Titolare o responsabile? Questo è il dilemma

Avv. Vincenzo Colarocco

Il 7 novembre scorso i Garanti Europei hanno pubblicato le Linee Guida sul concetto di titolare e responsabile in relazione al trattamento dei dati personali da parte delle istituzioni. Ciò conferma come la tematica sia sempre più dibattuta tanto che anche il Garante della protezione dei dati personali con parere pubblicato il 21 ottobre 2019 è intervenuto sul tema.

In particolare l’Autorità ha preliminarmente chiarito che “la vigente disciplina in materia di protezione dei dati personali (Regolamento (UE) 2016/679, d. lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018), si pone in linea di continuità con il quadro normativo previgente rispetto all’individuazione dei ruoli di “titolare” e di “responsabile” e alla distribuzione delle relative responsabilità”, ricordando che sul punto il GDPR non ha apportato novità rilevanti rispetto alla pregressa disciplina, richiamando anche l’applicabilità dell’Opinion 1/10 del WP29.

Ed infatti ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento, è necessario valutare, caso per caso, la specificità dell’attività posta in essere, avendo cura di considerare sia la determinazione delle finalità sia la normativa codicistica ove applicabile.

Nel caso sottoposto al Garante lo stesso ha chiarito, senza esitazioni, che “l’esercizio dell’attività assicurativa non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore; l’attività assicurativa infatti è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle imprese assicurative (art. 11, co. 1 cod. ass.), le quali operano sotto la vigilanza di un’Autorità di controllo

L’ente aggiudicante e la compagnia assicuratrice perseguono, infatti, interessi separati e distinti, che impediscono all’assicurazione di porre in essere un trattamento di dati “per conto” dell’ente aggiudicante. Tale autonomia è particolarmente evidente nella fase di gestione dei sinistri, laddove la compagnia debba decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio.

Dunque, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento, così come peraltro già evidenziato dal provvedimento del 26 aprile 2007 – c.d. catena assicurativa.