Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere su uno schema di decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti recante il regolamento per l’istituzione e il funzionamento dell’archivio informatico integrato contro le frodi assicurative - 24 luglio 2014 [3320757]

vedi anche newsletter del 27 agosto 2014

 

[doc. web n. 3320757]

Parere su uno schema di decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti recante il regolamento per l'istituzione e il funzionamento dell'archivio informatico integrato contro le frodi assicurative - 24 luglio 2014

Registro dei provvedimenti
n. 378 del 24 luglio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero dello sviluppo economico;

Visto l'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO:

Il Ministero dello sviluppo economico ha chiesto il parere del Garante su uno schema di decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti recante il regolamento per l'istituzione e il funzionamento dell'"archivio informatico integrato" di cui all'articolo 21 del decreto-legge 18 ottobre 2012, n. 179, convertito con modificazioni, dalla legge 17 dicembre 2012, n. 221.

Premesso che l'Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo (infra IVASS) cura la prevenzione delle frodi nel settore dell'assicurazione della responsabilità civile derivante dalla circolazione dei veicoli a motore "relativamente alle richieste di risarcimento e di indennizzo e all'attivazione di sistemi di allerta preventiva contro i rischi di frode" (art. 21, comma 1, d.l. n. 179/2012), il predetto decreto-legge ha attribuito all'IVASS la possibilità di avvalersi di un archivio informatico integrato (di seguito: "archivio") per favorire la prevenzione e il contrasto delle frodi in tale settore, migliorando l'efficacia dei sistemi di liquidazione dei sinistri e la capacità di individuare i fenomeni fraudolenti (art. 21, commi 2 e 3).

L'archivio può essere connesso con:

- la banca dati degli attestati di rischio prevista dall'articolo 134 del codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209 (infra: "codice delle assicurazioni private"), e successive modificazioni;

- la banca dati sinistri e con le banche dati anagrafe testimoni e anagrafe danneggiati, istituite ai sensi dell'articolo 135 del medesimo codice delle assicurazioni private;

- l'archivio nazionale dei veicoli e con l'anagrafe nazionale degli abilitati alla guida, istituiti dall'articolo 226 del codice della strada, di cui al decreto legislativo 30 aprile 1992, n. 285, e successive modificazioni;

- il Pubblico registro automobilistico (infra: PRA) istituito presso l'Automobile Club d'Italia dal regio decreto-legge 15 marzo 1927, n. 436, convertito dalla legge 19 febbraio 1928, n. 510;

- i dati a disposizione della CONSAP per la gestione del fondo di garanzia per le vittime della strada di cui all'articolo 283 del codice delle assicurazioni private, e per la gestione della liquidazione dei danni a cura dell'impresa designata di cui all'articolo 286 del medesimo codice;

- i dati a disposizione per i sinistri relativi ai veicoli gestiti dall'Ufficio centrale italiano (artt. 125 e 126 codice delle assicurazioni private);

- ulteriori archivi e banche dati pubbliche e private, individuate con decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti, sentiti i Ministeri competenti e l'IVASS (art. 21, comma 3, primo periodo).

Con il medesimo decreto, sentito il Garante, devono essere stabilite, altresì, le modalità di connessione delle banche dati, i termini, le modalità e le condizioni per la gestione e conservazione dell'archivio e per l'accesso al medesimo da parte delle pubbliche amministrazioni, dell'autorità giudiziaria, delle forze di polizia, delle imprese di assicurazione e di soggetti terzi, nonché gli obblighi di consultazione dell'archivio da parte delle imprese di assicurazione in fase di liquidazione dei sinistri (art. 21, comma 3, secondo periodo).

Infine, per l'alimentazione dell'archivio la disposizione garantisce all'IVASS l'accesso ai dati relativi ai contratti assicurativi contenuti nelle banche dati delle imprese di assicurazione,  secondo le modalità e nei termini stabiliti dal suddetto decreto (art. 21, comma 4).

