Il Garante risponde ad alcuni quesiti posti dall'Isvapcon particolare riguardo alle modalità con cui gli interessatipossono accedere ai propri dati detenuti dall'Istituto.

Roma, 10 febbraio 1998                

Istituto per la vigilanza sulle assicurazioni                
private e di interesse collettivo - ISVAP                
Via Vittorio Colonna, 39                
00139 Roma                

OGGETTO: Parere in ordine all'applicazione dellalegge 675/1996 all'ISVAP

Codesto Istituto ha posto una serie di quesiti relativiall'applicabilità di alcune disposizioni della legge n.675/1996.

1. La prima questione riguarda la possibilitàdi considerare l'Isvap quale soggetto pubblico che, in base adespressa disposizione di legge, raccoglie dati personali per esclusivefinalità di controllo degli intermediari finanziari e ditutela della loro stabilità.

La questione è rilevante perché lalegge n. 675/1996 riconosce all'interessato il diritto di conoscerel'esistenza di dati che lo riguardano, o di ottenere, a secondadei casi, l'aggiornamento, la modifica, la rettifica o la cancellazionedei dati, nonché di opporsi al trattamento per motivi legittimi(art. 13). Rispetto ai trattamenti di dati effettuati da un soggettopubblico in base ad espressa disposizione di legge, per finalitàinerenti al controllo dei mercati e degli intermediari finanziarie della loro stabilità (art. 14), i diritti previsti dall'art.13 possono essere esercitati solo in maniera indiretta, attraversoverifiche disposte dal Garante anche su segnalazione dell'interessato.Ciò pone, appunto, l'interrogativo se l'Isvap possa esserericompreso tra tali soggetti pubblici.

Tale limite trova origine nell'art. 13, comma 1,lett. e), della direttiva 95/46/CE, il quale, con una formulazionemeno specifica di quella impiegata dal legislatore nazionale,autorizza la limitazione dei diritti dell'interessato (e, in particolare,la previsione di un diritto di accesso solo "indiretto")laddove sia necessario salvaguardare "un rilevante interesseeconomico o finanziario ... anche in materia monetaria, di bilancioe tributaria

Il legislatore comunitario non ha ulteriormente precisatola portata di queste espressioni, sicché occorre esaminarealtri atti, in particolare comunitari, per verificare se ed inquale misura, le imprese di assicurazione siano definite comeimprese o enti finanziari.

Si può citare, ad esempio, la direttiva n.91/318/CEE del 10 giugno 1991, in materia di riciclaggio dei proventida attività illecite - attuata con d.l. n. 143/1991, convertitocon legge n. 197/1991 - che annovera le imprese di assicurazionetra gli "enti finanziari". Anche la direttiva n. 95/26/CEEdel 29 giugno 1995, che modifica le precedenti direttive in materiacreditizia ed assicurativa, annovera il servizio finanziario trai servizi assicurativi e definisce le imprese di assicurazionecome "imprese finanziarie" (v. il primo "considerando"e l'art. 1). La qualificazione delle imprese di assicurazionecome "istituzioni finanziarie" figura anche, da ultimo,nel regolamento CEE n. 3604/93 del 13 dicembre 1993, ai fini dell'applicazionedel diritto di accesso privilegiato alle istituzioni finanziarie.

Tale qualificazione delle imprese assicuratrici,unitamente alla funzione di vigilanza attribuita all'Isvap (v.la legge n. 576/1982, che riforma la vigilanza sulle assicurazioni,in particolare gli artt. 4 e 5), induce a ritenere che il citatoart. 14 della legge n. 675/1996 (nella parte in cui menziona il"...controllo degli intermediari e dei mercati ... finanziari, nonchéla tutela della loro stabilità") possa essere applicatoall'Isvap, almeno in date circostanze.

Occorre osservare, però, che i predettiriferimenti normativi non sembrano assumere connotati tali daqualificare le imprese assicuratrici, in termini universali, allastregua di intermediari finanziari

Se appare indubbio che in determinate circostanzele imprese assicuratrici operano in qualità di intermediari,deve constatarsi, al tempo stesso, che tale qualità èriconosciuta a determinati effetti e non in via generale.

È opportuno quindi, che l'Istituto procedaad uno studio più analitico della complessa normativa inmateria assicurativa, al fine di distinguere con precisione icasi in cui le imprese operano inequivocabilmente in veste diintermediari (casi ai quali è applicabile, quindi, il citatoart. 14), dalle situazioni nelle quali, al contrario, l'attivitàdelle medesime imprese non è distinguibile da quella dialtre entità nei confronti delle quali l'interessato puòesercitare i propri diritti in maniera diretta. Di conseguenza,questa analisi permetterà di distinguere meglio i casiin cui l'interessato può esercitare i propri diritti neiconfronti dell' Isvap secondo le modalità previste dagliartt. 14 e 32, comma 6, della legge 675/1996, ovvero direttamente.

