Compagnia assicurativa si configura come responsabile del trattamento o contitolare?
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
La Compagnia assicurativa e':
Tale conclusione, in merito alla qualificazione della Compagnia assicurativa, è stata ribadita anche nel recente parere di seguito riportato.
"Privacy: Pa e servizi assicurativi, attenzione agli errori nei bandi di gara
E’ scorretto obbligare l’assicurazione vincitrice ad assumere l’incarico di responsabile del trattamento.
Le pubbliche amministrazioni non devono inserire nei bandi di gara per i servizi assicurativi, l’obbligo per le compagnie aggiudicatarie di assumere l’incarico di responsabile del trattamento dei dati. L’assicurazione, infatti, ai sensi del Regolamento europeo sulla protezione dei dati e della normativa di settore, mantiene la sua autonomia decisionale, in qualità di titolare del trattamento. Lo ha chiarito il Garante per la privacy nel parere fornito a una società assicuratrice che si lamentava di non poter partecipare a gare per l’affidamento dei servizi assicurativi a causa di alcune clausole in merito al trattamento dei dati, a suo avviso errate, imposte dagli enti aggiudicanti. Alcuni enti pubblici, nonché alcune società controllate o partecipate, nel predisporre i capitolati, avevano infatti previsto l’obbligo contrattuale per le compagnie che offrivano servizi assicurativi (come polizze sugli infortuni o sulla responsabilità civile di terzi) di riconoscere la titolarità della Pa per le decisioni in merito al trattamento dei dati personali. Nel corso dell’istruttoria, l’Autorità ha precisato, invece, che la compagnia assicurativa deve assumere la posizione di titolare autonomo del trattamento. L’ente aggiudicante e la compagnia assicuratrice perseguono, infatti, interessi separati e distinti, che impediscono all’assicurazione di porre in essere un trattamento di dati “per conto” dell’ente aggiudicante. Tale autonomia è particolarmente evidente nella fase di gestione dei sinistri, laddove la compagnia debba decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio. Nel suo parere, il Garante ha inoltre sottolineato che la compagnia assicuratrice deve comunque agire nel pieno rispetto della disciplina in materia di protezione dati personali. Potrà dunque utilizzare i dati acquisiti solo per le finalità previste dal contratto e non per altre, quali ad esempio il marketing. In un’ottica di responsabilizzazione (accountability) dei soggetti, pubblici e privati, che trattano i dati, prevista dal Regolamento europeo (Gdpr), l’Autorità ha comunque rimarcato l’utilità di inserire nei bandi di gara clausole che consentano di selezionare contraenti in grado di fornire le più idonee garanzie in materia di protezione dei dati personali.
PARERE
Ruolo soggettivo dell’impresa assicurativa nell’ambito dei bandi di gara per l’affidamento dei servizi assicurativi (doc. web n. 9169688)
1. Con nota del 5 giugno 2019, XX S.p.A. (di seguito, XX) ha rappresentato a questa Autorità che, successivamente all’applicazione del Regolamento (UE) 2016/679 (di seguito anche “Regolamento”), nei bandi di gara per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, etc.), alcuni enti pubblici e/o società controllate o partecipate da enti pubblici (di seguito, enti aggiudicanti) prevedono che la compagnia assicurativa aggiudicataria debba necessariamente assumere il ruolo di responsabile del trattamento ai sensi dell’art. 28 del Regolamento.
Nella medesima nota XX, nel sottolineare come tale prassi si stia diffondendo sebbene la nuova normativa in materia di protezione dei dati personali nulla di nuovo disponga in merito, ha evidenziato come detta situazione ponga spesso l’impresa assicuratrice davanti al “bivio di dover decidere se accettare l’attribuzione del ruolo e degli obblighi del responsabile del trattamento e partecipare alla gara, o se rifiutarla ed essere esclusa”.
2. Al riguardo, si rileva, in via preliminare, che la vigente disciplina in materia di protezione dei dati personali (Regolamento (UE) 2016/679, d. lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018), si pone in linea di continuità con il quadro normativo previgente rispetto all’individuazione dei ruoli di “titolare” e di “responsabile” e alla distribuzione delle relative responsabilità.
