Compagnie assicuratrici: titolari o responsabili del trattamento? La risposta del Garante

GDPR
GDPR

Indice:

1. Premesse

2. Il caso

3. Inquadramento normativo e definizioni di titolare e responsabile

4. La risposta del Garante

5. Conclusioni

 

1. Premesse

Il Garante privacy è recentemente tornato a pronunciarsi sul dibattuto tema della qualificazione dei ruoli privacy di “titolare autonomo” e “responsabile del trattamento” in differenti contesti di trattamento.

A seguito del riscontro al quesito formulato dal Consiglio nazionale dei consulenti del lavoro sul medesimo tema, già trattato su “Il dato è tratto”, questa volta la domanda rivolta al Garante riguarda la qualificazione, secondo le disposizioni del GDPR, delle compagnie assicuratrici che partecipano in qualità di candidate a  bandi di gara indetti da enti pubblici e società controllate/partecipate da enti pubblici (“Enti”) per l’affidamento di servizi assicurativi.

 

2. Il caso

Il caso sottoposto al Garante, come specificato nel quesito, nasce dal fatto che i suddetti Enti prevedevano nei bandi di gara che la compagnia aggiudicataria dovesse necessariamente ricoprire il ruolo di “responsabile del trattamento” nei confronti dell’Ente aggiudicante – individuato quale “titolare” – relativamente ai trattamenti dei dati personali derivanti dalle prestazioni assicurative.

Le criticità derivanti da tale qualificazione sono riscontrabili nella “difficile” posizione in cui si sarebbero trovate le compagnie assicuratrici aggiudicatarie, costrette ad accettare il ruolo di responsabile del trattamento o, in alternativa, a rinunciare all’appalto.

 

3. Inquadramento normativo e definizioni di titolare e responsabile

Interrogato sulla questione da una società interessata, il Garante, oltre a rilevare una continuità applicativa con la disciplina ante-GDPR, ha dato riscontro al quesito partendo dalle definizioni di “titolare” e “responsabile”, rispettivamente contenute ai punti 7 e 8, paragrafo 1, dell’articolo 4 del GDPR.

Vale la pena di soffermarsi brevemente su alcuni punti chiave delle citate definizioni per comprendere appieno il percorso tracciato dal Garante per formulare la propria risposta.

Il titolare del trattamento è quel soggetto (persona fisica o giuridica o ente) che “singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. In sostanza, è colui che detiene il potere decisionale in ordine ad un determinato trattamento e, oltre a dare origine a quest’ultimo, decide “perché” e “come” tale trattamento deve essere effettuato (ad esempio, il datore di lavoro che assume un lavoratore dà origine al conseguente trattamento di dati personali per finalità di gestione del rapporto di lavoro e con mezzi e strumenti che egli stesso determina).

Espressione di tale potere decisionale, tra le altre, è la possibilità per il titolare di esternalizzare un determinato trattamento (così come insiemi o singole operazioni di trattamenti) affidandolo a soggetti esterni alla propria organizzazione, i quali si limitano a effettuare i trattamenti delegati nei limiti e in conformità alle istruzioni impartite dal titolare.

È dall’esercizio di questa facoltà da parte del titolare che dipende la presenza o meno di un “responsabile del trattamento”, definito come quel soggetto (persona fisica o giuridica o ente) che “tratta dati personali per conto del titolare del trattamento”.

Nell’assetto normativo del GDPR, il responsabile è soggetto “necessariamente” esterno all’organizzazione del titolare, con il quale quest’ultimo instaura rapporti contrattuali che hanno ad oggetto (oltre che il servizio esternalizzato) il trattamento di dati personali che sarebbero altrimenti trattati nell’ambito dell’organizzazione del titolare.

Al fine di regolare tali rapporti sul piano del trattamento dei dati personali, il GDPR prevede che tra i due soggetti intercorra un accordo contrattuale che vincoli il responsabile ad agire nei limiti di quanto stabilito e richiesto dal titolare (natura, finalità e durata del trattamento, tipo di dati personali e categorie di interessati oggetto di trattamento e responsabilità reciproche).

