Il Garante Privacy, con un recentissimo parere fornito ad una società assicuratrice, ha precisato la qualifica della stessa come Titolare Autonomo del trattamento nell’ambito dei servizi forniti alle Pubbliche Amministrazioni.

Nello specifico, la compagnia lamentava il fatto di non poter partecipare a gare per l’affidamento di servizi assicurativi in quanto nei bandi si obbligavano le partecipanti ad assumere la qualifica di Responsabili del Trattamento ex art. 28 GDPR 2016/679, ritenendo che il Titolare dei dati fosse in ogni caso la Pubblica Amministrazione.

Il Garante ha precisato che, nel caso di specie, la compagnia assicurativa debba assumere la posizione di Titolare Autonomo del trattamento. L’ente aggiudicante e la compagnia assicuratrice perseguono, infatti, interessi separati e distinti e pertanto l’assicurazione non svolge un trattamento di dati “per conto” dell’ente aggiudicante.

Inoltre, secondo l’Autorità, tale autonomia sarebbe particolarmente evidente nella fase di gestione dei sinistri, laddove la compagnia debba decidere se liquidare direttamente un sinistro senza particolari formalità, se avviare verifiche più puntuali o se resistere in giudizio.

In ogni caso, il parere evidenzia la necessità che la compagnia assicuratrice agisca nel pieno rispetto della disciplina in materia di protezione dati personali, con il conseguente obbligo di trattare i dati acquisiti solo per le finalità previste dal contratto e non per altre, salvo che ricorra un’ulteriore base giuridica (ad esempio il consenso per finalità di marketing).

Il Garante ha altresì ribadito l’utilità di inserire nei bandi di gara clausole volte a selezionare contraenti in grado di fornire le più idonee garanzie in materia di protezione dei dati personali.

Per ulteriori informazioni è possibile contattare lo studio attraverso l'apposito form, nella sezione contatti.

avv. Martina Pasetto