Nei bandi di gara degli enti pubblici per l’affidamento dei servizi assicurativi, la compagnia aggiudicataria svolge il ruolo di titolare del trattamento

Scarica PDF Stampa
Garante per la protezione dei dati personali: provvedimento del 21 ottobre 2019

Precedenti sul tema: Provvedimento del 26 aprile 2007- cd. catena assicurativa.

Fatto

Il Garante per la protezione dei dati personali, sotto richiesta di parere rivolto da un’ impresa assicurativa, ha fornito a quest’ ultima una risposta che evidenzia in modo chiaro il ruolo soggettivo dell’impresa assicurativa nell’ambito dei bandi di gara per l’affidamento dei servizi assicurativi. A tal proposito, infatti, la compagnia ha evidenziato al Garante che, in detti bandi, alcuni enti pubblici o società controllate o partecipate da enti pubblici stabiliscono che la compagnia assicurativa che si aggiudica il bando debba necessariamente assumere il ruolo di responsabile del trattamento secondo quanto previsto dal Regolamento europeo in materia di protezione dei dati personali (GDPR). Tale previsione, quindi, a detta della società richiedenti il parere impone alle compagnie assicurative di accettare l’imposizione di tale ruolo di responsabile del trattamento oppure non partecipare al bando perdendo la possibilità di lavorare con l’ente pubblico in questione.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Il parere del Garante

Il garante della privacy ha preliminarmente rilevato come la nuova normativa europea in materia di protezione dei dati personali non abbia previsto alcuna novità, rispetto alla previgente normativa, per quanto riguarda l’individuazione del ruolo di “titolare” e di “responsabile” del trattamento. A tal proposito, c’è una differenza sostanziale tra “Titolare” del trattamento dei dati personali e “Responsabile” del trattamento: il primo, sia esso la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, è quindi colui che stabilisce le finalità e le modalità con cui avviene il trattamento dei dati personali. In altre parole egli decide il perché e il come questi dati debbano essere trattati. Infatti egli è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati nonché una responsabilità generale sui trattamenti di dati che vengono compiuti nel suo interesse. Il “responsabile” del trattamento dei dati, invece, sia esso la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, è colui che tratta i dati personali solo per conto del titolare del trattamento dei dati personali e può essere un terzo rispetto all’azienda oppure in caso di gruppi di imprese può essere un’impresa ad agire in qualità di responsabile. In sostanza, il responsabile svolge le attività in materia di trattamento dati che gli vengono delegate dal titolare del trattamento, dopo che quest’ ultimo ha compiuto le proprie scelte organizzative circa i soggetti cui delegare i vari compiti. È importante specificare, inoltre, che gli obblighi che il responsabile ha nei confronti del titolare del trattamento dei dati personali devono essere specificati in un contratto o in un altro atto giuridico che, oltre a vincolare reciprocamente le due figure, preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti. È possibile, inoltre, che ci siano casi in cui un’unica persona fisica o giuridica può essere allo stesso tempo titolare e responsabile dei dati personali.

In considerazione di quanto sopra circa le funzioni e i compiti delle due figure di cui sopra, il Garante ha quindi osservato che ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento è necessario valutare, caso per caso, in concreto l’attività che viene svolta, non essendo rilevante il modo in cui l’ente aggiudicante effettua la scelta o la selezione del soggetto che fornirà il servizio.

Dopo aver premesso ciò, il Garante ha quindi proseguito evidenziando come appaia evidente che il rapporto tra ente aggiudicante e impresa assicuratrice non possa configurarsi nei termini di titolare e responsabile del trattamento. Infatti, l’esercizio dell’attività assicurativa non può essere delegata da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa attività può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore: l’attività assicurativa infatti è disciplinata da una specifica normativa, il codice delle assicurazioni, che ne riserva l’esercizio alle imprese assicurative, le quali operano sotto la vigilanza di un’Autorità di controllo. Il garante afferma che la società assicuratrice, aggiudicataria del servizio di copertura assicurativa, agisce in qualità di autonomo titolare in quanto non pone in essere un trattamento di dati per conto del titolare, ovvero l’ente aggiudicante, poiché se cosi accadesse la società medesima  sarebbe privata dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno, considerato infatti che spetta proprio alla società assicuratrice, in base a proprie valutazioni interne, decidere se liquidare direttamente un sinistro senza particolari formalità o avviare più puntuali verifiche o anche resistere in giudizio. Secondo il Garante appare evidente che l’ente aggiudicante e la compagnia assicuratrice perseguono interessi separati e distinti, come del resto emerge anche dalla normativa di settore che, nel definire in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individua gli obblighi che ricadono sulle parti contraenti. Alla luce di quanto detto ne consegue che, nell’ambito considerato, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento. È allo stesso tempo ovvio che il trattamento dei dati personali dovrà avvenire in conformità alla disciplina in materia di protezione dati personali, soprattutto laddove il rapporto preveda la comunicazione di informazioni (dati personali di dipendenti e utenti) dall’uno all’altro soggetto, prevedendo ad esempio puntuali termini di conservazione dei dati, una volta esauriti gli effetti del contratto, in ossequio alla normativa prevista dal Regolamento dell’Unione Europea in materia di tutela dati personali. Infatti, il Garante evidenzia che un eventuale trattamento dei dati effettuato a fini diversi da quelli assicurativi, ad esempio al fine di marketing, sia precluso al soggetto aggiudicatario, che altrimenti incorrerebbe anche in una violazione degli obblighi contrattuali, oltre che alla violazione della disciplina in materia di protezione dei dati personali. Infine, il Garante ritiene opportuno precisare che, in un’ottica di accountability (ovvero di responsabilità da parte degli enti pubblici che indicono i bandi), sarebbe senz’altro apprezzabile l’inserimento, in sede di bando di gara, di elementi volti a identificare contraenti che diano le massime garanzie in materia di protezione dei dati personali.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

 

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento