Privacy: i bandi di gara non devono obbligare l’assicurazione vincitrice ad assumere l’incarico di responsabile del trattamento dei dati
30 Ottobre 2019
La vicenda. Una società assicurativa chiedeva un parere del Garante privacy, poiché lamentava di non poter partecipare a gare per l'affidamento dei servizi assicurativi a causa di alcune clausole sul trattamento dei dati, imposte dagli enti aggiudicanti. Nel dettaglio, alcuni enti pubblici, avevano previsto l'obbligo contrattuale per le compagnia che offrivano servizi assicurativi (polizza sugli infortuni o sulla responsabilità civile di terzi) di riconoscere alla Pubblica amministrazione la titolarità delle decisioni in merito al trattamento dei dati personali ai sensi dell'art. 28 del Regolamento.
Le definizioni. Il Garante, innanzitutto, ricorda che:
Interessi separati e distinti. Il Garante precisa, poi, che «la compagnia assicurativa deve assumere la posizione di titolare autonomo del trattamento». Invero, Ente aggiudicante e assicurazione perseguono interessi diversi per cui la compagnia assicuratrice non può porre in essere un trattamento dei dati per conto dell'Ente pubblico. Non può – spiega il Garante – «tra ente aggiudicante e impresa assicuratrice configurarsi un rapporto nei termini di titolare e responsabile del trattamento». D'altronde, l'assicurazione deve mantenere una certa autonomia nella fase di gestione dei sinistri, ossia quando la stessa debba decidere se liquidare direttamente un sinistro senza particolari formalità o se avviare puntuali verifiche o resistere in giudizio.
Autonomia decisionale del titolare. Le Pubbliche amministrazioni, quindi, «non devono inserire nei bandi di gara per i servizi assicurativi, l'obbligo per le compagnie aggiudicatarie di assumere l'incarico di responsabile del trattamento dei dati». Ai sensi del GDPR e della normativa si settore, «l'assicurazione mantiene la sua autonomia decisionale, in qualità di titolare del trattamento».
Accountability. Conclude il Garante che «in un'ottica di responsabilizzazione dei soggetti, pubblici e privati, che trattano i dati, prevista dal Regolamento europeo (Art. 25)» è comunque utile «inserire nei bandi di gara clausole che consentano di selezionare contraenti in grado di fornire le più idonee garanzie in materia di protezione dei dati personali». |