| Garante per la protezione dei dati personali vedi anche: Parere su uno schema di decreto delMinistro dello sviluppo economico e del Ministro delle infrastrutture e deitrasporti recante il regolamento per l'istituzione e il funzionamentodell'archivio informatico integrato contro le frodi assicurative PROVVEDIMENTO DEL 24 LUGLIO 2014 Registro dei provvedimenti
IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero dello sviluppo economico; Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lg. 30 giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatorela dott.ssa Augusta Iannini; PREMESSO: IlMinistero dello sviluppo economico ha chiesto il parere del Garante su unoschema di decreto del Ministro dello sviluppo economico e del Ministro delleinfrastrutture e dei trasporti recante il regolamento per l'istituzione e ilfunzionamento dell'"archivio informatico integrato" di cuiall'articolo 21 del decreto-legge 18 ottobre 2012, n. 179, convertito conmodificazioni, dalla legge 17 dicembre 2012, n. 221. Premessoche l'Istituto per la vigilanza sulle assicurazioni private e di interessecollettivo (infra IVASS) cura la prevenzione delle frodi nel settore dell'assicurazionedella responsabilità civile derivante dalla circolazione dei veicoli a motore"relativamente alle richieste di risarcimento e di indennizzo eall'attivazione di sistemi di allerta preventiva contro i rischi di frode"(art. 21, comma 1, d.l. n. 179/2012), il predetto decreto-legge ha attribuitoall'IVASS la possibilità di avvalersi di un archivio informatico integrato (diseguito: "archivio") per favorire la prevenzione e il contrasto dellefrodi in tale settore, migliorando l'efficacia dei sistemi di liquidazione deisinistri e la capacità di individuare i fenomeni fraudolenti (art. 21, commi 2e 3). L'archiviopuò essere connesso con: Conil medesimo decreto, sentito il Garante, devono essere stabilite, altresì, lemodalità di connessione delle banche dati, i termini, le modalità e lecondizioni per la gestione e conservazione dell'archivio e per l'accesso almedesimo da parte delle pubbliche amministrazioni, dell'autorità giudiziaria,delle forze di polizia, delle imprese di assicurazione e di soggetti terzi,nonché gli obblighi di consultazione dell'archivio da parte delle imprese diassicurazione in fase di liquidazione dei sinistri (art. 21, comma 3, secondoperiodo). Infine,per l'alimentazione dell'archivio la disposizione garantisce all'IVASSl'accesso ai dati relativi ai contratti assicurativi contenuti nelle banchedati delle imprese di assicurazione, secondo le modalità e nei terministabiliti dal suddetto decreto (art. 21, comma 4). RILEVATO Loschema di decreto precisa che l'archivio è istituito presso l'IVASS (art. 2,comma 2, dello schema) e individua le banche dati che, in una prima fase delprogetto, sono collegate all'archivio tra quelle previste dalla legge oespressamente indicate; si tratta della banca dati sinistri e delle banche datianagrafe testimoni e anagrafe danneggiati, già istituite presso l'IVASS stesso,della banca dati dei contrassegni assicurativi, dell'archivio nazionale deiveicoli, dell'anagrafe nazionale degli abilitati alla guida e del PRA, dellabanca dati contenente le informazioni relative al ruolo dei periti assicurativi(artt. 2, comma 1, e 4). Consuccessivo regolamento saranno disciplinate la tempistica e le modalità diconnessione delle banche dati previste dall'articolo 21 del decreto-legge n.179 del 2012, ma non espressamente elencate nello schema di regolamento inesame (art. 2, comma 3). L'utilizzodelle predette banche dati è subordinato alla definizione di convenzioni fral'IVASS e le amministrazioni o gli enti interessati, che saranno redatte nelrispetto delle linee guida adottate dall'Agenzia per l'Italia digitale ai sensidell'articolo 58 del codice dell'amministrazione digitale (d. lg. n. 82 del2005). Ilcollegamento informatico dell'archivio con le banche dati avviene medianteconnessione telematica, in base alle specifiche tecniche definite d'intesadall'IVASS con i soggetti interessati, nel rispetto delle linee indicatenell'allegato tecnico al presente schema e secondo una tempistica predefinita(art. 5, commi 1, 2 e 3, e Allegato B). Inoltre,l'IVASS acquisisce le informazioni sull'installazione e attivazione dellecc.dd. "scatole nere", necessarie a fini antifrode e non presentinelle banche dati sopra descritte, dalle imprese di assicurazione, le qualiprovvedono a rendere disponibili le informazioni, nel rispetto delledisposizioni del decreto legislativo 30 giugno 2003, n. 196, recante il Codicein materia di protezione dei dati personali (di seguito: "Codice"),direttamente o, sotto la propria responsabilità, tramite intermediari diassicurazione che ne hanno rappresentanza o tramite sistemi informativicentralizzati istituiti presso le associazioni di categoria delle imprese diassicurazione (art. 4, comma 4). L'IVASSè titolare del trattamento dei dati raccolti nell'archivio ai sensidell'articolo 3 dello schema e in tale qualità sovrintende al correttofunzionamento dell'archivio e all'osservanza delle disposizioni che regolano lemodalità di comunicazione dei dati. I dati contenuti nell'archivio sonotrattati dall'IVASS nel rispetto del Codice, adottando ogni misura idonea adassicurare, tra le altre cose, la sicurezza e l'integrità dei dati (art. 7,commi 4 e 5). L'archivioattiva la consultazione delle banche dati connesse per ogni sinistro acquisitonella banca dati sinistri, al fine di verificare le informazioni segnalatedalle imprese e