L'art. 37.1 del Reg.to UE 2016/679 elenca le n. 3 fattispecie per cui la nomina è obbligatoria e solo la prima delle tre è di tipo soggettivo (cioè ha a che fare con la qualità dei titolari – nel caso, autorità e organismi pubblici -), mentre le altre due (di tipo oggettivo) riguardano caratteristiche dei trattamenti posti in essere dal titolare o dal responsabile nell'ambito delle attività principali.
Occorre dunque verificare se i trattamenti gestiti dalla compagnia assicuratrice possano iscriversi in una delle due fattispecie di cui all'art. 37.1, lettere b) e c).
Va aggiunto, nondimeno, che per poter compiere valutazioni adeguate sul punto non è possibile neppure prescindere dal contenuto delle Linee Guida sui responsabili della protezione dei dati. Né è da sottacere che tra gli esempi di trattamenti su larga scala di cui all'art. 37.1, lettere b) e c), figuri per l'appunto il “trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell'ambito delle ordinarie attività”. Si tratta di un semplice esempio, da sottoporre a verifica rispetto ai fattori elencati al fine di stabilire la sussistenza della “larga scala”, ma a questo punto si fa davvero arduo e rischioso il pensiero che una (qualsiasi) compagnia assicurativa possa sottrarsi a tale nomina. Comunque consigliabile procedervi.
