La società assicuratrice, aggiudicataria di un servizio di copertura assicurativa bandito dalla PA, agisce in qualità di autonomo titolare in quanto non pone in essere un trattamento di dati “per conto” dell’ente aggiudicante, circostanza questa che, peraltro, priverebbe la società medesima dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno (spetta infatti a tale società, in base a proprie valutazioni interne, decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio). Non vi è dubbio, infatti, che l’ente aggiudicante e la compagnia assicuratrice perseguono interessi separati e distinti, come del resto emerge dalla specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018), che, nel definire in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individua gli obblighi che ricadono sulle parti contraenti (in tal senso, v. anche artt. 1882 e ss. c.c.).
È quanto precisato, in linea di massima, dall’Autorità Garante per la protezione dei dati personali in occasione di un parere emesso il 21 ottobre 2019 (cfr. Newsletter del 28 ottobre 2019).
Nel caso di specie, la società Alfa spa rappresentava all’Autorità summenzionata che, a seguito dell’entrata in vigore del GDPR, alcuni enti pubblici e/o società controllate o partecipate da enti pubblici prevedevano, nei bandi di gara per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, etc.), che la compagnia assicurativa aggiudicataria dovesse essere nominata, ex art. 28 GDPR, responsabile del trattamento.
Sul punto il Garante ha precisato che, sebbene la determinazione di un soggetto quale titolare o responsabile del trattamento vada analizzata in riferimento alla concretezza del rapporto interessato, risulti evidente come il rapporto tra ente aggiudicante e impresa assicuratrice non possa configurarsi nei termini di titolare e responsabile del trattamento.
Ciò, a detta dell’Authority, discende dalla natura dell’esercizio dell’attività assicurativa, che, inevitabilmente, non può essere demandata dall’affidante del servizio in parola, in quanto la stessa è oggetto di trattazione esclusiva di soggetti specificamente individuati dalla disciplina di settore, quali, appunto, le imprese di assicurazione.
Alla luce di ciò, dunque, l’Autorità ha precisato come, nella tipologia dei rapporti succitata, la compagnia assicurativa vada qualificata come autonomo titolare del trattamento.