Le compagnie assicurative e quelle di intermediazione sono entrambe “Titolari del trattamento”. Chi è obbligata però a nominare un DPO?
adv

Le compagnie assicurative e le società di intermediazione per la natura delle loro prestazioni possono essere considerate entrambe allo stesso tempo “Titolari del trattamento”. Ai sensi del GDPR quale tra queste due figure è obbligata a nominare un DPO?

Il tema più controverso è quello dell’ obbligatorietà o meno delle designazione del Data Protection Officer (DPO).

Chi è il DPO?

Il DPO è un professionista (esterno o interno all’azienda) che abbia conoscenze giuridiche, informatiche, di risk management e di analisi dei processi.

Suo compito è quello di valutare e adottare tutte le misure necessarie affinché la gestione del trattamento di dati personali (e dunque anche la loro protezione) all’interno di un’azienda (sia pubblica che privata) avvenga nel rispetto delle disposizioni contenute nel GDPR e della normativa nazionale sulla privacy.

Da chi deve essere nominato tale figura?

Per la natura delle prestazioni svolte sia le Compagnie assicurative che le società di intermediazione ai sensi della normativa europea possono essere considerate entrambe quali “Titolari del trattamento”.

Tuttavia, solo sulle prime incomberebbe l’obbligo di nomina del DPO.

In base a quanto sancito dall’art. 37, par. 1, del Regolamento (UE) 2016/679 la nomina del DPO è obbligatoria per i seguenti Titolari di Trattamento:

  1. Autorità pubbliche e organismi pubblici;
  2. Titolari o Responsabili che svolgono trattamenti che «per loro natura, ambito e/o finalità» richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. Titolari o Responsabili che svolgono attività che consistono nel trattamento, su larga scala, di categorie particolari di dati personali (genetici, biometrici, giudiziari ecc.).

Per tutte le altre ipotesi la nomina del DPO è solo facoltativa.

Considerato il tenore astratto di questa normativa sembrerebbe che, a prima vista, le società di intermediazione rientrerebbero tra i soggetti espressamente indicati dalle lett. b) e c).

In realtà, però, il Garante della Privacy nelle Linee Guida pubblicate sul proprio sito istituzionale non contempla tali soggetti tra i Titolari obbligati per legge alla nomina di un DPO. Invero, nell’elenco pubblicato dall’Authority, i soggetti obbligati sono:

“istituti di credito; compagnie assicurative; sistemi di informazione creditizia; società finanziarie quelle di informazioni commerciali nonché di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; aziende che forniscono servizi informatici; aziende che erogano servizi televisivi a pagamento”.

Seppur vero che questo elenco deve essere considerato solo esemplificativo e non esaustivo è anche vero che non c’è alcuna disposizione che imponga alle società di intermediazione di nominare un DPO.

Principio di accountability

Il principio di accountability impone ai Titolari del Trattamento una gestione responsabile che tenga conto dei rischi connessi all’attività svolta e che sia idonea a garantire la piena conformità del trattamento dei dati personali ai principi sanciti dal Regolamento e dalla legislazione nazionale.

Questo principio è uno dei pilastri fondamentali del GDPR e la sua corretta estrinsecazione richiede un atteggiamento proattivo dei Titolari e dei Responsabili del trattamento volto alla ricerca costante di misure tecniche e organizzative adeguate alla protezione dei dati trattati.

Pertanto, come logico corollario del principio di accountability anche le società di intermediazione dovrebbero designare un DPO anche se tale nomina non è imposta dalla normativa europea o da quella nazionale.

Avatar
Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.