Nell’ambito dell’ecosistema assicurativo operano diversi soggetti, ciascuno dei quali ricoprirà, ai sensi del GDPR, uno specifico ruolo in relazione alle attività svolge (cfr in materia l’intervento del Garante docweb 1410057 del 2007).
Per quanto attiene al caso proposto, alla luce del GDPR come delle Linee guida 07/2020 sui ruoli di titolare e di responsabile del trattamento, si può a mio avviso ritenere che la SC operi in qualità di responsabile del trattamento per l’impresa che ne chiede i servizi, per conto della quale tratta i dati personali della propria compagine secondo le indicazioni del contraente: in questo caso per gestire diversi aspetti dei sinistri (previdenziali, sanitari, legali etc.) nell’interesse dell’impresa mandante; ciò anche nel caso i sinistri fossero sopra franchigia e, quindi, potrebbero generare rimborsi assicurativi. Se i sinistri fossero sopra franchigia e la SC fosse incaricata di presentare le richieste nei confronti dell’impresa assicuratrice interverrebbe nei confronti di quest’ultima come agente rappresentante dell’impresa e, quindi, da ritenere con la stessa veste GDPR di quest’ultima (titolare del trattamento).
Va anche aggiunto che più che titolare, l’impresa di assicurazione è qualificabile con titolare autonomo del trattamento, operando in base a riserva di legge, come ha specificato il Garante con il provvedimento nel docweb 9169688 del 2019).