PA PI306773-21 Servizio di brokeraggio assicurativo per l’Azienda USL di Bologna e per conto delle Aziende Sanitarie dell’Area Vasta Emilia Centrale, lotto unico. GURI n. 111 del 24/09/2021.

Si comunica che il giorno 6/12/2021 dalle ore 9:15, in seduta virtuale, si procederà allo sblocco delle offerte tecniche

Quesito 1) Art. 16. Contenuto dell’offerta tecnica, relativamente agli allegati alla relazione tecnica, chiediamo se per “sezione dedicata alle sole rappresentazioni delle funzionalità espletate dagli strumenti informatici messi a disposizione del Committente” si intendano solo rappresentazioni grafiche o all’interno può essere inserito del testo descrittivo esplicativo dello strumento informatico stesso.

Risposta 1) Può comprendere sia rappresentazioni grafiche che testo descrittivo, purché il tutto sia contenuto nelle 20 pagine Fronte/retro come indicato nel Disciplinare di Gara

Quesito 2) Art. 15 Fatturazione, Pagamento, Ordini, prevede le modalità di trasmissione delle fatture alle Aziende Sanitarie. Vogliate confermarci che tale articolo non è applicabile al presente appalto in quanto il compenso del broker è a carico delle Compagnie Assicurative sulla base della provvigione fissa indicata nella documentazione di gara.

Risposta 2) Quanto indicato nell’art 15 è regola di carattere generale. Nello specifico si conferma la non applicazione per quanto concerne il compenso del broker

Quesito 3) Art. 26.2 - Responsabile del trattamento dei dati personali ai sensi del Regolamento U.E. 679/2016 del disciplinare di gara e l’art. 11 del Capitolato – Obbligo di Riservatezza dei dati prevedono rispettivamente la nomina della ditta aggiudicataria a Responsabile del Trattamento dei dati personali ai sensi dell’art. 28 del Regolamento U.E.

Si chiede di mantenere la qualifica di Titolare in capo a XXX poiché in modo analogo a quanto valevole per le compagnie assicurative (per le quali si è espressamente pronunciato il Garante privacy) - il broker, si considera Titolare del trattamento dei dati, ex art. 4.7 del GDPR, per quanto riguarda l’attività di intermediazione assicurativa di tutti i programmi assicurativi del cliente in quanto, nell’esecuzione dei predetti servizi di intermediazione, nel rispetto del principio di proporzionalità e di necessità, lo stesso determina le tipologie e le finalità di trattamento dei dati personali raccolti.
In tale ambito XXX ha discrezione circa i dati personali che vengono comunicati agli assicuratori e le misure tecniche che utilizza per garantirne la sicurezza e gestisce indipendentemente le decisioni relative agli obblighi normativi che possono richiedere a XXX di mantenere e divulgare i dati personali a enti regolatori o altre autorità.
Analogamente a quanto stabilito per le compagnie assicurative, peraltro, l’esercizio delle attività di intermediazione assicurativa svolte da XXX – regolamentate da specifica disciplina di settore e sottoposte a autorità di vigilanza dedicata - non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa può, appunto, essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore (d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle società aventi stringenti e specifici requisiti, le quali operano sotto la vigilanza di un’Autorità di controllo.
Alla luce di tutto quanto sopra si conferma che l’intermediario assicurativo, agisce, quindi, in qualità di autonomo titolare in quanto non pone in essere un trattamento di dati “per conto” dell’ente aggiudicante. L’ente aggiudicante e l’intermediario assicurativo perseguono interessi separati e distinti.
Fermo ciò, è evidente che in tale contesto il trattamento dei dati personali dovrà avvenire (e avverrà) in conformità alla disciplina in materia di protezione dati personali.

Risposta 3) La previsione indicata nella documentazione di gara ha carattere generale. Nel caso di specie, preso atto di quanto segnalato, verificate le pronunce del GDP in materia, il Broker può essere inquadrato come Titolare del trattamento dei dati. Pertanto al momento della stipula del contratto si procederà alla specifica di ruolo come Titolare.

