Il Garante privacy si è recentemente pronunciato sul dibattuto tema della qualificazione dei ruoli privacy di “titolare autonomo” e “responsabile del trattamento” in differenti contesti di trattamento. La domanda rivolta al Garante riguarda la qualificazione, secondo le disposizioni del GDPR, delle compagnie assicuratrici che partecipano a bandi di gara indetti da enti pubblici e società controllate/partecipate da enti pubblici (“Enti”) per l’affidamento di servizi assicurativi.
Il caso
Nel caso sottoposto al Garante, le pubbliche amministrazioni prevedevano nei bandi di gara che la compagnia assicuratrice aggiudicataria dovesse necessariamente ricoprire il ruolo di “responsabile del trattamento” nei confronti dell’Ente aggiudicante – individuato quale “titolare” – relativamente ai trattamenti dei dati personali derivanti dalle prestazioni assicurative.
La definizione e l’inquadramento normativo: titolare e responsabile
In questo contesto è bene partire dalle definizioni di “titolare” e “responsabile”, rispettivamente contenute ai punti 7 e 8, paragrafo 1, dell’articolo 4 del GDPR.
Il Regolamento (UE) 2016/679, definisce quale «titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 1, n. 7). In sostanza, è colui che detiene il potere decisionale in ordine ad un determinato trattamento e, oltre a dare origine a quest’ultimo, decide “perché” e “come” tale trattamento deve essere effettuato
Il «responsabile del trattamento» è: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, par. 1, n. 8).
Alla luce delle definizioni sopra riportate, pertanto, il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati nonché una responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento.
Il ruolo del responsabile è caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse – in termini di conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento (cfr. Cons. 81 del Regolamento) -, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare (cfr. WP 169, Parere 1/2010 sui concetti di “responsabile e incaricato del trattamento” del 16 febbraio 2010).
Il rapporto tra titolare e responsabile deve essere regolato da un contratto – o da altro atto giuridico stipulato per iscritto – che, oltre a vincolare reciprocamente le due figure, preveda nel dettaglio quale sia la materia disciplinata, la natura, la finalità e la durata del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti di entrambe le parti (cfr. Cons. 81 del Regolamento).
Il parere del Garante Privacy
Sulla base delle definizioni, sopra riportate, l’Autorità ha precisato, che la compagnia assicurativa ricopre la posizione di titolare autonomo del trattamento. L’ente aggiudicante e la compagnia assicuratrice perseguono, infatti, interessi separati e distinti, che impediscono all’assicurazione di porre in essere un trattamento di dati “per conto” dell’ente aggiudicante.
Tale autonomia è particolarmente evidente nella fase di gestione dei sinistri, laddove la compagnia debba decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio.
Nel suo parere, il Garante ha inoltre sottolineato che la compagnia assicuratrice deve comunque agire nel pieno rispetto della disciplina in materia di protezione dati personali. Potrà dunque utilizzare i dati acquisiti solo per le finalità previste dal contratto e non per altre, quali ad esempio il marketing.
In un’ottica di responsabilizzazione (accountability) dei soggetti, pubblici e privati, che trattano i dati, prevista dal Regolamento Europeo (Gdpr), l’Autorità ha comunque rimarcato l’utilità di inserire nei bandi di gara clausole che consentano di selezionare contraenti in grado di fornire le più idonee garanzie in materia di protezione dei dati personali.
(Fonte Garante Privacy)