Nei bandi di gara degli enti pubblici per l’affidamento dei servizi assicurativi, la compagnia aggiudicataria svolge il ruolo di titolare del trattamento

Nei bandi di gara degli enti pubblici per l’affidamento dei servizi assicurativi, la compagnia aggiudicataria svolge il ruolo di titolare del trattamento

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento del 21 ottobre 2019

Precedenti sul tema: Provvedimento del 26 aprile 2007- cd. catena assicurativa.

Fatto

Il Garante per la protezione dei dati personali, sotto richiesta di parere rivolto da un’ impresa assicurativa, ha fornito a quest’ ultima una risposta che evidenzia in modo chiaro il ruolo soggettivo dell’impresa assicurativa nell’ambito dei bandi di gara per l’affidamento dei servizi assicurativi. A tal proposito, infatti, la compagnia ha evidenziato al Garante che, in detti bandi, alcuni enti pubblici o società controllate o partecipate da enti pubblici stabiliscono che la compagnia assicurativa che si aggiudica il bando debba necessariamente assumere il ruolo di responsabile del trattamento secondo quanto previsto dal Regolamento europeo in materia di protezione dei dati personali (GDPR). Tale previsione, quindi, a detta della società richiedenti il parere impone alle compagnie assicurative di accettare l’imposizione di tale ruolo di responsabile del trattamento oppure non partecipare al bando perdendo la possibilità di lavorare con l’ente pubblico in questione.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Il parere del Garante

Il garante della privacy ha preliminarmente rilevato come la nuova normativa europea in materia di protezione dei dati personali non abbia previsto alcuna novità, rispetto alla previgente normativa, per quanto riguarda l’individuazione del ruolo di “titolare” e di “responsabile” del trattamento. A tal proposito, c’è una differenza sostanziale tra “Titolare” del trattamento dei dati personali e “Responsabile” del trattamento: il primo, sia esso la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, è quindi colui che stabilisce le finalità e le modalità con cui avviene il trattamento dei dati personali. In altre parole egli decide il perché e il come questi dati debbano essere trattati. Infatti egli è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati nonché una responsabilità generale sui trattamenti di dati che vengono compiuti nel suo interesse. Il “responsabile” del trattamento dei dati, invece, sia esso la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, è colui che tratta i dati personali solo per conto del titolare del trattamento dei dati personali e può essere un terzo rispetto all’azienda oppure in caso di gruppi di imprese può essere un’impresa ad agire in qualità di responsabile. In sostanza, il responsabile svolge le attività in materia di trattamento dati che gli vengono delegate dal titolare del trattamento, dopo che quest’ ultimo ha compiuto le proprie scelte organizzative circa i soggetti cui delegare i vari compiti. È importante specificare, inoltre, che gli obblighi che il responsabile ha nei confronti del titolare del trattamento dei dati personali devono essere specificati in un contratto o in un altro atto giuridico che, oltre a vincolare reciprocamente le due figure, preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti. È possibile, inoltre, che ci siano casi in cui un’unica persona fisica o giuridica può essere allo stesso tempo titolare e responsabile dei dati personali.

In considerazione di quanto sopra circa le funzioni e i compiti delle due figure di cui sopra, il Garante ha quindi osservato che ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento è necessario valutare, caso per caso, in concreto l’attività che viene svolta, non essendo rilevante il modo in cui l’ente aggiudicante effettua la scelta o la selezione del soggetto che fornirà il servizio.

Dopo aver premesso ciò, il Garante ha quindi proseguito evidenziando come appaia evidente che il rapporto tra ente aggiudicante e impresa assicuratrice non possa configurarsi nei termini di titolare e responsabile del trattamento. Infatti, l’esercizio dell’attività assicurativa non può essere delegata da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa attività può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore: l’attività assicurativa infatti è disciplinata da una specifica normativa, il codice delle assicurazioni, che ne riserva l’esercizio alle imprese assicurative, le quali operano sotto la vigilanza di un’Autorità di controllo. Il garante afferma che la società assicuratrice, aggiudicataria del servizio di copertura assicurativa, agisce in qualità di autonomo titolare in quanto non pone in essere un trattamento di dati per conto del titolare, ovvero l’ente aggiudicante, poiché se cosi accadesse la società medesima  sarebbe privata dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno, considerato infatti che spetta proprio alla società assicuratrice, in base a proprie valutazioni interne, decidere se liquidare direttamente un sinistro senza particolari formalità o avviare più puntuali verifiche o anche resistere in giudizio. Secondo il Garante appare evidente che l’ente aggiudicante e la compagnia assicuratrice perseguono interessi separati e distinti, come del resto emerge anche dalla normativa di settore che, nel definire in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individua gli obblighi che ricadono sulle parti contraenti. Alla luce di quanto detto ne consegue che, nell’ambito considerato, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento. È allo stesso tempo ovvio che il trattamento dei dati personali dovrà avvenire in conformità alla disciplina in materia di protezione dati personali, soprattutto laddove il rapporto preveda la comunicazione di informazioni (dati personali di dipendenti e utenti) dall’uno all’altro soggetto, prevedendo ad esempio puntuali termini di conservazione dei dati, una volta esauriti gli effetti del contratto, in ossequio alla normativa prevista dal Regolamento dell’Unione Europea in materia di tutela dati personali. Infatti, il Garante evidenzia che un eventuale trattamento dei dati effettuato a fini diversi da quelli assicurativi, ad esempio al fine di marketing, sia precluso al soggetto aggiudicatario, che altrimenti incorrerebbe anche in una violazione degli obblighi contrattuali, oltre che alla violazione della disciplina in materia di protezione dei dati personali. Infine, il Garante ritiene opportuno precisare che, in un’ottica di accountability (ovvero di responsabilità da parte degli enti pubblici che indicono i bandi), sarebbe senz’altro apprezzabile l’inserimento, in sede di bando di gara, di elementi volti a identificare contraenti che diano le massime garanzie in materia di protezione dei dati personali.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Muia' Pier Paolo

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it