Ruolo soggettivo dell’impresa assicurativa nell’ambito dei bandi di gara per l’affidamento dei servizi assicurativi
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo
Massima (1) – Nell’ambito dei bandi di gara aventi ad oggetto la fornitura di servizi assicurativi e nella formalizzazione del successivo rapporto da instaurarsi tra ente aggiudicante e impresa assicuratrice, quest’ultima non va inquadrata nel ruolo di responsabile del trattamento ex art. 28 GDPR, né in quello di contitolare del trattamento, ma quale autonomo titolare del trattamento,in quanto non pone in essere un trattamento di dati “per conto” dell’ente aggiudicante, circostanza questa che, peraltro, priverebbe la società medesima dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno.
Massima (2) – La base giuridica legittimante il trasferimento dei dati, diversi da quelli di cui agli artt. 9 e 10 del GDPR, dall’ente o soggetto aggiudicante alla compagnia aggiudicataria può essere rinvenuta nell’art. 6, par. 1, lett. b), del GDPR (trattamento necessario per l’esecuzione di un contratto di cui l’interessato è parte). Ipotesi, questa, che rende evidente come un eventuale trattamento effettuato a fini diversi da quelli assicurativi (es. marketing) sia precluso al soggetto aggiudicatario, che diversamente incorrerebbe anche in una violazione degli obblighi contrattuali, oltre che nella violazione della disciplina in materia di protezione dei dati personali.
Provvedimento: GPDP, Docweb n. 9169688 del 21 ottobre 2019
Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9169688
Keywords: Bandi di gara, impresa di assicurazione, servizi assicurativi, responsabile del trattamento, titolare del trattamento, ente aggiudicante, enti pubblici, pubblica amministrazione, p.a.
Riferimenti normativi: (1) Artt. 4, n. 7) e 8), 5, par. 2, 24 e 28 GDPR; (2) artt. 6, par. 1, lett. b), 9 e 10, GDPR
Data del commento: 23 agosto 2021
Massime e Commento di Fabio Bravo
1. Il caso
Una compagnia di assicurazione, nel partecipare a bandi di gara per l’affidamento dei servizi assicurativi – quali ad es. polizze infortuni, responsabilità civile di terzi, etc. – notava che alcuni enti pubblici e alcune società controllate o partecipate da enti pubblici, prevedevano espressamente che l’impresa aggiudicataria rivestisse necessariamente il ruolo di responsabile del trattamento ai sensi dell’art. 28 del GDPR (Reg. UE 679/2016). Non condividendone l’impostazione, segnalava tale prassi al Garante, sollecitando un parere. Secondo la compagnia di assicurazione, infatti, tale prassi, benché largamente diffusa, non era in sintonia con la disciplina europea in materia di protezione dei dati personali e finiva per porre la società di assicurazioni di fronte al «bivio di dover decidere se accettare l’attribuzione del ruolo e degli obblighi del responsabile del trattamento e partecipare alla gara, o se rifiutarla ed essere esclusa». Il Garante per la protezione dei dati personali, in risposta alle sollecitazioni ricevute, si è espresso non tramite il Collegio, ma per voce di un proprio dirigente, con nota del 21 ottobre 2021, docweb n. 9169688, ora in commento, indirizzata alla società richiedente.
2. Le questioni
Le questioni che il caso solleva ruotano intorno alla (i) corretta configurazione dei rapporti soggettivi tra ente aggiudicatore e impresa assicuratrice in vista degli affidamenti di servizi assicurativi e alla (ii) base giuridica legittimante il trasferimento dei dati dalla stazione appaltante alla compagnia aggiudicataria.
2.1. Il ruolo soggettivo della compagnia di assicurazione nei bandi di gara
Sulla prima questione il Garante, nel provvedimento in esame, ha chiarito che il ruolo soggettivo per il corretto inquadramento della compagnia di assicuratrice non può che essere quello di autonomo titolare del trattamento dei dati personali.
La compagnia di assicurazione non può ricoprire il ruolo di responsabile del trattamento ex art. 28 GDPR, perché tale ruolo «è (…) caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse – in termini di conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento (cfr. Cons. 81 del Regolamento) –, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare (cfr. WP 169, Parere 1/2010 sui concetti di “responsabile e incaricato del trattamento” del 16 febbraio 2010)» (Gpdp, docweb n. 9169688 del 21 ottobre 2019, in commento, par. 2).