Quesito 4) Relativamente alla formulazione dell’offerta economica, trattandosi di servizi di natura intellettuale, vi chiediamo di confermarci che nei campi relativi alla compilazione dell’offerta su Sater, non sia necessario indicare gli oneri della sicurezza ed il costo del personale (che, ove il campo sia obbligatoriamente da compilare, potranno essere quantificati con un importo pari a 0), così come previsto dall’art. 95, comma 10 del D. Lgs. 50/2016 e s.m.i. e che lo stesso valga per la compilazione del modello di offerta predisposto dalla Stazione Appaltante nella parte in cui è richiesta l’indicazione della percentuale di incidenza dei costi della sicurezza rispetto ai ricavi complessivi.

Risposta 4) Si conferma

Quesito 5) In relazione, alla nomina del broker aggiudicatario quale Responsabile del Trattamento dei dati prevista dall’art. 26 del Disciplinare, dall’art. 11 del Capitolato e disciplinata nell’allegato 2, segnaliamo che la specificità dell’attività posta in essere dal broker dovrebbe guidare la scelta rispetto al ruolo da assumere nella gestione dei dati personali, secondo la normativa ad oggi vigente, deponendo a favore dell’inquadramento dello stesso come Titolare autonomo del trattamento e ciò in virtù sia delle specifiche attività svolte dall’intermediario assicurativo, che di quanto disposto dal Garante della Privacy sul tema della corretta veste giuridica delle Imprese di Assicurazione (cui la figura del broker viene assimilata per analogia di attività svolta) ad essere nominate Titolari del trattamento dei dati. Il broker, al fine di poter correttamente svolgere il suo ruolo di intermediario nell’interesse del Cliente, necessita, infatti, di un grado di autonomia operativa ampio, che è possibile ottenere solo attraverso la qualifica di Titolare. Inoltre, l’esercizio dell’attività di intermediazione assicurativa non può in alcun modo formare oggetto di “delega” da parte del soggetto che affida tale servizio (presupposto di una nomina a Responsabile), in quanto la stessa può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore. Ciò peraltro trova ulteriore conferma nei due provvedimenti emessi dal Garante (“Ruolo soggettivo dell’impresa assicurativa nell’ambito dei bandi di gara per l’affidamento dei servizi assicurativi” e “Esonero dall’informativa in ambito assicurativo – c.d. catena assicurativa”) dal cui combinato disposto si ricava che ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento, è necessario valutare, caso per caso, la specificità dell’attività posta in essere, non rilevando a tal fine la modalità con la quale avviene il trasferimento dei dati. L’attività di intermediazione assicurativa, come noto, è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; D. Lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio ad operatori specializzati che operano sotto la vigilanza di un’Autorità di controllo (IVASS). Precisiamo altresì che la base giuridica legittimante il trasferimento dei dati, può essere rinvenibile nell’art. 6, par.1, lett. b), del Regolamento stesso (trattamento necessario per l’esecuzione di un contratto di cui l’interessato è parte). Ipotesi, questa, che rende evidente come un eventuale trattamento effettuato a fini diversi da quelli di intermediazione assicurativa (es. marketing) sia a noi precluso pena la violazione degli obblighi contrattuali, oltre che della disciplina in materia di protezione dei dati personali.
Alla luce di quanto sopra riportato, vi chiediamo gentilmente di confermarci che il broker aggiudicatario verrà nominato quale Titolare Autonomo del Trattamento dei dati.

Ove dovesse essere mantenuta l’attuale impostazione, vi chiediamo di confermarci che l’aggiudicatario potrà negoziare con la Stazione Appaltante il contenuto di alcune parti dell’atto di nomina (Allegato 2) prevedendo, in particolare, la manleva solo per le violazioni giudizialmente accertate ed inserendo una limitazione di responsabilità, fatto salvo il caso di dolo o colpa grave, per un importo commisurato al valore dell’appalto.

Risposta 5) La previsione indicata nella documentazione di gara ha carattere generale. Nel caso di specie, preso atto di quanto segnalato, verificate le pronunce del GDP in materia, il Broker può essere inquadrato come Titolare del trattamento dei dati. Pertanto al momento della stipula del contratto si procederà alla specifica di ruolo come titolare