“La compagnia, che fornisce servizi assicurativi a un ente pubblico, ai fini privacy, non è responsabile esterno del trattamento dei dati per conto della p.a. (pubblica amministrazione), ma è un titolare autonomo del trattamento.
Nei bandi di gara per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, e così via), quindi, gli enti pubblici e/o società controllate o partecipate da enti pubblici, non devono prevedere che la compagnia assicurativa aggiudicataria debba necessariamente assumere il ruolo di responsabile del trattamento ai sensi dell’articolo 28 del Regolamento Ue sulla privacy n. 2016/679 (Gdpr).” È quanto chiarito dal Garante della privacy,rispondendo al quesito di una compagnia.
Per giungere alla conclusione bisogna tener conto che l’attività dell’assicurazione è effettuata in maniera totalmente autonoma; che l’attività assicurativa è riservata per legge a soggetti specializzati, mentre una p.a. non può svolgere questa attività, né tanto meno delegarla; la compagnia deve avere mani libere nella valutazione e liquidazione del danno, in modo tale che ad essa spetta solo di decidere se liquidare direttamente un sinistro, oppure avviare puntuali verifiche o resistere in giudizio.
In conclusione quindi, la società assicuratrice, aggiudicataria del servizio di copertura assicurativa, agisce in qualità di autonomo titolare, in quanto non effettua un trattamento di dati «per conto» dell’ente aggiudicante.
Si pone però, il problema delle condizioni del trasferimento di dati dall’ente alla compagnia (ad esempio di dipendenti e utenti). Sul punto, il Garante precisa che, per i dati diversi da quelli sensibili, particolari e giudiziari, la base giuridica del trasferimento è il contratto del Gdpr.
Il Garante aggiunge, inoltre, che l’assicurazione non può usare i dati, ricevuti per trattare i sinistri, con fini diversi da quelli assicurativi (ad esempio marketing).
Di Sa crede che in un’ottica di accountability, è apprezzabile l’inserimento, in sede di bando di gara, di elementi per selezionare contraenti che diano le massime garanzie in materia di privacy. Infine, nel contratto con l’assicurazione devono essere determinati puntuali termini di conservazione dei dati, una volta esauriti gli effetti del contratto stesso.
Ci si chiede, il risultato sarà lo stesso in relazione alla possibile attività di gestione delle liti sui sinistri da parte delle compagnie per conto dell’ente aggiudicante?