Va infatti tenuto conto che l’attività assicurativa, nell’ambito della quale vengono svoli i trattamenti dei dati personali, non è attività delegata dalla stazione appaltante alla compagnia appaltatrice, ma è attività riservata, che quest’ultima svolge in proprio in forza di specifiche autorizzazioni e per proprie finalità, del tutto distinte da quelle riconducibile all’ente aggiudicante. Come testualmente precisato nel parere in commento, l’attività assicurativa svolta dall’impresa appaltatrice «non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore» (Ibidem), dato che «l’attività assicurativa (…) è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle imprese assicurative (art. 11, co. 1 cod. ass.), le quali operano sotto la vigilanza di un’Autorità di controllo» (Ibidem).
Da ciò ne consegue che la compagnia assicuratrice, nei rapporti con la stazione appaltante, è da inquadrare come titolare autonomo del trattamento, in quanto «il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati nonché una responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento» (Ibidem). Sicché «il rapporto tra ente aggiudicante e impresa assicuratrice non possa configurarsi nei termini di titolare e responsabile del trattamento» (Ibidem).
Il provvedimento in esame esclude espressamente che possa configurarsi, nel caso di specie, una contitolarità del trattamento: «nell’ambito considerato, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento» (Ibidem). Le ragioni sono da individuare nell’autonomia con cui l’impresa di assicurazione svolge la propria attività – e determina le finalità – rispetto all’ente aggiudicante.
Tale particolare configurazione dei rapporti potrebbe tuttavia comportare il rischio di una sostanziale attenuazione delle garanzie che l’impresa assicuratrice potrebbe rendere con riferimento al rispetto della disciplina in materia di protezione dei dati personali, sottraendosi a quelle previste dall’art. 28 GDPR. È per tale ragione che il provvedimento in commento si preoccupa di precisare che «In un’ottica di accountability (art. 25 [rectius, art. 24, n.d.a.] del Regolamento) risulterebbe senz’altro apprezzabile l’inserimento, in sede di bando di gara, di elementi volti a identificare contraenti che diano le massime garanzie in materia di protezione dei dati personali» (Ibidem).
Va da sé tuttavia che il principio di accountability è riferibile non solo all’ente aggiudicante, ma anche all’impresa aggiudicataria, entrambi titolari autonomi del trattamento soggetti agli artt. 5, par. 2, e 24 GDPR.
2.2. La base giuridica legittimante il trasferimento dei dati dall’ente aggiudicante alla compagnia aggiudicataria
La particolare configurazione dei rapporti tra ente appaltate e società assicurativa appaltatrice, non riconducibile al rapporto tra titolare e responsabile del trattamento, impone di individuare la base giuridica che legittimi il trasferimento dei dati dall’uno all’altro. Il problema non si porrebbe nel caso in cui l’impresa assicuratrice fosse designabile come responsabile del trattamento, in quanto il flusso dei dati tra titolare e responsabile avrebbe, quale criterio di legittimazione, il rispetto delle condizioni di liceità dell’unico trattamento di dati personali riconducibile ad un unico titolare del trattamento. Poiché tuttavia l’impresa di assicurazione va configurata quale titolare autonomo del trattamento, il flusso di dati tra ente aggiudicante e compagnia assicuratrice aggiudicataria viene a costituire un trasferimento o una “comunicazione” di dati tra due distinti titolari e, come tale, viene a configurarsi quale operazione di trattamento che richiede una specifica base giuridica legittimante.
Il parere in commento chiarisce, a tal riguardo, che «la base giuridica legittimante il trasferimento dei dati, diversi da quelli di cui agli artt. 9 e 10 del Regolamento, dall’ente o soggetto aggiudicante alla compagnia aggiudicataria può essere rinvenibile nell’art. 6, par. 1, lett. b), del Regolamento stesso (trattamento necessario per l’esecuzione di un contratto di cui l’interessato è parte). Ipotesi, questa, che rende evidente come un eventuale trattamento effettuato a fini diversi da quelli assicurativi (es. marketing) sia precluso al soggetto aggiudicatario, che diversamente incorrerebbe anche in una violazione degli obblighi contrattuali, oltre che nella violazione della disciplina in materia di protezione dei dati personali» (Ibidem).
Il provvedimento in esame si preoccupa anche di precisare che «in tale contesto il trattamento dei dati personali dovrà avvenire in conformità alla disciplina in materia di protezione dati personali, soprattutto laddove l’interlocuzione preveda la comunicazione di informazioni (dati personali di dipendenti e utenti) dall’uno all’altro soggetto, prevedendo ad esempio puntuali termini di conservazione dei dati, una volta esauriti gli effetti del contratto» (Ibidem).