RILEVATO

Lo schema di decreto precisa che l'archivio è istituito presso l'IVASS (art. 2, comma 2, dello schema) e individua le banche dati che, in una prima fase del progetto, sono collegate all'archivio tra quelle previste dalla legge o espressamente indicate; si tratta della banca dati sinistri e delle banche dati anagrafe testimoni e anagrafe danneggiati, già istituite presso l'IVASS stesso, della banca dati dei contrassegni assicurativi, dell'archivio nazionale dei veicoli, dell'anagrafe nazionale degli abilitati alla guida e del PRA, della banca dati contenente le informazioni relative al ruolo dei periti assicurativi (artt. 2, comma 1, e 4).

Con successivo regolamento saranno disciplinate la tempistica e le modalità di connessione delle banche dati previste dall'articolo 21 del decreto-legge n. 179 del 2012, ma non espressamente elencate nello schema di regolamento in esame (art. 2, comma 3).

L'utilizzo delle predette banche dati è subordinato alla definizione di convenzioni fra l'IVASS e le amministrazioni o gli enti interessati, che saranno redatte nel rispetto delle linee guida adottate dall'Agenzia per l'Italia digitale ai sensi dell'articolo 58 del codice dell'amministrazione digitale (d. lg. n. 82 del 2005).

Il collegamento informatico dell'archivio con le banche dati avviene mediante connessione telematica, in base alle specifiche tecniche definite d'intesa dall'IVASS con i soggetti interessati, nel rispetto delle linee indicate nell'allegato tecnico al presente schema e secondo una tempistica predefinita (art. 5, commi 1, 2 e 3, e Allegato B).

Inoltre, l'IVASS acquisisce le informazioni sull'installazione e attivazione delle cc.dd. "scatole nere", necessarie a fini antifrode e non presenti nelle banche dati sopra descritte, dalle imprese di assicurazione, le quali provvedono a rendere disponibili le informazioni, nel rispetto delle disposizioni del decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito: "Codice"), direttamente o, sotto la propria responsabilità, tramite intermediari di assicurazione che ne hanno rappresentanza o tramite sistemi informativi centralizzati istituiti presso le associazioni di categoria delle imprese di assicurazione (art. 4, comma 4).

L'IVASS è titolare del trattamento dei dati raccolti nell'archivio ai sensi dell'articolo 3 dello schema e in tale qualità sovrintende al corretto funzionamento dell'archivio e all'osservanza delle disposizioni che regolano le modalità di comunicazione dei dati. I dati contenuti nell'archivio sono trattati dall'IVASS nel rispetto del Codice, adottando ogni misura idonea ad assicurare, tra le altre cose, la sicurezza e l'integrità dei dati (art. 7, commi 4 e 5).

L'archivio attiva la consultazione delle banche dati connesse per ogni sinistro acquisito nella banca dati sinistri, al fine di verificare le informazioni segnalate dalle imprese e per acquisire quelle integrative necessarie per calcolare gli "indicatori di anomalia"  vale a dire quegli "indicatori che sulla base di ricorrenze e verifiche di veridicità e coerenza forniscono elementi sul rischio di fenomeni fraudolenti" (art. 1, comma 1, lett. p). I dati oggetto di verifica o integrativi sono indicati nell'allegato A al decreto (art. 3, comma 2).

Scopo dell'archivio, infatti, è quello di fornire alle imprese di assicurazione, ai fini della liquidazione dei sinistri, e agli altri soggetti previsti dal regolamento (autorità giudiziaria, forze di polizia, pubbliche amministrazioni e soggetti terzi legittimati dalla legge), per finalità antifrode, indicazioni sul livello di anomalia di ogni sinistro comunicato alla banca dati sinistri (artt. 3, comma 1, e 6, commi 1 e 2).
All'esito della fase di raccolta, verifica e integrazione dei dati, si comunica alle imprese di assicurazione coinvolte nel sinistro il valore dell'indicatore di anomalia di sintesi; qualora il livello di anomalia dell'indicatore sia superiore a quello fissato con regolamento dell'IVASS, si comunicano alle imprese di assicurazione coinvolte anche gli indicatori analitici (art. 3, commi 3 e 4). Le informazioni utilizzate nella procedura di valutazione del rischio, nonché gli indicatori di anomalia, vengono archiviati in una sezione autonoma dell'archivio (art. 3, comma 5). Ad ogni modo, l'IVASS utilizza gli indicatori di anomalia, nonché i dati di calcolo, pertinenti, completi e non eccedenti rispetto alle finalità di individuazione e contrasto delle frodi assicurative (art. 3, comma 6).

