Diritti interna

Doveri interna

ricerca avanzata

Banca dati dei sinistri, anagrafe testimoni e anagrafe danneggiati: osservazioni del Garante - 10 ottobre 2013 [2725053]

[doc. web n. 2725053]

Banca dati dei sinistri, anagrafe testimoni e anagrafe danneggiati: osservazioni del Garante - 10 ottobre 2013

Registro dei provvedimenti
n. 441 del 10 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTA la richiesta pervenuta dall´Ivass in attuazione dell´art. 135 del d.lgs. 7 settembre 2005, n. 209 (recante il "Codice delle assicurazioni private"), come modificato dall´art. 32, comma 3-bis, lett. b), del d.l. 24 gennaio 2012, n. 1, convertito, con modificazioni, dalla l. 24 marzo 2012, n. 27;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. Come noto, l´art. 135 del d.lgs. 7 settembre 2005, n. 209, nella sua attuale formulazione, demanda all´Isvap (oggi Ivass), sentiti il Ministero dello sviluppo economico e, limitatamente ai profili di tutela della riservatezza, il Garante per la protezione dei dati personali, il compito di stabilire le procedure di organizzazione e di funzionamento, le modalità e le condizioni di accesso alla banca dati dei sinistri, nonché alle neo istituite banche di dati denominate "anagrafe testimoni" e "anagrafe danneggiati" da parte dei soggetti ivi menzionati, unitamente agli obblighi di consultazione delle predette banche di dati da parte delle imprese di assicurazione in fase di liquidazione dei sinistri.

In attuazione di tale disposizione, l´Ivass ha chiesto al Garante, per i profili di protezione dei dati personali, di esprimere le proprie valutazioni in merito allo schema di regolamento predisposto, il cui testo verrà successivamente avviato in pubblica consultazione in conformità all´art. 191 del d.lgs. n. 209/2005.

Consapevole del delicato esercizio di bilanciamento che l´Istituto per la vigilanza sulle assicurazioni private è chiamato (in prima battuta) ad effettuare nel definire le modalità di organizzazione e funzionamento delle menzionate banche di dati, il Garante intende, con il presente provvedimento, formulare alcune osservazioni che, nel rispetto dello spirito della norma, possano dare piena attuazione, anche nella materia in esame, ai princìpi fondamentali di protezione dei dati personali; tanto, non senza sottolineare alcune perplessità di fondo circa la proliferazione, in tale delicato settore, di complessi organizzati di dati personali (peraltro riferiti anche a soggetti già "censiti" nell´ambito della stessa banca dati dei sinistri) e la sopravvenuta ipotetica asimmetria, pur a fronte della "clausola di salvaguardia" contenuta nell´ultimo comma dell´art. 120 del Codice, venutasi a determinare tra quest´ultimo (relativo alla sola banca dati dei sinistri) e il "nuovo" art. 135 del d.lgs. n. 209/2005 (istitutivo anche delle banche di dati "anagrafe testimoni" e "anagrafe danneggiati").

RILEVATO

2. Tenuto conto che la banca dati dei sinistri già contiene i dati personali relativi a testimoni e danneggiati, l´Ivass ha ritenuto di poter mantenere, allo stato, un´unica banca di dati al fine di non alterare le attuali modalità di alimentazione da parte delle singole imprese di assicurazione. L´Istituto ritiene che la ratio della norma possa essere comunque garantita attraverso la possibilità di rendere consultabili, con "viste separate", le differenti tipologie di dati personali (in ragione anche del soggetto che richiede l´accesso), provvedendo successivamente, all´occorrenza, ad una loro distinta strutturazione logica ed –eventualmente– anche fisica.

Ciò premesso, lo schema in esame prevede, sinteticamente, che le menzionate banche [rectius: banca] di dati, istituite allo scopo di rendere più efficace la prevenzione e il contrasto di comportamenti fraudolenti nel settore delle assicurazioni obbligatorie per i veicoli a motore immatricolati in Italia, vengano strutturate secondo modalità di accesso e consultazione graduate, tra l´altro, in funzione del numero di "parametri di significatività" emersi in occasione della prima consultazione (obbligatoria) da parte dei soggetti preposti (soprattutto le imprese di assicurazione) ed in funzione dell´efficace perseguimento degli obiettivi antifrode cui le stesse banche di dati risultano preordinate. In particolare, nell´ipotesi in cui, all´esito della prima consultazione, emergano almeno due parametri di significatività, le imprese saranno tenute ad effettuare una nuova e più dettagliata consultazione e ad effettuare specifici approfondimenti, di cui dovrà essere data evidenza nel fascicolo del sinistro. Nel caso in cui, invece, dovesse emergere un solo parametro di significatività, le imprese non saranno tenute ad effettuare specifici approfondimenti, ma solo la consultazione di dettaglio, anch´essa da evidenziare all´interno del fascicolo. In assenza di parametri di significatività, resterà in facoltà delle singole imprese effettuare una nuova consultazione "tracciata" per il tramite di un´apposita funzionalità del sistema.