Infatti, con definizione sostanzialmente sovrapponibile a quella contenuta nella Direttiva 95/46/CE (art. 2, lett. d), il Regolamento, da un lato, definisce quale «titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 1, n. 7) e, dall’altro, quale «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, par. 1, n. 8).
Alla luce delle definizioni sopra riportate, pertanto, il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati nonché una responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento.
Il ruolo del responsabile è, invece, caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse - in termini di conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento (cfr. Cons. 81 del Regolamento) -, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare (cfr. WP 169, Parere 1/2010 sui concetti di "responsabile e incaricato del trattamento" del 16 febbraio 2010).
Il rapporto tra titolare e responsabile deve essere regolato da un contratto – o da altro atto giuridico stipulato per iscritto – che, oltre a vincolare reciprocamente le due figure, preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti (cfr. Cons. 81 del Regolamento).
3. Muovendo dal predetto quadro regolatorio, si osserva che, ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento, è necessario valutare, caso per caso, la specificità dell’attività posta in essere, non rilevando a tal fine la modalità con la quale l’ente aggiudicante (come nell’ipotesi della gara di appalto) effettua la scelta o la selezione del soggetto che fornirà il servizio.
Ciò posto, appare evidente che il rapporto tra ente aggiudicante e impresa assicuratrice non possa configurarsi nei termini di titolare e responsabile del trattamento.
In primo luogo, infatti, l’esercizio dell’attività assicurativa non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore; l’attività assicurativa infatti è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle imprese assicurative (art. 11, co. 1 cod. ass.), le quali operano sotto la vigilanza di un’Autorità di controllo.
La società assicuratrice, aggiudicataria del servizio di copertura assicurativa, agisce, quindi, in qualità di autonomo titolare in quanto non pone in essere un trattamento di dati “per conto” dell’ente aggiudicante, circostanza questa che, peraltro, priverebbe la società medesima dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno (spetta infatti a tale società, in base a proprie valutazioni interne, decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio). Non vi è dubbio, infatti, che l’ente aggiudicante e la compagnia assicuratrice perseguono interessi separati e distinti, come del resto emerge dalla citata normativa di settore che, nel definire in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individua gli obblighi che ricadono sulle parti contraenti (in tal senso, v. anche artt. 1882 e ss. c.c.).
Alla luce di quanto detto, si rappresenta che, nell’ambito considerato, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento (a tal riguardo cfr. provvedimento del 26 aprile 2007-cd. catena assicurativa, doc. web n. 1410057).
È evidente che in tale contesto il trattamento dei dati personali dovrà avvenire in conformità alla disciplina in materia di protezione dati personali, soprattutto laddove l’interlocuzione preveda la comunicazione di informazioni (dati personali di dipendenti e utenti) dall’uno all’altro soggetto, prevedendo ad esempio puntuali termini di conservazione dei dati, una volta esauriti gli effetti del contratto.
Occorre a questo proposito altresì precisare che la base giuridica legittimante il trasferimento dei dati, diversi da quelli di cui agli artt. 9 e 10 del Regolamento, dall’ente o soggetto aggiudicante alla compagnia aggiudicataria può essere rinvenibile nell’art. 6, par. 1, lett. b), del Regolamento stesso (trattamento necessario per l’esecuzione di un contratto di cui l’interessato è parte). Ipotesi, questa, che rende evidente come un eventuale trattamento effettuato a fini diversi da quelli assicurativi (es. marketing) sia precluso al soggetto aggiudicatario, che diversamente incorrerebbe anche in una violazione degli obblighi contrattuali, oltre che nella violazione della disciplina in materia di protezione dei dati personali.
In un’ottica di accountability (art. 25 del Regolamento) risulterebbe senz’altro apprezzabile l’inserimento, in sede di bando di gara, di elementi volti a identificare contraenti che diano le massime garanzie in materia di protezione dei dati personali.
Il dirigente
Fonte: Autorità Garante