detto, si rappresenta che, nell’ambito considerato, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento (a tal riguardo cfr. provvedimento del 26 aprile 2007-cd. catena assicurativa, doc. web n. 1410057).
È evidente che in tale contesto il trattamento dei dati personali dovrà avvenire in conformità alla disciplina in materia di protezione dati personali, soprattutto laddove l’interlocuzione preveda la comunicazione di informazioni (dati personali di dipendenti e utenti) dall’uno all’altro soggetto, prevedendo ad esempio puntuali termini di conservazione dei dati, una volta esauriti gli effetti del contratto.
Occorre a questo proposito altresì precisare che la base giuridica legittimante il trasferimento dei dati, diversi da quelli di cui agli artt. 9 e 10 del Regolamento, dall’ente o soggetto aggiudicante alla compagnia aggiudicataria può essere rinvenibile nell’art. 6, par. 1, lett. b), del Regolamento stesso (trattamento necessario per l’esecuzione di un contratto di cui l’interessato è parte). Ipotesi, questa, che rende evidente come un eventuale trattamento effettuato a fini diversi da quelli assicurativi (es. marketing) sia precluso al soggetto aggiudicatario, che diversamente incorrerebbe anche in una violazione degli obblighi contrattuali, oltre che nella violazione della disciplina in materia di protezione dei dati personali.
In un’ottica di accountability (art. 25 del Regolamento) risulterebbe senz’altro apprezzabile l’inserimento, in sede di bando di gara, di elementi volti a identificare contraenti che diano le massime garanzie in materia di protezione dei dati personali.
Servizio con tecnologia ICT di RPD
All Privacy Entionline - Servizio online, in cloud e con tecnologia ICT, GDPR e DPO
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
È possibile cliccare su un tag per visualizzare gli articoli e le faq correlate.