GDPR e assicurazioni: i profili di responsabilità del responsabile del trattamento

Il Garante per la privacy, con il provvedimento n. 107 del 24 marzo 2022 (doc. web n. 9767635), ha sanzionato un responsabile del trattamento (in specie, un fornitore) in ragione dell’accesso abusivo alla piattaforma informatica utilizzata per conto del titolare (nel caso di specie, un ente pubblico).

In particolare, all’esito degli accertamenti, l’Autorità ha evidenziato che il responsabile, in ragione della sua esperienza nel settore, era tenuto a verificare costantemente l’efficacia delle misure poste a presidio della piattaforma IT come indicato nell’atto di nomina quale “data processor”. Nei confronti del titolare, invece, non è stato adottato alcun provvedimento sanzionatorio in quanto l’ente aveva redatto correttamente l’atto di nomina a responsabile e “formato” adeguatamente il personale interno.

Al riguardo, sarà interessante vedere se (e in quali termini) le argomentazioni dell’Autorità riguardo alla verifica dell’efficacia delle misure di sicurezza nonché alla diretta ed autonoma responsabilità del “data processor” possono essere applicabili – stante le specificità e le peculiarità che contraddistinguono il settore assicurativo e della distribuzione assicurativa – anche ai trattamenti effettuati dall’intermediario quale “longa manus” della/e Compagnia/e sui sistemi informatici utilizzati per l’emissione delle polizze.