2. In secondo luogo, viene chiesto se l'informativaresa all'interessato ai sensi dell'art. 10, comma 1, della legge,sia dovuta allorché i dati personali siano contenuti nellesegnalazioni inviate spontaneamente dagli interessati; ciòaccade, di solito, nel caso di presentazione di esposti relativiall'attività delle imprese vigilate.

Al riguardo, si osserva che il citato art. 10, comma1 si riferisce al solo caso in cui i dati siano raccolti pressol'interessato (o presso un'altra persona quale, ad esempio, undipendente o un familiare) che sia possibile informare prima dellaraccolta.

Nel caso degli esposti, le disposizioni da applicaresono contenute nei commi 3 e 4 del medesimo articolo 10, secondoi quali l'informativa rispetto ai dati non raccolti presso l'interessatopuò essere omessa se i dati sono trattati in base ad unobbligo previsto dalla legge, da un regolamento o dalla normativacomunitaria. Quest'obbligo può essere desunto dall'articolo4 della legge n. 576 del 1982, che configura il potere generaledi controllo dell'Isvap demandando all'Istituto di effettuarerichieste di verifiche ed accertamenti che possono derivare ancheda esposti.

Ad analoga conclusione sembra potersi giungere perun'altra serie di casi nei quali i dati non sono parimenti raccoltipresso l'interessato, in particolare quando: a) i dati sono ottenutidurante ispezioni e verifiche nel corso delle quali si acquisiscanoinformazioni relative a soggetti diversi da quelli oggetto degliaccertamenti (codesto Istituto ha infatti precisato di acquisirein tali circostanze copia di numerosi contratti assicurativi,ai fini della verifica dell'attività di impresa); b) leimprese comunicano all'Isvap l'elenco degli esponenti aziendalie degli azionisti che devono risultare in possesso dei requisitidi professionalità e di onorabilità stabiliti dallenorme in materia.

Queste attività sono poste in essere dall'Istitutosulla base di obblighi riconducibili a precise disposizioni normative,e costituiscono puntuale esplicazione della potestà divigilanza attribuita all'Istituto dalla citata legge n. 576/1982.

Gli artt. 4 e 5 di tale legge demandano all'Isvap,infatti, il compito di controllare la gestione tecnica, finanziariae patrimoniale delle imprese, verificarne i bilanci, di richiedereinformazioni e di vigilare sull'osservanza delle leggi vigentida parte degli operatori del mercato assicurativo.

Tali funzioni istituzionali riguardano anche le sopradescritte fasi di acquisizione di dati presso i soggetti diversidall'interessato, alle quali può ritenersi applicabile,quindi, l'esenzione prevista dal comma 4 dell'art. 10, in ragionedell'esistenza di un obbligo di legge.

3. Il terzo quesito riguarda i requisiti di onorabilitàe di professionalità previsti per esponenti aziendali edazionisti (artt. 9 e 11 dei decreti legislativi nn. 174 e 175del 1995). Tali requisiti sono stabiliti con decreto del Ministrodell'industria, che tra l'altro prevede (vedi l'art. 5 del d.m.24 aprile 1997, n. 186) la produzione del certificato del casellariogiudiziale relativo all'interessato. Tale disposizione del decretoministeriale va esaminata alla luce dell'art. 24 della legge 675/1996,in base al quale il trattamento dei dati idonei a rivelare i provvedimentidi cui all'art. 686, comma 1, lettere a) e d), 2, e 3 del codicedi procedura penale - tra i quali rientrano quelli contenuti nelpredetto certificato penale - è ammesso solo se autorizzatoda espressa disposizione di legge, o da un provvedimento del Garante,che specifichino le rilevanti finalità di pubblico interessedel trattamento, i tipi di dati trattati e le precise operazioniautorizzate.

Il decreto ministeriale in parola non puòessere considerato come una fonte idonea ad individuare le garanziepreviste dal citato art. 24, sicché appare necessario (inalternativa ad una richiesta di autorizzazione al Garante) procederead una modifica della richiamata disciplina di settore, tramitel'introduzione di una norma di rango primario avente le caratteristichedi cui al medesimo art. 24. In attesa dell'emanazione di taledisposizione, codesto Istituto può avvalersi fino al 7maggio 1998 della norma transitoria di cui all'art. 41, comma5, della legge n. 675/1996, previa comunicazione al Garante.

IL PRESIDENTE