Infine, l'articolo 7 disciplina i termini di conservazione dei dati nell'archivio in termini analoghi a quanto previsto per i dati registrati nella banca dati sinistri, la cui disciplina è contenuta nel regolamento dell'IVASS n. 31 del 1° giugno 2009.

CONSIDERATO

1. Il parere è reso su di una versione dello schema di regolamento che tiene conto degli approfondimenti e delle indicazioni suggerite dall'Ufficio del Garante ai competenti uffici della amministrazioni interessate nel corso di riunioni e contatti informali, volte a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali.

Le osservazioni dell'Ufficio hanno riguardato, in particolare: la necessità di un utilizzo di dati pertinenti e non eccedenti, oltre che espressamente individuati, rispetto alla finalità perseguita dall'IVASS mediante l'archivio; le convenzioni fra l'IVASS e i soggetti titolari delle altre banche dati con cui è connesso l'archivio, opportunamente ricondotte nell'alveo di quelle stipulate ai sensi dell'articolo 58 del codice dell'amministrazione digitale; l'esigenza di una disciplina dei flussi di dati fra l'archivio e le imprese di assicurazione pienamente conforme alle regole in materia di protezione dei dati personali; i tempi di conservazione delle informazioni; le misure di sicurezza, ora dettagliatamente descritte nell'allegato B al decreto.

Da questo punto di vista, quindi, lo schema di decreto non presenta criticità sotto il profilo della protezione dei dati personali.

2. Resta, tuttavia, l'esigenza di un perfezionamento del testo nella parte in cui disciplina la conservazione dei dati.

Come anticipato in premessa, l'articolo 7 stabilisce i termini di conservazione dei dati nell'archivio in termini analoghi a quanto previsto per i dati registrati nella banca dati sinistri (art. 8 regolamento IVASS n. 31 del 1° giugno 2009).

Le informazioni permangono nell'archivio per cinque anni dalla data di definizione di ciascun sinistro (art. 7, comma 1, dello schema). Decorso il predetto periodo i dati relativi a ciascun sinistro definito "sono riversati su altro supporto informatico gestito dall'IVASS" e dopo cinque anni dal predetto riversamento sono conservati in forma anonima. In tale ultima forma, possono essere utilizzati a fini esclusivamente statistici (art. 7, commi 2 e 3).

Al riguardo si osserva che il predetto articolo 8 del regolamento n. 31 del 2009 specifica che i dati riversati su altro supporto informatico (dopo cinque anni) possono essere utilizzati per i successivi cinque anni dall'IVASS esclusivamente a fini di comunicazione "per esigenze di giustizia penale o a seguito di esercizio dei diritti degli interessati" ai sensi dell'articolo 7 del Codice. (art. 8, comma 5). Tale previsione è di particolare importanza in quanto stabilisce i limiti di utilizzo dei dati nel secondo quinquennio, dando un senso alla distinzione della conservazione dei dati in due fasi temporali.

Poiché i dati registrati nella banca dati sinistri di cui al regolamento n. 31 del 2009 rappresentano la base informativa primaria dell'archivio informatico integrato oggetto del presente schema, si ritiene necessario disciplinare la conservazione dei dati raccolti nei due archivi in termini del tutto analoghi, integrando, perciò, l'articolo 7 dello schema con un riferimento espresso ai limiti di utilizzo dei dati nel secondo quinquennio.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti recante il regolamento per l'istituzione e il funzionamento dell'"archivio informatico integrato" di cui all'articolo 21 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, con la seguente condizione:

a) l'articolo 7, comma 2, dello schema sia integrato in termini analoghi a quanto previsto all'articolo 8, comma 5, del regolamento dell'IVASS n. 31 del 2009 (punto 2).

Roma, 24 luglio 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia