giovedì, Marzo 28, 2024
Amministrazione e GiustiziaUncategorized

Gare per l’affidamento dei servizi assicurativi e obbligo di assumere il ruolo di responsabile del trattamento dei dati

A cura di Pasquale La Selva

Il Garante per la Protezione dei Dati Personali, con una risposta ad un quesito posto da una impresa del 21 ottobre 2019[1], ha definito il ruolo soggettivo delle imprese assicurative nell’ambito dei bandi di gara per l’affidamento dei servizi assicurativi.

Il 5 giugno 2019 infatti, l’impresa suddetta aveva palesato all’Autorità la sempre più diffusa tendenza di indicare nei bandi di gara per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, ecc.) previsioni volte ad obbligare le compagnie assicurative aggiudicatarie ad assumere il ruolo di responsabile del trattamento ai sensi dell’art. 28 del Regolamento Generale sulla Protezione dei Dati[2].

L’effetto che derivava da tale obbligo, era quello di porre le imprese assicurative dinanzi ad un bivio: accettare l’attribuzione del ruolo e dei relativi obblighi del responsabile del trattamento al fine di partecipare alla gara, o, in alternativa, rifiutare il ruolo ed essere escluse dalla gara.

Per mera chiarezza espositiva, si riporta che l’art. 4, par. 1, n. 7) del Regolamento definisce “Titolare del trattamento” “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”, mentre il par. 1, n. 8) definisce “Responsabile del trattamento” “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Il titolare è dunque il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati, nonché una responsabilità generale sui trattamenti posti in essere dallo stesso o da altri per suo conto.

Il ruolo del responsabile è, invece, caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse.

Il rapporto tra titolare e responsabile, ai sensi del Considerando 81 del Regolamento, dovrebbe[3] essere regolato da un contratto che vincoli reciprocamente le parti, prevedendo nel dettaglio quale sia la materia disciplinata, la natura, le finalità e la durata del trattamento.

Alla luce di quanto esposto, l’Autorità ritiene evidente che, nel caso di specie, il rapporto tra ente aggiudicante e impresa assicuratrice non possa configurarsi nei termini di titolare e responsabile del trattamento.

Atteso che l’esercizio dell’attività assicurativa non può in alcun modo formare oggetto di “delega”, a dir dell’Autorità “la società assicuratrice, aggiudicataria del servizio di copertura assicurativa, agisce, quindi, in qualità di autonomo titolare in quanto non pone in essere un trattamento di dati “per conto” dell’ente aggiudicante, circostanza questa che, peraltro, priverebbe la società medesima dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno (spetta infatti a tale società, in base a proprie valutazioni interne, decidere se liquidare direttamente un sinistro senza particolare formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio). Non vi è dubbio, infatti, che l’ente aggiudicante e la compagnia assicuratrice perseguono interessi separati e distinti, come del resto emerge dalla citata normativa di settore che, nel definire in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individua gli obblighi che ricadono sulle parti contraenti”.

Conclude dunque l’Autorità Garante per la Protezione dei Dati Personali che, nell’ambito considerato, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento, auspicando, nell’ottica di accountability, l’inserimento, nei bandi di gara, di elementi volti ad identificare contraenti che diano garanzie in materia di protezione dei dati personali.

 

[1] Consultabile al presente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9169688

[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

[3] L’Autorità, invero, nella propria risposta utilizza il termine “deve” in luogo del termine “dovrebbe” impiegato, diversamente, nel Regolamento.

Pasquale La Selva

Pasquale La Selva nasce a Napoli il 22 Febbraio 1994. Ha conseguito la laurea magistrale in giurisprudenza presso il Dipartimento di Giurisprudenza dell’Università degli Studi di Napoli “Federico II” con tesi in Diritto Amministrativo dal titolo "Il socio pubblico e la golden share", a relazione del Prof. Fiorenzo Liguori, ed ha conseguito, presso il Dipartimento di Scienze Politiche dello stesso Ateneo la laurea magistrale in Scienze della Pubblica Amministrazione, con una tesi sulle "competenze e poteri di ordinanza tra Stato, Regioni ed Enti Locali nell'emergenza sanitaria" a relazione del Prof. Alfredo Contieri. Pasquale ha conseguito anche un Master di II livello in "Compliance e Prevenzione della Corruzione nei settori Pubblico e Privato" presso l'Università LUMSA di Roma, con una tesi sulla rotazione del personale quale misura anticorruttiva. Pasquale è direttore del Dipartimento di diritto amministrativo di Ius in itinere ed è praticante avvocato. Durante il periodo degli studi, Pasquale è stato anche un cestista ed un atleta agonista: detiene il titolo regionale campano sui 400 metri piani della categoria “Promesse” dell'anno 2016, è stato vice campione regionale 2017 della categoria "assoluti" sulla stessa distanza, ed ha partecipato ad un Campionato Italiano nel 2016. Contatti: pasquale.laselva@iusinitinere.it

Lascia un commento