L’attività del responsabile, pertanto, non potrà mai godere di autonomia decisionale, se non entro un limitato spazio comunque delimitato dalla volontà del titolare e dall’accordo contrattuale stipulato.

 

4. La risposta del Garante

Sulla scorta delle suddette indicazioni normative, il Garante ha dato riscontro al quesito negando la possibilità che una compagnia assicuratrice che si aggiudica un bando per la prestazione dei relativi servizi assicurativi – possa ricoprire il ruolo di responsabile del trattamento nei confronti dell’Ente aggiudicante.

In particolare, ciò che rileva nel caso di specie è

  1. (elemento oggettivo) la specificità e peculiarità dell’attività posta in essere dalle compagnie assicuratrici, i cui limiti e interessi sono definiti dettagliatamente da norme di legge;
  2. (elemento soggettivo) il fatto che tale attività può essere svolta esclusivamente da soggetti specializzati e autorizzati sulla base di una specifica disciplina di settore (articoli 1882 e ss. del Codice Civile e Decreto Legislativo 209/2005).

Tali elementi peculiari dell’attività assicurativa, infatti, non consentono che la stessa possa essere oggetto di delega da parte degli Enti appaltanti, necessitando le compagnie assicuratrici della massima autonomia decisionale per svolgere le attività proprie del settore (quali, valutazione e liquidazione del danno, avvio di particolari verifiche, resistenza in giudizio).

Alla luce di tali argomentazioni, il Garante non ha ritenuto configurabile un rapporto titolare-responsabile tra gli Enti e le compagnie assicuratrici, individuando in capo a entrambi i soggetti una titolarità autonoma per categorie, finalità e strumenti di trattamento dei dati.

Tuttavia il Garante non esclude che, dal rapporto intercorrente tra l’Ente e la compagnia vincitrice della gara, possa derivare la trasmissione di dati personali dall’una all’altra organizzazione, sussistendo in questo caso una necessità in termini di adempimenti di natura contrattuale da parte di entrambi i soggetti, qualificata come base giuridica legittimante tale trasmissione (in conformità alla lettera b) paragrafo 1 dell’articolo 6 del GDPR).

In tal senso, una volta definita l’autonomia decisionale di ciascun soggetto, in termini di “accountability” nulla vieta (anzi è oltremodo opportuno) che gli Enti inseriscano nei bandi di gara specifiche clausole che richiamino l’importanza dell’adozione di garanzie e misure adeguate in materia di protezione dei dati personali in capo alle compagnie partecipanti, in vista della fisiologica e reciproca necessità di comunicare e trasmettere dati personali e, di conseguenza, anche ai fini della selezione.

 

5. Conclusioni

La corretta collocazione e qualificazione dei ruoli “attivi” del trattamento (titolari, contitolari, responsabili e autorizzati) è di primaria importanza per l’attribuzione di compiti, adempimenti e obblighi previsti per ciascun ruolo e, di conseguenza, per la distribuzione delle responsabilità derivanti dal trattamento e dall’inosservanza delle norme a tutela dei dati personali.

Per tali ragioni, è sempre opportuno effettuare una indagine analitica (e coordinata con altri riferimenti normativi) sulla natura di quei soggetti che, a vario titolo, intervengono nel trattamento di dati personali e sul contesto nel quale si instaurano i rispettivi rapporti.

In tal senso, è palmare l’utilità pratica che si trae dalle risposte del Garante ai quesiti formulati da soggetti direttamente interessati a settori specifici (consulenti del lavoro e altri ordini professionali, così come le associazioni di categoria e enti pubblici).

È auspicabile dunque che la formulazione di quesiti da parte di soggetti pubblici e privati sull’applicazione di disposizioni specifiche e di rilievo pratico sia frequente e costante, consentendo così agli operatori della materia e (con il loro aiuto) ai non addetti ai lavori di individuare, di volta in volta, sulla base dei riscontri del Garante, le best practices da seguire o, quantomeno, gli strumenti di guida per orientarsi tra le disposizioni di una materia così complessa.