In ogni caso, la consultazione da parte delle singole imprese di assicurazione sarà consentita solo in fase di "gestione" (rectius: liquidazione) di ciascun sinistro.

I dati personali memorizzati nelle predette banche di dati, trattati nel rispetto dei princìpi di cui all´art. 11 del Codice, verranno conservati per cinque anni dalla data di definizione di ciascun sinistro, decorsi i quali saranno "riversati" su un supporto informatico gestito dall´Ivass e comunicati dall´Istituto esclusivamente per esigenze di giustizia o a seguito di esercizio dei diritti di cui all´art. 7 del Codice da parte degli interessati. Decorsi ulteriori cinque anni dal predetto riversamento, i dati personali che permettono l´identificazione degli interessati verranno cancellati, mentre le restanti informazioni saranno conservate su un ulteriore supporto informatico in forma anonima.

Con specifico riferimento, inoltre, alla previsione di cui all´art. 135 del d.lgs. n. 209/2005 –secondo la quale, tra i soggetti legittimati all´accesso, figurano anche, genericamente, "soggetti terzi"–, l´Ivass ha ritenuto di poter limitare la possibilità di consultazione delle banche di dati ai soli soggetti –e per le "ulteriori" finalità– individuati, di volta in volta, dalla legge.

Infine, alla luce della nuova formulazione dell´art. 148 del d.lgs. 209/2005, è stata prevista l´introduzione della possibilità, per l´impresa che procede alla consultazione, di visualizzare la denominazione delle imprese coinvolte nel sinistro.

Fatte salve alcune specifiche peculiarità legate soprattutto all´evoluzione normativa, lo schema di regolamento sottoposto all´attenzione dell´Autorità non si discosta significativamente, quanto a modalità di configurazione e funzionamento del sistema, dal Regolamento Isvap 1° giugno 2009, n. 31 (inerente alla sola banca dati dei sinistri), ricalcandone, in buona parte, i relativi contenuti.

RITENUTO

3. Il presente parere viene reso sulla base di un testo provvisorio destinato ad essere avviato in pubblica consultazione dall´Ivass in conformità alla legge e tiene conto, tra l´altro, di alcune osservazioni già veicolate in passato all´Istituto nell´ambito di pregresse collaborazioni intercorse in relazione a tale ampia problematica.

Lo schema proposto mira a rendere ulteriormente efficace la prevenzione e il contrasto di comportamenti fraudolenti nel settore dell´assicurazione obbligatoria della responsabilità civile derivante dalla circolazione dei veicoli a motore immatricolati in Italia attraverso l´istituzione, in aggiunta alla banca dati dei sinistri (già contemplata anche dall´art. 120 del d.lgs. n. 196/2003, di seguito, anche "Codice"), di altre due banche di dati, denominate, appunto, "anagrafe testimoni" e "anagrafe danneggiati".

Si prende preliminarmente atto, sul piano generale, dell´opzione che si intende esercitare circa il mantenimento, allo stato, di un´unica banca di dati. In tale ottica –e ferma restando l´eventuale futura strutturazione di tre distinte banche di dati–, appare condivisibile la scelta dichiarata di voler adottare modalità di consultazione idonee ad assicurare una "visibilità separata" delle informazioni, in particolare in ragione delle diverse tipologie dei dati ivi memorizzati; tale opzione, infatti, appare in linea con i princìpi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice), nella misura in cui risulti effettivamente in grado di ridurre al minimo l´utilizzo di dati personali e di garantirne, in pari tempo, la pertinenza e non eccedenza in rapporto alle finalità perseguite (nel caso di specie, peraltro, già individuate dalla legge).

Tuttavia, in aderenza ai medesimi princìpi, si rende necessario limitare la possibilità di accedere ai dati ai soli soggetti effettivamente legittimati in rapporto alle finalità previste dal regolamento, soprattutto al fine di circoscrivere l´evidente incertezza dettata dalla generica previsione secondo cui la consultazione delle banche di dati sarebbe indistintamente consentita anche a "soggetti terzi": pertanto, anche alla luce di quanto previsto dall´art. 11, comma 1, lett. b) del Codice, non risulta condivisibile la scelta, cristallizzata nell´art. 2, comma 1, lett. p) (parzialmente mutuata anche nel successivo art. 10, comma 2) del regolamento), secondo cui l´accesso alle informazioni di tale indefinita categoria di soggetti –opportunamente delimitato "per relationem", in ragione dei singoli rinvii operati, di volta in volta, dalla legge– sarebbe consentito anche per "ulteriori" finalità, anch´esse specificamente individuate dalla legge. In proposito, infatti, non può sottacersi che le banche di dati in questione sono istituite "al solo scopo di rendere più efficace la prevenzione e il contrasto di comportamenti fraudolenti nel settore delle assicurazioni obbligatorie per i veicoli a motore immatricolati in Italia" (art. 135, comma 1, del d.lgs. n. 209/2005), ragion per cui, sulla base della norma, non dovrebbero essere ipotizzabili consultazioni di dati personali utilizzabili per scopi diversi da quello in esame; e, nella stessa logica, sarebbe opportuno ribadire espressamente la responsabilità –già prevista in capo ai soggetti preposti alla consultazione della banca dati dei sinistri (cfr. art. 11, comma 4, del regolamento Isvap 1° giugno 2009, n. 31)– per eventuali violazioni derivanti anche da utilizzi dei dati personali per finalità ulteriori rispetto a quelle che hanno indotto il legislatore ad istituire le suddette banche di dati.

Risulta invece condivisibile, perché coerente con i menzionati princìpi di necessità e proporzionalità, la scelta di "graduare" l´accessibilità alle informazioni contenute nelle suddette banche (rectius: banca) di dati in ragione del numero di "parametri di significatività" emersi in occasione della prima verifica effettuata, in particolare, dalle singole imprese di assicurazione.

In ogni caso, si ritiene di proporre alcuni suggerimenti che, pur non incidendo, di fatto, sull´efficacia dell´azione di contrasto contro eventuali comportamenti fraudolenti, risultano idonei ad incrementare gli standard di tutela della riservatezza degli interessati. In particolare, si osserva che:

–  nell´ipotesi in cui l´impresa ritenga di non doversi avvalere della facoltà prevista dall´art. 148, comma 2-bis del d.lgs. n. 209/2005, sarebbe opportuno rivalutare il previsto obbligo di procedere a nuovi specifici "approfondimenti" (suscettibili di integrare successive operazioni di trattamento), i quali, invece, sono richiesti dalla legge solo qualora la società di assicurazione, non ritenendo di dover formulare un´offerta di risarcimento, debba motivare le ragioni del proprio diniego;

– in secondo luogo, allorché ricorra un solo "parametro di significatività", andrebbe rivalutato il previsto obbligo di procedere, sempre e comunque (a prescindere, cioè, da una sua reale indispensabilità in rapporto al sinistro esaminato), alla successiva consultazione di dettaglio (anch´essa comportante ulteriori operazioni di trattamento di dati personali, sovente riferite a terzi), specie in assenza di ulteriori, rilevanti elementi potenzialmente sintomatici di eventuali frodi.

Per altro verso, occorre poi sottolineare che i princìpi di necessità e proporzionalità devono poter trovare attuazione anche con riferimento alle modalità di conservazione dei dati trattati. In tale ottica, merita di essere attentamente valutata, alla scadenza del termine quinquennale decorrente dalla data di definizione di ciascun sinistro (art. 8, comma 4, dello schema proposto), la reale rispondenza ai predetti princìpi dell´eventuale permanenza, all´interno delle banche [id est: banca] di dati in esame, dei dati identificativi degli interessati, potendo piuttosto risultare opportuno, al riguardo, prevedere espressamente la loro cancellazione all´esito delle relative operazioni di riversamento su altro supporto informatico (secondo quanto già contemplato dall´art. 8, comma 3, dell´abrogato provvedimento Isvap 10 marzo 2003, n. 2179).

