Nei bandi di gara per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, e così via), non è necessario prevedere che la compagnia assicurativa aggiudicataria debba necessariamente assumere il ruolo di responsabile del trattamento ai sensi dell’articolo 28 del Regolamento Ue sulla privacy n. 2016/679 (Gdpr).
Piuttosto, il Garante Privacy, con parere rilasciato ad una società assicurativa, precisa che la stessa “aggiudicataria del servizio di copertura assicurativa, agisce, in qualità di autonomo titolare in quanto non pone in essere un trattamento di dati per conto dell’ente aggiudicante”.
Pertanto le pubbliche amministrazioni non devono inserire nei bandi di gara per i servizi assicurativi, l’obbligo per le compagnie aggiudicatarie di assumere l’incarico di responsabile del trattamento dei dati. L’assicurazione, infatti, ai sensi del Regolamento europeo sulla protezione dei dati e della normativa di settore, mantiene la sua autonomia decisionale, necessaria tra l’altro ad una corretta valutazione e liquidazione del danno.
Infine, il Garante oltre a precisare che è comunque necessario che la compagnia assicuratrice agisca nel rispetto della disciplina di protezione dati personali, ha rimarcato che l’utilità di inserire nei bandi di gara clausole che consentano di selezionare contraenti in grado di fornire le più idonee garanzie in materia di protezione dei dati personali.
