Appalti pubblici e bandi di gara: il ruolo privacy delle compagnie di assicuzione

Il Garante per la protezione dei dati personali, con provv. del 28.10.2019 (doc. web n. 9169688), ha chiarito il “ruolo privacy” delle compagnie di assicurazione nei bandi di gara indetti dalla p.a. per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, etc.).

Diversi enti pubblici, infatti, in forza dei poteri autoritativi, finivano per imporre (tramite specifica previsione nel bando di gara) il ruolo di titolare del trattamento in capo all’ente pubblico e di responsabile del trattamento in capo alla compagnia assicuratrice, senza tenere però in adeguata considerazione ruoli e funzioni dei due soggetti nell’ambito della disciplina in tema di trattamento dei dati personali.

Chiarisce il Garante che

“Al riguardo, si rileva, in via preliminare, che la vigente disciplina in materia di protezione dei dati personali (Regolamento (UE) 2016/679, d. lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018), si pone in linea di continuità con il quadro normativo previgente rispetto all’individuazione dei ruoli di “titolare” e di “responsabile” e alla distribuzione delle relative responsabilità.”

e che pertanto

“il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati nonché una responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento”.

“Il ruolo del responsabile è, invece, caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse – in termini di conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento (cfr. Cons. 81 del Regolamento) -, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare (cfr. WP 169, Parere 1/2010 sui concetti di “responsabile e incaricato del trattamento” del 16 febbraio 2010).

Il rapporto tra titolare e responsabile deve essere regolato da un contratto – o da altro atto giuridico stipulato per iscritto – che, oltre a vincolare reciprocamente le due figure, preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti (cfr. Cons. 81 del Regolamento)”.

Sulla scorta di tali premesse, il Garante dunque così conclude su tale punto:

“Muovendo dal predetto quadro regolatorio, si osserva che, ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento, è necessario valutare, caso per caso, la specificità dell’attività posta in essere, non rilevando a tal fine la modalità con la quale l’ente aggiudicante (come nell’ipotesi della gara di appalto) effettua la scelta o la selezione del soggetto che fornirà il servizio.

Ciò posto, appare evidente che il rapporto tra ente aggiudicante e impresa assicuratrice non possa configurarsi nei termini di titolare e responsabile del trattamento.

In primo luogo, infatti, l’esercizio dell’attività assicurativa non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore; l’attività assicurativa infatti è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle imprese assicurative (art. 11, co. 1 cod. ass.), le quali operano sotto la vigilanza di un’Autorità di controllo.

La società assicuratrice, aggiudicataria del servizio di copertura assicurativa, agisce, quindi, in qualità di autonomo titolare in quanto non pone in essere un trattamento di dati “per conto” dell’ente aggiudicante, circostanza questa che, peraltro, priverebbe la società medesima dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno (spetta infatti a tale società, in base a proprie valutazioni interne, decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio). Non vi è dubbio, infatti, che l’ente aggiudicante e la compagnia assicuratrice perseguono interessi separati e distinti, come del resto emerge dalla citata normativa di settore che, nel definire in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individua gli obblighi che ricadono sulle parti contraenti (in tal senso, v. anche artt. 1882 e ss. c.c.).

Alla luce di quanto detto, si rappresenta che, nell’ambito considerato, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento (a tal riguardo cfr. provvedimento del 26 aprile 2007-cd. catena assicurativa, doc. web n. 1410057).”.

 

Leave a Reply

Your email address will not be published. Required fields are marked *