per acquisire quelle integrative necessarie per calcolare gli"indicatori di anomalia" vale a dire quegli "indicatoriche sulla base di ricorrenze e verifiche di veridicità e coerenza fornisconoelementi sul rischio di fenomeni fraudolenti" (art. 1, comma 1, lett. p).I dati oggetto di verifica o integrativi sono indicati nell'allegato A aldecreto (art. 3, comma 2). Scopodell'archivio, infatti, è quello di fornire alle imprese di assicurazione, aifini della liquidazione dei sinistri, e agli altri soggetti previsti dalregolamento (autorità giudiziaria, forze di polizia, pubbliche amministrazionie soggetti terzi legittimati dalla legge), per finalità antifrode, indicazionisul livello di anomalia di ogni sinistro comunicato alla banca dati sinistri(artt. 3, comma 1, e 6, commi 1 e 2). All'esito della fase di raccolta,verifica e integrazione dei dati, si comunica alle imprese di assicurazionecoinvolte nel sinistro il valore dell'indicatore di anomalia di sintesi;qualora il livello di anomalia dell'indicatore sia superiore a quello fissatocon regolamento dell'IVASS, si comunicano alle imprese di assicurazionecoinvolte anche gli indicatori analitici (art. 3, commi 3 e 4). Le informazioniutilizzate nella procedura di valutazione del rischio, nonché gli indicatori dianomalia, vengono archiviati in una sezione autonoma dell'archivio (art. 3,comma 5). Ad ogni modo, l'IVASS utilizza gli indicatori di anomalia, nonché idati di calcolo, pertinenti, completi e non eccedenti rispetto alle finalità diindividuazione e contrasto delle frodi assicurative (art. 3, comma 6). Infine,l'articolo 7 disciplina i termini di conservazione dei dati nell'archivio intermini analoghi a quanto previsto per i dati registrati nella banca datisinistri, la cui disciplina è contenuta nel regolamento dell'IVASS n. 31 del 1°giugno 2009. CONSIDERATO 1.Il parere è reso su di una versione dello schema di regolamento che tiene contodegli approfondimenti e delle indicazioni suggerite dall'Ufficio del Garante aicompetenti uffici della amministrazioni interessate nel corso di riunioni econtatti informali, volte a perfezionare il testo e a renderlo pienamenteconforme alla disciplina in materia di protezione dei dati personali. Leosservazioni dell'Ufficio hanno riguardato, in particolare: la necessità di unutilizzo di dati pertinenti e non eccedenti, oltre che espressamenteindividuati, rispetto alla finalità perseguita dall'IVASS mediante l'archivio;le convenzioni fra l'IVASS e i soggetti titolari delle altre banche dati concui è connesso l'archivio, opportunamente ricondotte nell'alveo di quellestipulate ai sensi dell'articolo 58 del codice dell'amministrazione digitale;l'esigenza di una disciplina dei flussi di dati fra l'archivio e le imprese diassicurazione pienamente conforme alle regole in materia di protezione dei datipersonali; i tempi di conservazione delle informazioni; le misure di sicurezza,ora dettagliatamente descritte nell'allegato B al decreto. Daquesto punto di vista, quindi, lo schema di decreto non presenta criticitàsotto il profilo della protezione dei dati personali. 2.Resta, tuttavia, l'esigenza di un perfezionamento del testo nella parte in cuidisciplina la conservazione dei dati. Comeanticipato in premessa, l'articolo 7 stabilisce i termini di conservazione deidati nell'archivio in termini analoghi a quanto previsto per i dati registratinella banca dati sinistri (art. 8 regolamento IVASS n. 31 del 1° giugno 2009). Leinformazioni permangono nell'archivio per cinque anni dalla data di definizionedi ciascun sinistro (art. 7, comma 1, dello schema). Decorso il predettoperiodo i dati relativi a ciascun sinistro definito "sono riversati sualtro supporto informatico gestito dall'IVASS" e dopo cinque anni dalpredetto riversamento sono conservati in forma anonima. In tale ultima forma,possono essere utilizzati a fini esclusivamente statistici (art. 7, commi 2 e3). Alriguardo si osserva che il predetto articolo 8 del regolamento n. 31 del 2009specifica che i dati riversati su altro supporto informatico (dopo cinque anni)possono essere utilizzati per i successivi cinque anni dall'IVASSesclusivamente a fini di comunicazione "per esigenze di giustizia penale oa seguito di esercizio dei diritti degli interessati" ai sensidell'articolo 7 del Codice. (art. 8, comma 5). Tale previsione è di particolareimportanza in quanto stabilisce i limiti di utilizzo dei dati nel secondoquinquennio, dando un senso alla distinzione della conservazione dei dati indue fasi temporali. Poichéi dati registrati nella banca dati sinistri di cui al regolamento n. 31 del2009 rappresentano la base informativa primaria dell'archivio informaticointegrato oggetto del presente schema, si ritiene necessario disciplinare laconservazione dei dati raccolti nei due archivi in termini del tutto analoghi,integrando, perciò, l'articolo 7 dello schema con un riferimento espresso ailimiti di utilizzo dei dati nel secondo quinquennio. IL GARANTE esprimeparere favorevole sullo schema di decreto del Ministro dello sviluppo economicoe del Ministro delle infrastrutture e dei trasporti recante il regolamento perl'istituzione e il funzionamento dell'"archivio informaticointegrato" di cui all'articolo 21 del decreto-legge 18 ottobre 2012, n.179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, conla seguente condizione: a)l'articolo 7, comma 2, dello schema sia integrato in termini analoghi a quantoprevisto all'articolo 8, comma 5, del regolamento dell'IVASS n. 31 del 2009(punto 2). Roma, 24 luglio 2014
|