Il Garante privacy ha risposto a un quesito relativo al ruolo soggettivo delle compagnie di assicurazione. La risposta è nel documento "Ruolo soggettivo dell'impresa assicurativa nell'ambito dei bandi di gara per l'affidamento dei servizi assicurativi":
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9169688.
In sostanza, se un'organizzazione stipula assicurazioni per il proprio personale, l'assicuratore è da considerare titolare del trattamento. Questo perché l'organizzazione non può creare assicurazioni e quindi questo trattamento non può essere considerato come esternalizzato.
Possiamo quindi dedurre che lo stesso discorso valga anche per le banche e per gli organismi di certificazione, visto che un'organizzazione (a meno gli ovvi casi in cui sia essa stessa una società di assicurazioni, una banca o un organismo di certificazione) non può autonomamente erogare questi servizi e quindi l'assicurazione, la banca, l'OdC non trattano i dati "per conto" (o in qualità di "delegato") del titolare.
Ovviamente questa risposta del Garante non permette di risolvere altri casi "complessi", come quelli relativi alle singole persone (p.e. medico del lavoro) o società particolari come i fornitori di connettività o le poste. Però è già un ottimo spunto.
Si osserva anche che il caso delle assicurazioni (che io ho esteso a banche e OdC) riguarda un mercato molto regolamentato e vigilato. Pertanto anche le misure di sicurezza sono regolamentate e vigilate. La stessa cosa non si può dire per gli altri settori, dove non c'è regolamentazione stringente e relativa vigilanza, e io ribadisco la mia convinzione: anche nel caso di trasferimento ad altro titolare, il titolare mittente deve avere garanzie precise in merito al livello di sicurezza fornito dal destinatario e non può limitarsi a dire che il destinatario è titolare e quindi sono fatti suoi, visto che può scegliere tra diverse opzioni.
Ringrazio Diego Padovan per aver segnalato questa notizia agli Idraulici della privacy.
Nessun commento:
Posta un commento