Con Parere n. 9169688 del 21 ottobre 2019 il Garante per la protezione dei dati personali ha fornito chiarimenti in merito al ruolo soggettivo, nel trattamento dei dati personali, ricoperto da un’impresa assicurativa nell’ambito di bandi di gara per l’affidamento di servizi assicurativi.
Nel caso di specie alcuni enti pubblici, nonché alcune società controllate o partecipate, nel predisporre i capitolati, avevano previsto l’obbligo contrattuale per le compagnie che offrivano servizi assicurativi di riconoscere la titolarità della PA per le decisioni in merito al trattamento dei dati personali.
In merito il Garante ha precisato che la compagnia assicurativa deve assumere la posizione di titolare autonomo del trattamento. L’ente aggiudicante e la compagnia assicuratrice perseguono, infatti, interessi separati e distinti, che impediscono all’assicurazione di porre in essere un trattamento di dati “per conto” dell’ente aggiudicante. Tale autonomia è particolarmente evidente nella fase di gestione dei sinistri, laddove la compagnia debba decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio.
Nel suo Parere, il Garante ha inoltre sottolineato che la compagnia assicuratrice dovrà comunque agire nel pieno rispetto della disciplina in materia di protezione dati personali, soprattutto laddove l’interlocuzione preveda la comunicazione di informazioni (dati personali di dipendenti e utenti) dall’uno all’altro soggetto, prevedendo ad esempio puntuali termini di conservazione dei dati, una volta esauriti gli effetti del contratto.
Su tale questione il Garante ha precisato che la base giuridica legittimante il trasferimento dei dati, diversi da quelli di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679 (GDPR), dall’ente o soggetto aggiudicante alla compagnia aggiudicataria può essere rinvenibile nell’art. 6, par. 1, lett. b), del Regolamento stesso (trattamento necessario per l’esecuzione di un contratto di cui l’interessato è parte). Ipotesi, questa, che rende evidente come un eventuale trattamento effettuato a fini diversi da quelli assicurativi (es. marketing) sia precluso al soggetto aggiudicatario, che diversamente incorrerebbe anche in una violazione degli obblighi contrattuali, oltre che nella violazione della disciplina in materia di protezione dei dati personali.