ISVAP
I stituto di Diritto Pubblico - L egge 12 Agosto 1982, n. 576
Istituto per la Vigilanza sulle Assicurazioni Private e di Interesse Collettivo

PROVVEDIMENTO 2408 DELL’11 GENNAIO 2006

REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI

L’ISVAP

VISTA la legge 12 agosto 1982, n. 576 e successive modificazioni ed integrazioni, recante riforma della vigilanza sulle assicurazioni ed in particolare gli articoli 4 e 5, nonché l’art. 5 del d. lgs. 7 settembre 2005, n. 209, i quali definiscono l’ambito delle funzioni istituzionali ed i relativi poteri dell’Istituto;

VISTA la normativa in materia di assicurazioni private nonché il decreto legislativo 7 settembre 2005, n. 209 recante il codice delle assicurazioni private, in vigore dall’1 gennaio 2006;

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il codice in materia di protezione dei dati personali con particolare riferimento agli articoli 20, 21, 22 e 181, comma 1, lettera a);

VISTE le Norme generali di organizzazione e di funzionamento dell’ISVAP;

VISTO l’art. 307 del predetto codice delle assicurazioni private, secondo il quale l’Istituto può avvalersi della collaborazione della Guardia di finanza per l’esercizio della propria attività di vigilanza;

VISTO il provvedimento del Garante per la Protezione dei Dati Personali del 30 giugno 2004, recante l’autorizzazione n. 7 del 2004 al trattamento dei dati a carattere giudiziario da parte dei privati, di enti pubblici economici e soggetti pubblici, pubblicato in G. U. n. 190 del 14 agosto 2004;

VISTO il provvedimento generale del Garante della protezione dei dati personali del 30 giugno 2005 (pubblicato in G.U. n. 170 del 23 luglio 2005);

VISTO il Regolamento per il Trattamento dei Dati Personali e le relative misure di sicurezza, adottato con delibera del Consiglio in data 21 febbraio 2005;

VISTE le restanti disposizioni del Codice;

CONSIDERATO che possono spiegare effetti maggiormente significativi per l'interessato le operazioni svolte, in particolare, anche mediante sito web, o volte a definire in forma completamente automatizzata profili o personalità di interessati, le interconnessioni e i raffronti tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché la comunicazione dei dati a terzi;

RITENUTO di individuare analiticamente nel presente Regolamento, con riferimento alle operazioni che possono spiegare effetti maggiormente significativi per l'interessato, quelle effettuate da questo Istituto, in particolare le operazioni di interconnessione, raffronto tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, di comunicazione a terzi, nonché di diffusione;

RITENUTO, altresì, di indicare sinteticamente anche le operazioni ordinarie che questo Istituto deve necessariamente svolgere per perseguire le finalità di rilevante interesse pubblico individuate per legge (operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione);

CONSIDERATO che per quanto concerne tutti i trattamenti di cui sopra è stato verificato il rispetto dei principi e delle garanzie previste dall'art. 22 del decreto legislativo 30 giugno 2003, n. 196, con particolare riferimento alla pertinenza, non eccedenza e indispensabilità dei dati sensibili e giudiziari utilizzati rispetto alle finalità perseguite; all'indispensabilità delle predette operazioni per il perseguimento delle finalità di rilevante interesse pubblico individuate per legge, nonché all'esistenza di fonti normative idonee a rendere lecite le medesime operazioni o, ove richiesta, all'indicazione scritta dei motivi;

VISTO il parere del Garante per la protezione dei dati personali emesso il 30 novembre 2005 ai sensi degli artt. 20, comma 2 e 154, comma 1, lettera g), del decreto legislativo 30 giugno 2003, n. 196;

VISTA la delibera assunta dal Consiglio in data 21 dicembre 2005;

Adotta il seguente regolamento:

Art. 1
Oggetto

1. In attuazione delle disposizioni di cui agli art. 20, comma 2, e 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196, Con il presente regolamento sono individuati i tipi di dati sensibili e di dati giudiziari per cui è consentito il relativo trattamento, nonché le operazioni eseguibili in relazione alle specifiche finalità di rilevante interesse pubblico perseguite nei singoli casi ed individuate nel decreto legislativo 30 giugno 2003, n. 196 (artt. 67, 68, 69, 71 e 112), nell’ambito dell’attività dell’Istituto, con particolare riferimento ai seguenti ambiti:

- rapporti di lavoro con il personale;

- attività istruttoria dei reclami;

- autorizzazioni e iscrizioni;

- attività di vigilanza ispettiva;

- attività di accertamento di violazioni e di irrogazione di sanzioni;

- attività di consulenza legale e difesa giudiziale dell’Istituto.

Art. 2
Principi

1. L’Istituto, nello svolgimento delle proprie funzioni, tratta i dati sensibili e giudiziari individuati nel presente regolamento nel rispetto dei principi di pertinenza, completezza, proporzionalità, non eccedenza e necessità, ai sensi dell’art. 22 del decreto legislativo 30 giugno 2003, n. 196, rispetto alle finalità perseguite nei singoli casi, specie nel caso in cui la raccolta non avvenga presso l’interessato.

2. I dati sono raccolti di norma presso gli interessati ovvero mediante richiesta diretta alle amministrazioni pubbliche che li detengono.

3. E’ in ogni caso vietata la diffusione dei dati trattati, a meno che quest’ultima non sia richiesta da disposizioni di legge.

4. Le operazioni di raffronto, comunicazione e diffusione individuate nel presente regolamento sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle rilevanti finalità di interesse pubblico specificate e nel rispetto delle disposizioni rilevanti in materia di protezione dei dati personali, nonché degli altri limiti stabiliti dalla legge e dai regolamenti.

5. I raffronti con altre informazioni sensibili e giudiziarie detenute dall’Istituto sono consentite soltanto previa verifica della loro stretta indispensabilità nei singoli casi ed indicazione scritta dei motivi che ne giustificano l'effettuazione. Le predette operazioni, se effettuate utilizzando banche dati di diversi titolari del trattamento, nonché la diffusione di dati sensibili e giudiziari, sono ammesse esclusivamente previa verifica della loro stretta indispensabilità nei singoli casi e nel rispetto dei limiti e con le modalità stabiliti dalle disposizioni legislative che le prevedono (art. 22 del d.lg. n. 196/2003).

6. Sono inutilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (artt. 11 e 22, comma 5, del d.lg. n. 196/2003).

Art. 3
Rapporti con il personale

1. Ai fini della instaurazione e della gestione dei rapporti di lavoro dipendente di qualunque tipo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato presso l’Istituto, del rapporto con il Presidente ed i componenti del Consiglio dell’Istituto (art. 112, d.lg. n. 196/2003, art. 10, 11, 20 e 21 legge 12 agosto 1982, n. 576), sono trattati dati sensibili relativi a rivelare lo stato di salute o la vita sessuale (limitatamente ai casi di rettificazione di attribuzione di sesso), relativi alle convinzioni religiose, ed all’appartenenza a sindacati; sono inoltre trattati i dati giudiziari.

2. I dati pervengono su iniziativa dei dipendenti e/o previa richiesta dell’Istituto agli stessi ovvero presso altre amministrazioni pubbliche o soggetti privati, e sono oggetto di trattamento sia in forma cartacea che telematica.

3. I dati possono essere oggetto di comunicazione e raffronto con altri soggetti pubblici (amministrazioni certificanti) e privati esclusivamente al fine dell’accertamento di stati, qualità e fatti ovvero al controllo delle dichiarazioni sostitutive ai sensi del d. P. R. n. 445/2000 e possono essere oggetto di comunicazione a terzi ed in particolare:

a. alle organizzazioni sindacali ai fini della gestione dei permessi e delle trattenute sindacali relativamente ai dipendenti che hanno rilasciato delega;

b. agli enti assistenziali, previdenziali e assicurativi e autorità locali di pubblica sicurezza a fini assistenziali e previdenziali, nonché per rilevazione di eventuali patologie o infortuni sul lavoro;

c. agli uffici competenti per il collocamento mirato, relativamente ai dati anagrafici degli assunti appartenenti alle "categorie protette";

d. alle strutture sanitarie competenti per le visite fiscali (art. 5, l. n. 300/1970);

e. agli enti di appartenenza dei lavoratori comandati in entrata ed in uscita (per definire il trattamento retributivo del dipendente);

f. agli organi competenti in materia di fisco, tributi e imposte dirette, quali il Ministero dell’economia e delle finanze, ed alle relative agenzie di competenza, nel caso in cui l'Istituto svolga funzioni di centro di assistenza fiscale (ai sensi dell'art. 17 del d.m. 31.05.1999, n. 164 e nel rispetto dell'art. 12 bis del d.P.R. 29.09.1973, n. 600);

g. agli enti preposti alla vigilanza delle norme in materia di sicurezza sul lavoro.

4. Il trattamento concerne tutti i dati relativi all'instaurazione ed alla gestione del rapporto di impiego, avviato a qualunque titolo (compreso quelli a tempo determinato, part-time e di consulenza) nell'Istituto, a partire dai procedimenti concorsuali o da altre procedure di selezione. I dati sono oggetto di trattamento presso le competenti strutture dell’Istituto per la gestione dell'orario di servizio, per le certificazioni di malattie ed altri giustificativi delle assenze; vengono inoltre effettuati trattamenti a fini statistici e di controllo di gestione. I dati sulle convinzioni religiose possono venire in considerazione laddove il trattamento sia indispensabile per la concessione di permessi per festività oggetto di specifica richiesta dell’interessato motivata da ragioni di appartenenza a determinate confessioni religiose; le informazioni sulla vita sessuale possono desumersi unicamente in caso di rettificazione di attribuzione di sesso. Possono essere raccolti anche dati sulla salute relativi ai familiari del dipendente ai fini della concessione di benefici nei soli casi previsti dalla legge o dal Regolamento del Personale. I dati, che pervengono su iniziativa dei dipendenti o previa richiesta da parte dell’Istituto, vengono trattati ai fini dell'applicazione dei vari istituti contrattuali disciplinati dalla legge (gestione giuridica, economica, previdenziale, pensionistica, attività di aggiornamento e formazione).

Art. 4
Attività istruttoria dei reclami

1. L’Istituto compie trattamenti finalizzati alla trattazione e all’istruttoria dei reclami (art. 67 d. lgs. n. 196/2003) proposti dagli assicurati e dai danneggiati beneficiari delle prestazioni assicurative previste dalle polizze di assicurazione nell’ambito delle attività di vigilanza svolte dall’ISVAP a tutela degli utenti del mercato assicurativo, compresi i reclami relativi alle imprese in liquidazione coatta amministrativa (art. 4, comma 1 lett. c-bis, legge 12 agosto 1982, n. 576).

2. Costituiscono oggetto di trattamento i dati sulla salute degli interessati, nei limiti della effettiva indispensabilità — ai sensi dell’art. 22 comma 5 del d. lgs. n. 196/2003 - ai fini dell’istruttoria rispetto alla situazione rappresentata, con particolare riferimento alle lesioni personali ed alla relativa entità, subite in occasione di sinistri indennizzabili a termini di polizza, le cui conseguenze sullo stato di salute degli interessati sono segnalati all’Istituto dagli interessati stessi ovvero risultanti dall’istruttoria del reclamo. Sempre nei limiti della effettiva indispensabilità — ai sensi dell’art. 22 comma 5 del d. lgs. n. 196/2003 - possono essere oggetto di trattazione ai fini dell’istruttoria rispetto alla situazione rappresentata, anche i dati giudiziari, segnalati dagli stessi interessati ovvero risultanti dall’istruttoria del reclamo.

3. Vengono effettuate operazioni ordinarie, come definite al secondo "ritenuto" delle premesse, restando esclusa ogni forma di elaborazione e di comunicazione a terzi, se non limitatamente alla impresa di assicurazione od ai soggetti coinvolti nella segnalazione, ai fini della istruttoria della segnalazione pervenuta. I predetti dati possono in ogni caso formare oggetto di comunicazione al Ministero delle attività produttive al solo fine, e per quanto indispensabile, per l’emanazione del provvedimento di irrogazione della sanzione, ovvero costituiscano dati inerenti a fattispecie valutabili come ipotesi di reato, per le quali si renda necessaria la comunicazione all’autorità giudiziaria competente.

4. I dati sensibili e i dati giudiziari trattati in questo ambito possono essere comunicati, per l’esercizio delle funzioni di cui al presente articolo, alla Guardia di finanza, nei casi in cui l’Istituto si avvale della sua collaborazione ai sensi dell’art. 307 del d. lgs. 7 settembre 2005, n. 209.

Art. 5
Autorizzazioni e iscrizioni

1. L’Istituto, nell’ambito della propria attività istituzionale e sulla base di specifiche norme di legge, svolge i seguenti procedimenti —rispondenti alle finalità di cui agli artt. 68 e 69 del d. lgs. n. 196/2003 - nell’ambito dei quali rileva il trattamento di dati giudiziari, nonché sensibili, per le finalità prescritte dalla legge e di seguito indicate:

a. autorizzazione all’esercizio dell’attività assicurativa e riassicurativa, per il cui rilascio la disciplina di settore prescrive il possesso dei requisiti di onorabilità in capo agli esponenti delle imprese, al rappresentante generale dell’impresa italiana stabilita in altro stato dell’Unione Europea e al rappresentante della sede secondaria italiana di un’impresa appartenente ad uno stato terzo;

b. autorizzazione all’assunzione del controllo o di partecipazioni qualificate in imprese del settore, per il cui rilascio la disciplina di settore prescrive il possesso dei requisiti di onorabilità e professionalità in capo ai soggetti istanti o rappresentanti le società istanti;

c. iscrizione degli intermediari di assicurazione e dei periti di assicurazione nei rispettivi registri tenuti dall’Isvap, al cui fine la disciplina di settore prescrive il possesso dei requisiti di onorabilità e professionalità in capo ai soggetti istanti;

d. procedimenti disciplinari a carico degli iscritti nei registri degli intermediari e dei periti;

e. procedimenti relativi alla nomina di commissari straordinari nell’amministrazione straordinaria, commissari liquidatori nelle liquidazioni coatte amministrative o liquidatori nelle liquidazioni volontarie, componenti di organi di controllo, di garanzia, sindacali o di revisione nelle amministrazioni straordinarie e nelle liquidazioni coatte amministrative, al cui fine la disciplina di settore prescrive il possesso dei requisiti di onorabilità in capo ai soggetti destinatari del provvedimento di nomina;

f. procedimento di esecuzione della sentenza irrevocabile adottata ai sensi della l. n. 231/2001, come prescritto dall’art 266 del Codice delle Assicurazioni Private.

2. Nell’ambito dei predetti procedimenti, costituiscono oggetto di trattamento i dati giudiziari degli interessati, i quali vengono acquisiti ed istruiti a seguito di presentazione di domanda da parte delle relative persone fisiche o giuridiche interessate, ovvero acquisite direttamente dagli interessati a richiesta dell’Istituto, nonché acquisiti dal casellario giudiziario e vengono trattati nell'ambito del rispettivo procedimento al fine di verificare la sussistenza e persistenza dei requisiti di onorabilità e professionalità richiesti dalla legge.

3. Con riferimento specifico ai procedimenti disciplinari a carico degli iscritti nei registri degli intermediari e periti, sono trattati anche i dati sensibili idonei a rivelare lo stato di salute degli interessati, qualora emergano dall’istruttoria o siano prodotti dai soggetti incolpati in fase difensiva, oltre ai dati giudiziari, ove siano comunque acquisisti al fascicolo su istanza di parte o d’ufficio.

4. I dati giudiziari trattati possono essere oggetto di comunicazione e raffronto con altre amministrazioni pubbliche o soggetti privati esclusivamente al fine dell’accertamento di stati, qualità e fatti ovvero al controllo delle dichiarazioni sostitutive ai sensi del d.P.R. n. 445/2000. Le relative operazioni di trattamento sono svolte sia in forma cartacea che telematica.

5. I dati sensibili e i dati giudiziari trattati in questo ambito possono essere comunicati, per l’esercizio delle funzioni di cui al presente articolo, alla Guardia di finanza, nei casi in cui l’Istituto si avvale della sua collaborazione ai sensi dell’art. 307 del d. lgs. 7 settembre 2005, n. 209.

Art. 6
Attività di vigilanza ispettiva

1. L’Istituto svolge attività di vigilanza ispettiva (art. 67 d. lgs. n. 196/2003) presso gli operatori del settore assicurativo, tra cui imprese di assicurazione, intermediari assicurativi, soggetti esterni alle imprese assicurative che svolgono, su loro incarico, parte del ciclo operativo, periti di assicurazione, soggetti che esercitano abusivamente l’attività assicurativa o di intermediazione assicurativa o altre attività riservate agli operatori assicurativi, ovvero presso altri soggetti sottoposti alla vigilanza dell’ISVAP, disponendo accertamenti presso le rispettive sedi e strutture operative.

2. Nel corso degli accertamenti ispettivi possono essere trattati dati sulla salute e dati giudiziari, inerenti alla documentazione esaminata dagli incaricati degli accertamenti relativamente, ad esempio, a sinistri, a documenti contrattuali di polizza, od alla verifica in loco della sussistenza dei requisiti di onorabilità dei soggetti interessati. I dati sono trattati esclusivamente per verificare l’osservanza delle specifiche norme in materia assicurativa.

Possono pertanto formare oggetto di comunicazione al Ministero delle attività produttive al solo fine, e per quanto indispensabile, per l’emanazione del provvedimento di irrogazione della sanzione, ovvero costituiscano dati inerenti a fattispecie valutabili come ipotesi di reato, per le quali si renda necessaria la comunicazione all’autorità giudiziaria competente.

3. I dati giudiziari trattati possono essere oggetto di comunicazione e raffronto con altre amministrazioni pubbliche o soggetti privati esclusivamente al fine dell’accertamento di stati, qualità e fatti ovvero al controllo delle dichiarazioni sostitutive ai sensi del d.P.R. n. 445/2000. Le relative operazioni di trattamento sono svolte sia in forma cartacea che telematica.

4. I dati sensibili e i dati giudiziari trattati in questo ambito possono essere comunicati, per l’esercizio delle funzioni di cui al presente articolo, alla Guardia di finanza, nei casi in cui l’Istituto si avvale della sua collaborazione ai sensi dell’art. 307 del d. lgs. 7 settembre 2005, n. 209.

Art. 7
Attività di accertamento di violazioni ed irrogazione di sanzioni

1. L’Istituto compie trattamenti di dati sensibili e giudiziari nell’ambito delle attività di accertamento di violazioni e di irrogazione di sanzioni amministrative pecuniarie, di sanzioni disciplinari (art. 71 d. lgs. n. 196/2003) e di comunicazione di reati ai competenti organi giudiziari.

2. Costituiscono oggetto di trattamento i dati sensibili e i dati giudiziari degli interessati (art. 71 d. lgs. n. 196/2003), ove essi vengano acquisiti al fascicolo.

3. Vengono effettuate le operazioni ordinarie, come definite al secondo "ritenuto" delle premesse, ai fini dell’istruttoria di accertamento della fattispecie violativa, e quindi finalizzate alla redazione del processo verbale di accertamento, delle conseguenti fasi procedimentali e della adozione del provvedimento finale, da notificare all’interessato.

4. E’ prevista la comunicazione a terzi, ed in particolare al Ministero delle attività produttive nei limiti della effettiva indispensabilità— ai sensi dell’art. 22 comma 5 del d. lgs. n. 196/2003 - ai fini dell’adozione di sua competenza del provvedimento finale di irrogazione della sanzione, ovvero alla Procura della Repubblica, nei casi di obbligo di rapporto previsti dalla legge, ovvero alla Polizia giudiziaria ed alla magistratura inquirente, al fine di adempiere a specifici provvedimenti giudiziari.

Art. 8
Attività di consulenza legale e difesa giudiziale dell’Istituto

1. L’Istituto compie trattamenti di dati sensibili e giudiziari nell’ambito delle attività relative alla consulenza giuridica, al patrocinio e alla difesa in giudizio dell'Istituto (art. 71, d. lgs. n. 196/2003), sia in via diretta, che con l’assistenza dell’Avvocatura dello Stato, al fine di esercitare il diritto di difesa in sede amministrativa o giudiziaria.

2. Costituiscono oggetto di trattamento i dati sensibili e i dati giudiziari degli interessati, ove essi vengano acquisiti al fascicolo.

3. Vengono effettuate le operazioni ordinarie, come definite al secondo "ritenuto" delle premesse, nell'ambito di pareri resi all'Istituto o per l’Istituto, di scritti difensivi prodotti in giudizio ovvero trasmessi all’Avvocatura dello Stato, così come nell'ambito delle richieste di indennizzo e/o danni inerenti la responsabilità civile verso terzi a favore o a carico dell'amministrazione. Vengono effettuati eventuali raffronti con amministrazioni e gestori di pubblici servizi al fine dell'accertamento d'ufficio di stati, qualità e fatti ovvero al controllo delle dichiarazioni sostitutive ai sensi dell'art. 43 del d.P.R. n. 445/2000. I dati riguardano ogni fattispecie che possa dare luogo ad un contenzioso.

4. E’ prevista la comunicazione a terzi per le seguenti finalità:

a. Avvocatura dello Stato, avvocati di libero foro e consulenti tecnici incaricati dall'Autorità giudiziaria, Autorità giudiziaria, Enti previdenziali (Inail, Inps, Inpdap), Guardia di finanza (di cui l’Istituto può avvalersi ai sensi dell’art. 307 del d. lgs. 7 settembre 2005, n. 209), enti di patronato, sindacati, incaricati di indagini difensive proprie e altrui, società di riscossione tributi/sanzioni, consulenti della controparte, per le finalità di corrispondenza sia in fase pregiudiziale, sia in corso di causa;

b. alle amministrazioni coinvolte nel caso in cui venga presentato il ricorso straordinario al Capo dello Stato (per la relativa trattazione, ai sensi della legge n. 1199/1971);

c. società assicuratrici e relativi consulenti (per la valutazione e la liquidazione degli indennizzi).

Art. 9
Aggiornamento periodico

1. L’identificazione dei tipi di dati trattati e delle relative operazioni rassegnate nel presente regolamento è aggiornata ed integrata quando ciò sia reso necessario da modifiche normative che influiscano sulle funzioni dell’Istituto.

Il Presidente
Giancarlo Giannini