Assicurazioni e ruoli GDPR: cosa dicono i Garanti privacy UE

Gli orientamenti forniti dall’EDPB (“European Data Protection Board”) contribuiscono a fare chiarezza sul significato dei concetti di titolare, responsabile e contitolare. Qual è l’impatto sul settore assicurativo e della distribuzione assicurativa?

.


.

Le Autorità privacy europee sottolineano che i concetti di titolare, contitolare e di responsabile del trattamento sono concetti “funzionali”: si basano, quindi, su un’analisi fattuale piuttosto che formale. L’EDPB precisa che lo stesso soggetto può rivestire contemporaneamente ruoli diversi e sovrapponibili tra loro.

.

TITOLARE, RESPONSABILE E CONTITOLARE

Titolare del trattamento

Il titolare del trattamento è quel soggetto che determina le finalità e i mezzi del trattamento: ovvero il “perché” e il “come” del trattamento. L’individuazione del ruolo di titolare deve avvenire sulla base di un’analisi delle concrete attività svolte in uno specifico contesto.

.

Responsabile del trattamento

Per quanto concerne la figura del responsabile (art. 28 del GDPR), due sono i requisiti per la ricorrenza della sua qualifica: deve trattarsi di un’entità separata dal titolare e che tratti i dati personali per conto del titolare.

.

Contitolare del trattamento

Sul concetto di contitolare (di cui all’art. 26 del Regolamento), le “Guidelines” rilevano che la contitolarità può sorgere quando più “attori” partecipano congiuntamente alla determinazione delle finalità e dei mezzi del trattamento. Nello specifico, la contitolarità può assumere la forma di una comune decisione presa da due o più entità o derivare da decisioni convergenti di due o più entità per quanto riguarda gli scopi e i mezzi essenziali del trattamento.

.

.

CONSIDERAZIONI FINALI

I chiarimenti forniti dai Garanti privacy UE contribuiscono a chiarire ulteriormente il significato dei concetti di titolare, responsabile e contitolare e suggeriscono rilevanti best practices per guidare gli attori del settore assicurativo e della distribuzione assicurativa a declinare correttamente l’applicazione del GDPR con riguardo alla molteplicità e specificità dei trattamenti svolti nell’ambito della cosiddetta “catena assicurativa”. Sarà, pertanto, necessario che i rapporti tra compagnie e distribuzione siano in linea con le nuove indicazioni delle Autorità privacy europee.