g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di regolamento dell’Istituto per la vigilanza sulle assicurazioni – IVASS concernente il Registro delle imprese e dei gruppi assicurativi – RIGA - 21 marzo 2024 [10009328]

Parere sullo schema di regolamento dell’Istituto per la vigilanza sulle assicurazioni – IVASS concernente il Registro delle imprese e dei gruppi assicurativi – RIGA - 21 marzo 2024 [10009328]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10009328]

Parere sullo schema di regolamento dell’Istituto per la vigilanza sulle assicurazioni – IVASS concernente il Registro delle imprese e dei gruppi assicurativi – RIGA - 21 marzo 2024

Registro dei provvedimenti
n. 161 del 21 marzo 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il d.lgs. 7 settembre 2005, n. 209, recante “Codice delle assicurazioni private”, che, nello specifico, prevede:

- l’adozione, da parte dell’Istituto per la vigilanza sulle assicurazioni (di seguito, IVASS), di ogni regolamento necessario per la sana e prudente gestione delle imprese o per la trasparenza e la correttezza dei comportamenti dei soggetti vigilati (art. 5, comma 2; cfr. altresì art. 23 della l. 28 dicembre 2005, n. 262);

- la collaborazione tra l’IVASS e, in particolare, la Banca d’Italia, al fine di agevolare l'esercizio delle rispettive funzioni (art. 10, comma 4, che riprende quanto già previsto dall’art. 7, comma 5, del d.lgs. 1° settembre 1993, n. 385, e dall’art. 21 della l. 262/2005);

- la trasmissione all’IVASS, da parte dei soggetti vigilati (cioè le imprese di assicurazione e riassicurazione), di una serie di dati e informazioni riferite alle attività di impresa esercitate (artt. 190 e 190-bis);

VISTO il Regolamento (UE) 1374/2014 della Banca centrale europea, del 28 novembre 2014, che stabilisce obblighi di segnalazione di dati e informazioni, da parte delle imprese di assicurazione, alla Banca d’Italia, anche per il tramite dell’IVASS che li raccoglie nell’ambito delle proprie funzioni istituzionali;

VISTA la circolare della Banca d’Italia n. 302 dell’8 giugno 2018 che disciplina le informazioni anagrafiche a supporto delle proprie rilevazioni, attraverso l’utilizzo dell’Anagrafe dei soggetti (di seguito, AS), ossia un registro nel quale sono censiti e identificati, con un codice univoco, tutti i soggetti a cui si riferiscono le segnalazioni che gli intermediari creditizi e finanziari effettuano all’Istituto, sulla base delle disposizioni normative e delle istruzioni di settore emanate in materia;

VISTO l’accordo fra Banca d’Italia e IVASS dell’agosto 2019 volto a regolare la messa a disposizione, da parte della Banca d’Italia in favore dell’IVASS, i servizi informatici, nonché l’accordo del 19 novembre 2019 concernente lo scambio di dati e la cooperazione riguardante l’informazione statistica delle imprese di assicurazione;

VISTA la nota inviata da IVASS, in ultimo, il 21 febbraio 2024, anche a seguito delle interlocuzioni intrattenute con l’Ufficio del Garante, con cui è stato trasmesso all’Autorità, ai fini dell’acquisizione del parere, lo schema di regolamento istitutivo del Registro delle imprese e dei gruppi assicurativi (di seguito, RIGA), attraverso cui “disciplinare gli adempimenti che le compagnie devono seguire per la segnalazione digitale di informazioni anagrafiche e sulle partecipazioni, gli azionisti, i componenti gli organi sociali e i soggetti che ricoprono funzioni di controllo, in attuazione delle disposizioni nazionali e dei principi europei in materia di trasmissione informatica dei dati anagrafici”, corredato di un documento recante indicazioni operative, una nota tecnica e una relazione illustrativa;

RILEVATO che lo schema di regolamento in esame stabilisce, in particolare:

- le finalità perseguite dal RIGA, tra cui quelle di “costituire una base dati integrata”, consentire “l’espletamento delle funzioni di vigilanza di competenza dell’IVASS”, “svolgere anche i compiti di tutela del consumatore e di contrasto alle frodi assicurative assegnati all’IVASS”, “effettuare analisi sulla struttura del mercato assicurativo italiano”, “perseguire gli obiettivi di digitalizzazione e aggiornamento automatico dei dati stessi” e “assicurare un più stretto collegamento tra la vigilanza assicurativa e quella bancaria” (art. 4);

- l’individuazione dei “soggetti che ricoprono specifiche cariche sociali e direttive” all’interno di imprese e gruppi assicurativi, cui si riferiscono le informazioni anagrafiche e societarie oggetto di trattamento (art. 9, comma 3, e artt. successivi per il relativo dettaglio);

- la titolarità, in capo all’IVASS, del “trattamento di dati personali relativi alle informazioni presenti in RIGA, ai sensi dell’art. 6, lett. e) del GDPR, per il perseguimento delle finalità di interesse pubblico, connesse agli obblighi di segnalazione imposti dalle normative vigenti in materia, assicurando la trasparenza dei trattamenti dei dati personali nei confronti degli interessati. L’IVASS effettua il suddetto trattamento secondo le disposizioni di legge e in coerenza con le disposizioni di Banca d’Italia di cui alla Circolare n. 302 dell’8 giugno 2018 e s. m. i., ove compatibili, che disciplinano il funzionamento dell’Anagrafe dei soggetti, il registro della Banca d’Italia che raccoglie tramite il c.d. codice censito, le anagrafiche delle segnalazioni effettuate dalle imprese vigilate, anche con riferimento al tema dei dati personali” (art. 9, comma 6);

- i tempi di conservazione dei dati raccolti tramite il RIGA (art. 9, comma 7);

- l’obbligo, in capo ai medesimi soggetti vigilati, di segnalazione al RIGA dei predetti dati (art. 15);

- l’alimentazione del RIGA “attraverso uno specifico applicativo della Banca d'Italia, dalla stessa sviluppato per conto dell’IVASS, in qualità di Responsabile del trattamento, all’uopo designata dall’IVASS che tratta i dati relativi alle segnalazioni in qualità di Titolare. Per effettuare le segnalazioni [a cura delle imprese vigilate] vengono utilizzati i c.d. codici censiti, identificativi dei soggetti segnalati, rinvenibili nell’ archivio anagrafico dei soggetti (AS) di titolarità della Banca d’Italia. L’accesso e l’utilizzo di RIGA avviene tramite l’apposito portale web”; al riguardo, viene assicurata “la separazione delle attività svolte dalla Banca d’Italia in qualità di responsabile del trattamento rispetto a quelle svolte quale Titolare ai sensi dell'articolo 20, commi 1 e 5, del Regolamento, […] attraverso adeguate misure tecniche e organizzative” (art. 17, commi 1 e 2);

- l’accesso al RIGA, sia da parte degli operatori dei soggetti vigilati (art. 18) che da parte del pubblico (art. 19);

- l’interrogazione “tramite interconnessione telematica diretta”, da parte del RIGA, dei “dati anagrafici delle persone fisiche nonché di quelle giuridiche, di cui all’articolo 9, già censiti nell’Anagrafe dei soggetti della Banca d’Italia, istituita e disciplinata dalla Circolare n. 302 dell’8 giugno 2018 e s. m. i., al fine di consultare i dati relativi ai codici censito di interesse. I trattamenti dei dati contenuti nell’Anagrafe dei soggetti sono di autonoma titolarità della Banca d’Italia la quale li tratta per il perseguimento delle proprie finalità di interesse pubblico, meglio specificate nella Circolare richiamata”; “La consultazione dei dati anagrafici attraverso il codice censito è preordinata a garantire una più elevata qualità delle informazioni, a semplificare le operazioni di alimentazione degli archivi ed è riconducibile a finalità di interesse pubblico rilevante, connesse al corretto funzionamento del RIGA come strumento per l’esercizio da parte dell’IVASS dei poteri di vigilanza e controllo sul mercato assicurativo” (art. 20, commi 1 e 2); l’individuazione delle tipologie di dati personali di coloro che hanno cariche sociali o sono titolari o responsabili di funzioni fondamentali aziendali o di controllo, “consultabili dalle imprese segnalanti attraverso RIGA” (art. 20, comma 3);

- la consultazione e l’utilizzo, da parte dell’IVASS, dei “dati anagrafici presenti in AS relativi ai soggetti di interesse per RIGA” per “finalità di indagine, controllo e raffronto […] e nel rispetto dei princìpi di correttezza, minimizzazione, pertinenza e non eccedenza”, senza però che possa apportarvi “integrazioni, variazioni o qualunque altra modifica […] in quanto la titolarità di queste informazioni […] rientra nella esclusiva competenza della Banca d'Italia” (art. 20, commi 5 e 6);

- in caso di impresa che deve essere segnalata al RIGA ma non è ancora censita nell’AS, la previsione di una specifica procedura attraverso la quale tale impresa inoltri richiesta di registrazione all’IVASS, che, a sua volta, previo “controllo di regolarità formale dell’istanza” (in relazione al quale funge da titolare del relativo trattamento), la trasmetta alla Banca d’Italia per l’operazione di censimento nell’AS; una volta completata quest’ultima, “l’IVASS ne dà comunicazione all’impresa richiedente in modo che questa possa procedere con la segnalazione alla procedura RIGA del soggetto” (art. 21);

CONSIDERATO, preliminarmente, che l’alimentazione del RIGA avviene per il tramite delle informazioni – compresi i dati personali riferiti ai soggetti titolari di cariche sociali e di funzioni fondamentali – che l’IVASS recupera dall’AS (gestita dalla Banca d’Italia e in relazione alla quale quest’ultima agisce da titolare dei trattamenti ivi effettuati) per il tramite del c.d. codice censito, quale modalità idonea ad assicurare la qualità dei dati oggetto di trattamento, nel rispetto dei principi di esattezza e di privacy by design (artt. 5, par. 1, lett. d), e 25, par. 1, del Regolamento), fermo restando che il presente parere attiene esclusivamente allo schema di regolamento che disciplina il RIGA, con esclusione dei profili concernenti le attività effettuate nell’ambito dell’AS;

CONSIDERATO, inoltre, che lo schema di regolamento in esame tiene conto delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse al fine di rendere conformi, in ossequio al principio di privacy by design e by default (art. 25 del Regolamento), i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali, che hanno riguardato, in particolare:

- l’attribuzione dei ruoli in capo a IVASS e Banca d’Italia, con specifico riferimento sia alla complessiva gestione del RIGA che alle comunicazioni tra RIGA e AS, tenuto conto del quadro normativo vigente in materia di collaborazione reciproca fra le predette Istituzioni nell’esercizio dei rispettivi compiti di interesse pubblico, nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità (art. 5, par. 1, lett. a), e b), del Regolamento);

- l’individuazione dei dati personali oggetto di trattamento nell’ambito del RIGA, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento), con la precisazione che alcun dato personale è oggetto di consultazione da parte del pubblico;

- l’esplicitazione delle misure tecniche e organizzative necessarie per assicurare il rispetto del principio di integrità e riservatezza e gli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 del Regolamento);

PRESO ATTO, in ogni caso, che i tempi di conservazione – allo stato, proporzionati al tempo strettamente necessario per il perseguimento degli scopi istituzionali di vigilanza e statistici sulla base di quanto disciplinato dalla normativa italiana ed europea vigente – saranno più dettagliatamente individuati all’esito dell’adozione delle linee guida per le autorità del settore finanziario per lo scambio di informazione, attualmente in discussione in sede europea e la cui finalizzazione è prevista entro il 2024, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento);

RITENUTO, tutto ciò premesso, di poter esprimere parere favorevole sullo schema di regolamento in esame, fermo restando che l’IVASS, in qualità di titolare del trattamento dei dati personali effettuati nell’ambito del RIGA, è tenuto ad assolvere, nei confronti degli interessati, agli obblighi informativi di cui agli artt. 12 ss. del Regolamento, nel rispetto del principio di trasparenza (art. 5, par. 1, lett. a), del Regolamento);

VISTA la documentazione in atti:

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di regolamento dell’Istituto per la vigilanza sulle assicurazioni – IVASS, concernente il Registro delle imprese e dei gruppi assicurativi – RIGA, fermo restando che l’IVASS è tenuto ad assolvere agli obblighi informativi di cui agli artt. 12 ss. del Regolamento.

Roma, 21 marzo 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10009328
Data
21/03/24

Argomenti

Assicurazioni Imprese Misure di sicurezza Pubblica Amministrazione Archivi e banche dati Conservazione di dati Banca d'Italia Autorità indipendenti Minimizzazione

Tipologie

Parere del Garante