3. Precedenti
Non risultano precedenti specifici sul rapporto tra impresa assicuratrice e stazione appaltante in relazione ad affidamenti di servizi assicurativi.
Il Garante è stato più volte chiamato a pronunciarsi, in altri contesti, sui ruoli soggettivi in materia di protezione dei dati personali, chiarendo (sin dalla prima applicazione della disciplina in materia di protezione dei dati personali) quali siano i confini applicativi dei ruoli di titolare e responsabile del trattamento. Tra i provvedimento più significativi si vedano, ad es., GPDP, Docweb n. 30915 del 9 dicembre 1997 (ove s’è affermato che la titolarità del trattamento dei dati effettuato da una pubblica amministrazione o altro organismo è da individuare nell’ente o nell’organismo in sé e per sé considerato e non nelle persone fisiche che lo rappresentano o che si trovano in posizione apicale); Docweb n. 39785 del 9 dicembre 1997 e Docweb n. 41794 del 10 giugno 1998 (ove il medesimo principio è stato ribadito nei confronti, rispettivamente, del Ministero delle finanze e del Ministero dei lavori pubblici, da individuare quali titolari del trattamento: «Qualora il trattamento sia effettuato nell’ambito di un ministero, il titolare è l’entità nel suo complesso, anziché taluna delle persone fisiche che operano nella stessa struttura e che sono legittimate ad esprimere la volontà dell’ente»). Si veda anche, più recentemente, GPDP, Docweb n. 9577042 dell’11 marzo 2021 (ove è stata ravvisata l’ipotesi di contitolarità di fatto del trattamento tra Tim e altra società di cui la medesima si è avvalsa nell’ambito dello svolgimento di attività di marketing, a prescindere dalla formale configurazione dei rapporti, che ricalcava lo schema titolare-responsabile del trattamento), ma anche Docweb n. 7810723 del 1° febbraio 2018, par. 4, in materia di ratingreputazionale (anche in questo provvedimento il Garante ha riconfigurato il rapporto titolare-responsabile del trattamento, formalmente instaurato dai soggetti protagonisti del trattamento dei dati personali, nel diverso rapporto di contitolarità del trattamento, emergente dall’analisi della fattispecie concreta).
Per la definizione dei ruoli soggettivi sono particolarmente rilevanti i pareri del Gruppo ex art. 29 (Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor”, 16 February 2010, 264/10/EN, WP 169) e dell’EDPB (Guidelines 07/2020 on the concepts of controller and processor in the GDPR, v. 2.0, 7 July 2021).
Quanto al tema della semplificazione degli adempimenti in materia di protezione dei dati personali con riguardo ai trasferimenti dei dati nel settore assicurativo, in particolare quando il flusso dei dati intercorre tra diversi soggetti della c.d. catena assicurativa, si veda Garante, Docweb n. 1410057 del 26 aprile 2007.
4. Bibliografia
Sui ruoli soggettivi in materia di protezione dei dati personali si vedano in particolare, inter alios, F. Pizzetti-L. Greco, Comm. sub artt. 26 e 28 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, pp. 422 ss. e 456 ss.; A. Mantelero, Gli autori del trattamento dati: titolare e responsabile, in Giur. it., 2019, pp. 2799 ss.; C. del Federico-A.R. Popoli, Le definizioni, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, pp. 86 ss.; D. Farace, Il titolare e il responsabile del trattamento, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, pp. 731 ss.; G.M. Riccio, Data protection officer e altre figure, in S. Sica-V. D’Antonio-G.M. Riccio (a cura di), La nuova disciplina europea della privacy, Milano, 2016, pp. 33 ss.
In materia assicurativa, seppur non sullo specifico tema di cui al provvedimento in esame, si veda F. Bravo, Il trattamento dei dati personali nel settore bancario, finanziario e assicurativo, in J. Monducci-G. Sartor (a cura di), Il codice in materia di protezione dei dati personali. Commentario sistematico al D.Lgs. 30 giugno 2003 n. 196, Padova, pp. 351 ss.; F. Mollo, Protezione dei dati personali e profili assicurativi, Milano, 2019; S. Landini, Privacy, rischio informatico e assicurazioni, in Assicurazioni, 2019, 1, pp. 15 ss.; M. Perini, Il GDPR e l’intermediazione assicurativa, in giustiziacivile.com, 2019, 1, pp. 11 ss.
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo