Home

Privacy: i bandi di gara non devono obbligare l’assicurazione vincitrice ad assumere l’incarico di responsabile del trattamento dei dati

Redazione Scientifica
30 Ottobre 2019

Il Garante privacy ha stabilito nel proprio parere che «le pubbliche amministrazioni non devono inserire nei bandi di gara per i servizi assicurativi, l'obbligo per le compagnie aggiudicatarie di assumere l'incarico di responsabile del trattamento dei dati. L'assicurazione, infatti, ai sensi del Regolamento europeo sulla protezione dei dati e della normativa di settore, mantiene la sua autonomia decisionale, in qualità di titolare del trattamento».

La vicenda. Una società assicurativa chiedeva un parere del Garante privacy, poiché lamentava di non poter partecipare a gare per l'affidamento dei servizi assicurativi a causa di alcune clausole sul trattamento dei dati, imposte dagli enti aggiudicanti. Nel dettaglio, alcuni enti pubblici, avevano previsto l'obbligo contrattuale per le compagnia che offrivano servizi assicurativi (polizza sugli infortuni o sulla responsabilità civile di terzi) di riconoscere alla Pubblica amministrazione la titolarità delle decisioni in merito al trattamento dei dati personali ai sensi dell'art. 28 del Regolamento.

Le definizioni. Il Garante, innanzitutto, ricorda che:

  • Titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dati personali nonchè una responsabilità generale su trattamenti posti in essere;
  • Responsabile è invece colui che svolge attività delegate dal titolare con un delimitato ambito di attribuzioni e con specifiche istruzioni sui trattamenti da effettuare.

Interessi separati e distinti. Il Garante precisa, poi, che «la compagnia assicurativa deve assumere la posizione di titolare autonomo del trattamento». Invero, Ente aggiudicante e assicurazione perseguono interessi diversi per cui la compagnia assicuratrice non può porre in essere un trattamento dei dati per conto dell'Ente pubblico.

Non può – spiega il Garante – «tra ente aggiudicante e impresa assicuratrice configurarsi un rapporto nei termini di titolare e responsabile del trattamento».

D'altronde, l'assicurazione deve mantenere una certa autonomia nella fase di gestione dei sinistri, ossia quando la stessa debba decidere se liquidare direttamente un sinistro senza particolari formalità o se avviare puntuali verifiche o resistere in giudizio.

Autonomia decisionale del titolare. Le Pubbliche amministrazioni, quindi, «non devono inserire nei bandi di gara per i servizi assicurativi, l'obbligo per le compagnie aggiudicatarie di assumere l'incarico di responsabile del trattamento dei dati». Ai sensi del GDPR e della normativa si settore, «l'assicurazione mantiene la sua autonomia decisionale, in qualità di titolare del trattamento».

Accountability. Conclude il Garante che «in un'ottica di responsabilizzazione dei soggetti, pubblici e privati, che trattano i dati, prevista dal Regolamento europeo (Art. 25)» è comunque utile «inserire nei bandi di gara clausole che consentano di selezionare contraenti in grado di fornire le più idonee garanzie in materia di protezione dei dati personali».

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.