In aggiunta, anche al fine di dare concreta attuazione ai princìpi di trasparenza, correttezza e finalità (art. 11, comma 1, lett. a) e b), del Codice) –oltre che nell´ottica di accentuare l´effetto dissuasivo delle menzionate banche di dati rispetto a possibili comportamenti fraudolenti–, potrebbe risultare opportuno dare adeguata evidenza della loro esistenza e dei connessi trattamenti di dati personali a coloro che, a vario titolo, possono trovarsi coinvolti in un sinistro (anzitutto contraenti e assicurati, ma anche danneggiati e testimoni). Infatti, atteso che, in base all´art. 13, comma 5, del Codice, il titolare del trattamento non è tenuto a rendere un´informativa preventiva ove i dati personali siano raccolti presso terzi e trattati in base a un obbligo di legge o di regolamento, gli interessati (qui nell´ordine potenziale di svariati milioni) potrebbero restare all´oscuro circa le operazioni di trattamento cui sono soggetti i dati personali che a loro si riferiscono. In tale contesto, potrebbe quindi risultare utile, già in sede di raccolta dei dati (tipicamente in occasione della compilazione del modulo di "Constatazione amichevole di incidente–Denuncia di sinistro", peraltro asseverato da codesta Autorità), dare contezza (anche attraverso un´informativa sintetica) dei trattamenti connessi all´istituzione delle predette banche di dati, ben potendo tale soluzione, benché non obbligatoria in base alla legge, riverberare comunque effetti positivi a beneficio, oltre che dei predetti interessati, dei soggetti nella cui disponibilità pervengono, a vario titolo, i dati.

Infine, in un´ottica di maggior tutela degli interessati e di sensibilizzazione e responsabilizzazione dei soggetti abilitati alla consultazione dei dati, potrebbe risultare opportuno ribadire espressamente, in sede di tracciatura delle operazioni, le responsabilità "personali" derivanti da eventuali indebite consultazioni delle informazioni ivi memorizzate (in tal senso, già il regolamento Isvap 1° giugno 2009, n. 31, cit.).

Da ultimo, si ritengono necessarie alcune considerazioni di carattere più generale.

In primo luogo, nell´esplicitare che i dati personali contenuti nelle citate banche di dati sono trattati nel rispetto dei princìpi di cui all´art. 11 del d.lgs. n. 196/2003 (art. 5 dello schema di regolamento), potrebbe risultare più aderente allo spirito del Codice effettuare –in prima battuta– un richiamo generale all´osservanza della disciplina di protezione dei dati personali, salvo declinare successivamente i medesimi princìpi quali criteri-cardine nelle operazioni di trattamento dei dati.

In secondo luogo, al fine di garantire una maggiore aderenza al dettato normativo, sarebbe più appropriato sostituire l´attuale formulazione concernente le misure di sicurezza (qualificate come "adeguate": art. 7, comma 6, dello schema proposto) con le locuzioni "preventive" e "idonee" (art. 31 e ss. del Codice; più in generale, v. anche gli artt. 33 e ss. del d.lgs. n. 196/2003 e relativo allegato "B").

Infine, occorre evidenziare che le informazioni censite nelle predette banche di dati riguardano anche persone giuridiche, benché l´art. 40 del d.l. 6 dicembre 2011, n. 201 (convertito con modificazioni dalla l. 22 dicembre 2011, n. 214), nel novellare la disciplina di cui al d.lgs. n. 196/2003, abbia espunto queste ultime dalle nozioni di "dato personale" e di "interessato", comportando, quale effetto diretto, la loro esclusione dal novero dei soggetti tutelabili dalla legge (fa eccezione, in proposito, la disciplina di cui al capo 1, titolo X, del Codice, qualora i medesimi soggetti –ma non riguarda il caso in esame– rivestano la qualifica di "contraenti" ex art. 4, comma 2, lett. f), del menzionato decreto legislativo: v. anche Provv. 20 settembre 2012, doc. web n. 2094932). È bene pertanto precisare, in tale quadro, che il presente parere è reso esclusivamente con riferimento al trattamento di dati personali riferiti a persone fisiche ai sensi del novellato art. 4, comma 1, lett. b) e i), del Codice.

TUTTO CIÒ PREMESSO, IL GARANTE

esprime parere favorevole sullo schema di regolamento predisposto dall´Ivass in attuazione dell´art. 135 del d.lgs. 7 settembre 2005, n. 209, come modificato dall´art. 32, comma 3-bis, lett. b), del d.l. 24 gennaio 2012, n. 1, convertito, con modificazioni, dalla l. 24 marzo 2012, n. 27, con la raccomandazione di accogliere i rilievi di cui in motivazione (specificamente individuati al punto 3 del presente provvedimento).

Roma, 10 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia