Garante per la protezione
    dei dati personali


Banca dati dei sinistri, anagrafetestimoni e anagrafe danneggiati: osservazioni del Garante

PROVVEDIMENTO DEL 10 OTTOBRE 2013

Registro dei provvedimenti
n. 441 del 10 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTAla richiesta pervenuta dall'Ivass in attuazione dell'art. 135 del d.lgs. 7settembre 2005, n. 209 (recante il "Codice delle assicurazioniprivate"), come modificato dall'art. 32, comma 3-bis, lett. b), del d.l.24 gennaio 2012, n. 1, convertito, con modificazioni, dalla l. 24 marzo 2012,n. 27;

VISTOil d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezionedei dati personali (di seguito "Codice");

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

PREMESSO

1.Come noto, l'art. 135 del d.lgs. 7 settembre 2005, n. 209, nella sua attualeformulazione, demanda all'Isvap (oggi Ivass), sentiti il Ministero dellosviluppo economico e, limitatamente ai profili di tutela della riservatezza, ilGarante per la protezione dei dati personali, il compito di stabilire leprocedure di organizzazione e di funzionamento, le modalità e le condizioni diaccesso alla banca dati dei sinistri, nonché alle neo istituite banche di datidenominate "anagrafe testimoni" e "anagrafe danneggiati" daparte dei soggetti ivi menzionati, unitamente agli obblighi di consultazionedelle predette banche di dati da parte delle imprese di assicurazione in fasedi liquidazione dei sinistri.

Inattuazione di tale disposizione, l'Ivass ha chiesto al Garante, per i profilidi protezione dei dati personali, di esprimere le proprie valutazioni in meritoallo schema di regolamento predisposto, il cui testo verrà successivamenteavviato in pubblica consultazione in conformità all'art. 191 del d.lgs. n.209/2005.

Consapevoledel delicato esercizio di bilanciamento che l'Istituto per la vigilanza sulleassicurazioni private è chiamato (in prima battuta) ad effettuare nel definirele modalità di organizzazione e funzionamento delle menzionate banche di dati,il Garante intende, con il presente provvedimento, formulare alcuneosservazioni che, nel rispetto dello spirito della norma, possano dare piena attuazione,anche nella materia in esame, ai princìpi fondamentali di protezione dei datipersonali; tanto, non senza sottolineare alcune perplessità di fondo circa laproliferazione, in tale delicato settore, di complessi organizzati di datipersonali (peraltro riferiti anche a soggetti già "censiti"nell'ambito della stessa banca dati dei sinistri) e la sopravvenuta ipoteticaasimmetria, pur a fronte della "clausola di salvaguardia" contenutanell'ultimo comma dell'art. 120 del Codice, venutasi a determinare traquest'ultimo (relativo alla sola banca dati dei sinistri) e il"nuovo" art. 135 del d.lgs. n. 209/2005 (istitutivo anche dellebanche di dati "anagrafe testimoni" e "anagrafedanneggiati").

RILEVATO

2.Tenuto conto che la banca dati dei sinistri già contiene i dati personalirelativi a testimoni e danneggiati, l'Ivass ha ritenuto di poter mantenere,allo stato, un'unica banca di dati al fine di non alterare le attuali modalitàdi alimentazione da parte delle singole imprese di assicurazione. L'Istitutoritiene che la ratio della norma possa essere comunque garantita attraverso lapossibilità di rendere consultabili, con "viste separate", ledifferenti tipologie di dati personali (in ragione anche del soggetto cherichiede l'accesso), provvedendo successivamente, all'occorrenza, ad una lorodistinta strutturazione logica ed –eventualmente– anche fisica.

Ciòpremesso, lo schema in esame prevede, sinteticamente, che le menzionate banche[rectius: banca] di dati, istituite allo scopo di rendere più efficace laprevenzione e il contrasto di comportamenti fraudolenti nel settore delleassicurazioni obbligatorie per i veicoli a motore immatricolati in Italia,vengano strutturate secondo modalità di accesso e consultazione graduate, tral'altro, in funzione del numero di "parametri di significatività"emersi in occasione della prima consultazione (obbligatoria) da parte deisoggetti preposti (soprattutto le imprese di assicurazione) ed in funzionedell'efficace perseguimento degli obiettivi antifrode cui le stesse banche didati risultano preordinate. In particolare, nell'ipotesi in cui, all'esitodella prima consultazione, emergano almeno due parametri di significatività, leimprese saranno tenute ad effettuare una nuova e più dettagliata consultazionee ad effettuare specifici approfondimenti, di cui dovrà essere data evidenzanel fascicolo del sinistro. Nel caso in cui, invece, dovesse emergere un soloparametro di significatività, le imprese non saranno tenute ad effettuarespecifici approfondimenti, ma solo la consultazione di dettaglio, anch'essa daevidenziare all'interno del fascicolo. In assenza di parametri disignificatività, resterà in facoltà delle singole imprese effettuare una nuovaconsultazione "tracciata" per il tramite di un'apposita funzionalitàdel sistema.

Inogni caso, la consultazione da parte delle singole imprese di assicurazione saràconsentita solo in fase di "gestione" (rectius: liquidazione) diciascun sinistro.

Idati personali memorizzati nelle predette banche di dati, trattati nel rispettodei princìpi di cui all'art. 11 del Codice, verranno conservati per cinque annidalla data di definizione di ciascun sinistro, decorsi i quali saranno"riversati" su un supporto informatico gestito dall'Ivass ecomunicati dall'Istituto esclusivamente per esigenze di giustizia o a seguitodi esercizio dei diritti di cui all'art. 7 del Codice da parte degliinteressati. Decorsi ulteriori cinque anni dal predetto riversamento, i datipersonali che permettono l'identificazione degli interessati verrannocancellati, mentre le restanti informazioni saranno conservate su un ulterioresupporto informatico in forma anonima.

Conspecifico riferimento, inoltre, alla previsione di cui all'art. 135 del d.lgs.n. 209/2005 –secondo la quale, tra i soggetti legittimati all'accesso,figurano anche, genericamente, "soggetti terzi"–, l'Ivass haritenuto di poter limitare la possibilità di consultazione delle banche di datiai soli soggetti –e per le "ulteriori" finalità–individuati, di volta in volta, dalla legge.

Infine,alla luce della nuova formulazione dell'art. 148 del d.lgs. 209/2005, è stataprevista l'introduzione della possibilità, per l'impresa che procede allaconsultazione, di visualizzare la denominazione delle imprese coinvolte nelsinistro.

Fattesalve alcune specifiche peculiarità legate soprattutto all'evoluzionenormativa, lo schema di regolamento sottoposto all'attenzione dell'Autorità nonsi discosta significativamente, quanto a modalità di configurazione efunzionamento del sistema, dal Regolamento Isvap 1 giugno 2009, n. 31(inerente alla sola banca dati dei sinistri), ricalcandone, in buona parte, irelativi contenuti.

RITENUTO

3.Il presente parere viene reso sulla base di un testo provvisorio destinato adessere avviato in pubblica consultazione dall'Ivass in conformità alla legge etiene conto, tra l'altro, di alcune osservazioni già veicolate in passatoall'Istituto nell'ambito di pregresse collaborazioni intercorse in relazione atale ampia problematica.

Loschema proposto mira a rendere ulteriormente efficace la prevenzione e ilcontrasto di comportamenti fraudolenti nel settore dell'assicurazioneobbligatoria della responsabilità civile derivante dalla circolazione deiveicoli a motore immatricolati in Italia attraverso l'istituzione, in aggiuntaalla banca dati dei sinistri (già contemplata anche dall'art. 120 del d.lgs. n.196/2003, di seguito, anche "Codice"), di altre due banche di dati,denominate, appunto, "anagrafe testimoni" e "anagrafedanneggiati".

Siprende preliminarmente atto, sul piano generale, dell'opzione che si intendeesercitare circa il mantenimento, allo stato, di un'unica banca di dati. Intale ottica –e ferma restando l'eventuale futura strutturazione di tredistinte banche di dati–, appare condivisibile la scelta dichiarata divoler adottare modalità di consultazione idonee ad assicurare una"visibilità separata" delle informazioni, in particolare in ragionedelle diverse tipologie dei dati ivi memorizzati; tale opzione, infatti, apparein linea con i princìpi di necessità e proporzionalità (artt. 3 e 11, comma 1,lett. d), del Codice), nella misura in cui risulti effettivamente in grado diridurre al minimo l'utilizzo di dati personali e di garantirne, in pari tempo,la pertinenza e non eccedenza in rapporto alle finalità perseguite (nel caso dispecie, peraltro, già individuate dalla legge).

Tuttavia,in aderenza ai medesimi princìpi, si rende necessario limitare la possibilitàdi accedere ai dati ai soli soggetti effettivamente legittimati in rapportoalle finalità previste dal regolamento, soprattutto al fine di circoscriverel'evidente incertezza dettata dalla generica previsione secondo cui laconsultazione delle banche di dati sarebbe indistintamente consentita anche a"soggetti terzi": pertanto, anche alla luce di quanto previstodall'art. 11, comma 1, lett. b) del Codice, non risulta condivisibile lascelta, cristallizzata nell'art. 2, comma 1, lett. p) (parzialmente mutuataanche nel successivo art. 10, comma 2) del regolamento), secondo cui l'accessoalle informazioni di tale indefinita categoria di soggetti –opportunamentedelimitato "per relationem", in ragione dei singoli rinvii operati,di volta in volta, dalla legge– sarebbe consentito anche per"ulteriori" finalità, anch'esse specificamente individuate dallalegge. In proposito, infatti, non può sottacersi che le banche di dati inquestione sono istituite "al solo scopo di rendere più efficace laprevenzione e il contrasto di comportamenti fraudolenti nel settore delleassicurazioni obbligatorie per i veicoli a motore immatricolati in Italia"(art. 135, comma 1, del d.lgs. n. 209/2005), ragion per cui, sulla base dellanorma, non dovrebbero essere ipotizzabili consultazioni di dati personaliutilizzabili per scopi diversi da quello in esame; e, nella stessa logica,sarebbe opportuno ribadire espressamente la responsabilità –già previstain capo ai soggetti preposti alla consultazione della banca dati dei sinistri(cfr. art. 11, comma 4, del regolamento Isvap 1 giugno 2009, n. 31)– pereventuali violazioni derivanti anche da utilizzi dei dati personali per finalitàulteriori rispetto a quelle che hanno indotto il legislatore ad istituire lesuddette banche di dati.

Risultainvece condivisibile, perché coerente con i menzionati princìpi di necessità e proporzionalità,la scelta di "graduare" l'accessibilità alle informazioni contenutenelle suddette banche (rectius: banca) di dati in ragione del numero di"parametri di significatività" emersi in occasione della primaverifica effettuata, in particolare, dalle singole imprese di assicurazione.

Inogni caso, si ritiene di proporre alcuni suggerimenti che, pur non incidendo,di fatto, sull'efficacia dell'azione di contrasto contro eventualicomportamenti fraudolenti, risultano idonei ad incrementare gli standard ditutela della riservatezza degli interessati. In particolare, si osserva che:

– nell'ipotesi in cui l'impresa ritenga di non doversi avvalere della facoltàprevista dall'art. 148, comma 2-bis del d.lgs. n. 209/2005, sarebbe opportunorivalutare il previsto obbligo di procedere a nuovi specifici"approfondimenti" (suscettibili di integrare successive operazioni ditrattamento), i quali, invece, sono richiesti dalla legge solo qualora lasocietà di assicurazione, non ritenendo di dover formulare un'offerta dirisarcimento, debba motivare le ragioni del proprio diniego;

–in secondo luogo, allorché ricorra un solo "parametro di significatività",andrebbe rivalutato il previsto obbligo di procedere, sempre e comunque (aprescindere, cioè, da una sua reale indispensabilità in rapporto al sinistroesaminato), alla successiva consultazione di dettaglio (anch'essa comportanteulteriori operazioni di trattamento di dati personali, sovente riferite aterzi), specie in assenza di ulteriori, rilevanti elementi potenzialmentesintomatici di eventuali frodi.

Peraltro verso, occorre poi sottolineare che i princìpi di necessità eproporzionalità devono poter trovare attuazione anche con riferimento allemodalità di conservazione dei dati trattati. In tale ottica, merita di essereattentamente valutata, alla scadenza del termine quinquennale decorrente dalladata di definizione di ciascun sinistro (art. 8, comma 4, dello schemaproposto), la reale rispondenza ai predetti princìpi dell'eventuale permanenza,all'interno delle banche [id est: banca] di dati in esame, dei datiidentificativi degli interessati, potendo piuttosto risultare opportuno, alriguardo, prevedere espressamente la loro cancellazione all'esito dellerelative operazioni di riversamento su altro supporto informatico (secondoquanto già contemplato dall'art. 8, comma 3, dell'abrogato provvedimento Isvap10 marzo 2003, n. 2179).

Inaggiunta, anche al fine di dare concreta attuazione ai princìpi di trasparenza,correttezza e finalità (art. 11, comma 1, lett. a) e b), del Codice) –oltreche nell'ottica di accentuare l'effetto dissuasivo delle menzionate banche didati rispetto a possibili comportamenti fraudolenti–, potrebbe risultareopportuno dare adeguata evidenza della loro esistenza e dei connessitrattamenti di dati personali a coloro che, a vario titolo, possono trovarsicoinvolti in un sinistro (anzitutto contraenti e assicurati, ma anchedanneggiati e testimoni). Infatti, atteso che, in base all'art. 13, comma 5,del Codice, il titolare del trattamento non è tenuto a rendere un'informativapreventiva ove i dati personali siano raccolti presso terzi e trattati in basea un obbligo di legge o di regolamento, gli interessati (qui nell'ordinepotenziale di svariati milioni) potrebbero restare all'oscuro circa leoperazioni di trattamento cui sono soggetti i dati personali che a loro siriferiscono. In tale contesto, potrebbe quindi risultare utile, già in sede diraccolta dei dati (tipicamente in occasione della compilazione del modulo di"Constatazione amichevole di incidente–Denuncia di sinistro",peraltro asseverato da codesta Autorità), dare contezza (anche attraversoun'informativa sintetica) dei trattamenti connessi all'istituzione dellepredette banche di dati, ben potendo tale soluzione, benché non obbligatoria inbase alla legge, riverberare comunque effetti positivi a beneficio, oltre chedei predetti interessati, dei soggetti nella cui disponibilità pervengono, avario titolo, i dati.

Infine,in un'ottica di maggior tutela degli interessati e di sensibilizzazione eresponsabilizzazione dei soggetti abilitati alla consultazione dei dati,potrebbe risultare opportuno ribadire espressamente, in sede di tracciaturadelle operazioni, le responsabilità "personali" derivanti daeventuali indebite consultazioni delle informazioni ivi memorizzate (in talsenso, già il regolamento Isvap 1 giugno 2009, n. 31, cit.).

Daultimo, si ritengono necessarie alcune considerazioni di carattere piùgenerale.

Inprimo luogo, nell'esplicitare che i dati personali contenuti nelle citatebanche di dati sono trattati nel rispetto dei princìpi di cui all'art. 11 deld.lgs. n. 196/2003 (art. 5 dello schema di regolamento), potrebbe risultare piùaderente allo spirito del Codice effettuare –in prima battuta– un richiamogenerale all'osservanza della disciplina di protezione dei dati personali,salvo declinare successivamente i medesimi princìpi quali criteri-cardine nelleoperazioni di trattamento dei dati.

Insecondo luogo, al fine di garantire una maggiore aderenza al dettato normativo,sarebbe più appropriato sostituire l'attuale formulazione concernente le misuredi sicurezza (qualificate come "adeguate": art. 7, comma 6, delloschema proposto) con le locuzioni "preventive" e "idonee"(art. 31 e ss. del Codice; più in generale, v. anche gli artt. 33 e ss. deld.lgs. n. 196/2003 e relativo allegato "B").

Infine,occorre evidenziare che le informazioni censite nelle predette banche di datiriguardano anche persone giuridiche, benché l'art. 40 del d.l. 6 dicembre 2011,n. 201 (convertito con modificazioni dalla l. 22 dicembre 2011, n. 214), nelnovellare la disciplina di cui al d.lgs. n. 196/2003, abbia espunto questeultime dalle nozioni di "dato personale" e di"interessato", comportando, quale effetto diretto, la loro esclusionedal novero dei soggetti tutelabili dalla legge (fa eccezione, in proposito, ladisciplina di cui al capo 1, titolo X, del Codice, qualora i medesimi soggetti –manon riguarda il caso in esame– rivestano la qualifica di"contraenti" ex art. 4, comma 2, lett. f), del menzionato decretolegislativo: v. anche Provv. 20 settembre 2012. bene pertanto precisare, in tale quadro, che ilpresente parere è reso esclusivamente con riferimento al trattamento di datipersonali riferiti a persone fisiche ai sensi del novellato art. 4, comma 1,lett. b) e i), del Codice.

TUTTO CIO' PREMESSO, IL GARANTE

esprimeparere favorevole sullo schema di regolamento predisposto dall'Ivass inattuazione dell'art. 135 del d.lgs. 7 settembre 2005, n. 209, come modificatodall'art. 32, comma 3-bis, lett. b), del d.l. 24 gennaio 2012, n. 1,convertito, con modificazioni, dalla l. 24 marzo 2012, n. 27, con laraccomandazione di accogliere i rilievi di cui in motivazione (specificamenteindividuati al punto 3 del presente provvedimento).

Roma, 10 ottobre 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia