Parere su uno schema di
decreto del Ministro dello sviluppo economico e del Ministro delle
infrastrutture e dei trasporti recante il regolamento per l\’istituzione e
il funzionamento dell\’archivio informatico integrato contro le frodi assicurative – 24 luglio 2014
Registro dei provvedimenti
n. 378 del 24 luglio 2014
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella
riunione odierna, in presenza del dott. Antonello Soro, presidente,
della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia
Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del
dott. Giuseppe Busia, segretario generale;
Vista la richiesta di parere del Ministero dello sviluppo economico;
Visto l\’articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste
le osservazioni dell\’Ufficio formulate dal segretario generale ai sensi
dell\’art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
PREMESSO:
Il
Ministero dello sviluppo economico ha chiesto il parere del Garante su
uno schema di decreto del Ministro dello sviluppo economico e del
Ministro delle infrastrutture e dei trasporti recante il regolamento per
l\’istituzione e il funzionamento dell\'”archivio informatico integrato”
di cui all\’articolo 21 del decreto-legge 18 ottobre 2012, n. 179,
convertito con modificazioni, dalla legge 17 dicembre 2012, n. 221.
Premesso
che l\’Istituto per la vigilanza sulle assicurazioni private e di
interesse collettivo (infra IVASS) cura la prevenzione delle frodi nel
settore dell\’assicurazione della responsabilità civile derivante dalla
circolazione dei veicoli a motore “relativamente alle richieste di
risarcimento e di indennizzo e all\’attivazione di sistemi di allerta
preventiva contro i rischi di frode” (art. 21, comma 1, d.l. n.
179/2012), il predetto decreto-legge ha attribuito all\’IVASS la
possibilità di avvalersi di un archivio informatico integrato (di
seguito: “archivio”) per favorire la prevenzione e il contrasto delle
frodi in tale settore, migliorando l\’efficacia dei sistemi di
liquidazione dei sinistri e la capacità di individuare i fenomeni
fraudolenti (art. 21, commi 2 e 3).
L\’archivio può essere connesso con:
–
la banca dati degli attestati di rischio prevista dall\’articolo 134 del
codice delle assicurazioni private, di cui al decreto legislativo 7
settembre 2005, n. 209 (infra: “codice delle assicurazioni private”), e
successive modificazioni;
–
la banca dati sinistri e con le banche dati anagrafe testimoni e
anagrafe danneggiati, istituite ai sensi dell\’articolo 135 del medesimo
codice delle assicurazioni private;
–
l\’archivio nazionale dei veicoli e con l\’anagrafe nazionale degli
abilitati alla guida, istituiti dall\’articolo 226 del codice della
strada, di cui al decreto legislativo 30 aprile 1992, n. 285, e
successive modificazioni;
–
il Pubblico registro automobilistico (infra: PRA) istituito presso
l\’Automobile Club d\’Italia dal regio decreto-legge 15 marzo 1927, n.
436, convertito dalla legge 19 febbraio 1928, n. 510;
–
i dati a disposizione della CONSAP per la gestione del fondo di
garanzia per le vittime della strada di cui all\’articolo 283 del codice
delle assicurazioni private, e per la gestione della liquidazione dei
danni a cura dell\’impresa designata di cui all\’articolo 286 del medesimo
codice;
–
i dati a disposizione per i sinistri relativi ai veicoli gestiti
dall\’Ufficio centrale italiano (artt. 125 e 126 codice delle
assicurazioni private);
–
ulteriori archivi e banche dati pubbliche e private, individuate con
decreto del Ministro dello sviluppo economico e del Ministro delle
infrastrutture e dei trasporti, sentiti i Ministeri competenti e l\’IVASS
(art. 21, comma 3, primo periodo).
Con
il medesimo decreto, sentito il Garante, devono essere stabilite,
altresì, le modalità di connessione delle banche dati, i termini, le
modalità e le condizioni per la gestione e conservazione dell\’archivio e
per l\’accesso al medesimo da parte delle pubbliche amministrazioni,
dell\’autorità giudiziaria, delle forze di polizia, delle imprese di
assicurazione e di soggetti terzi, nonché gli obblighi di consultazione
dell\’archivio da parte delle imprese di assicurazione in fase di
liquidazione dei sinistri (art. 21, comma 3, secondo periodo).
Infine,
per l\’alimentazione dell\’archivio la disposizione garantisce all\’IVASS
l\’accesso ai dati relativi ai contratti assicurativi contenuti nelle
banche dati delle imprese di assicurazione, secondo le modalità e nei
termini stabiliti dal suddetto decreto (art. 21, comma 4).
RILEVATO
Lo
schema di decreto precisa che l\’archivio è istituito presso l\’IVASS
(art. 2, comma 2, dello schema) e individua le banche dati che, in una
prima fase del progetto, sono collegate all\’archivio tra quelle previste
dalla legge o espressamente indicate; si tratta della banca dati
sinistri e delle banche dati anagrafe testimoni e anagrafe danneggiati,
già istituite presso l\’IVASS stesso, della banca dati dei contrassegni
assicurativi, dell\’archivio nazionale dei veicoli, dell\’anagrafe
nazionale degli abilitati alla guida e del PRA, della banca dati
contenente le informazioni relative al ruolo dei periti assicurativi
(artt. 2, comma 1, e 4).
Con
successivo regolamento saranno disciplinate la tempistica e le modalità
di connessione delle banche dati previste dall\’articolo 21 del
decreto-legge n. 179 del 2012, ma non espressamente elencate nello
schema di regolamento in esame (art. 2, comma 3).
L\’utilizzo
delle predette banche dati è subordinato alla definizione di
convenzioni fra l\’IVASS e le amministrazioni o gli enti interessati, che
saranno redatte nel rispetto delle linee guida adottate dall\’Agenzia
per l\’Italia digitale ai sensi dell\’articolo 58 del codice
dell\’amministrazione digitale (d. lg. n. 82 del 2005).
Il
collegamento informatico dell\’archivio con le banche dati avviene
mediante connessione telematica, in base alle specifiche tecniche
definite d\’intesa dall\’IVASS con i soggetti interessati, nel rispetto
delle linee indicate nell\’allegato tecnico al presente schema e secondo
una tempistica predefinita (art. 5, commi 1, 2 e 3, e Allegato B).
Inoltre,
l\’IVASS acquisisce le informazioni sull\’installazione e attivazione
delle cc.dd. “scatole nere”, necessarie a fini antifrode e non presenti
nelle banche dati sopra descritte, dalle imprese di assicurazione, le
quali provvedono a rendere disponibili le informazioni, nel rispetto
delle disposizioni del decreto legislativo 30 giugno 2003, n. 196,
recante il Codice in materia di protezione dei dati personali (di
seguito: “Codice”), direttamente o, sotto la propria responsabilità,
tramite intermediari di assicurazione che ne hanno rappresentanza o
tramite sistemi informativi centralizzati istituiti presso le
associazioni di categoria delle imprese di assicurazione (art. 4, comma
4).
L\’IVASS
è titolare del trattamento dei dati raccolti nell\’archivio ai sensi
dell\’articolo 3 dello schema e in tale qualità sovrintende al corretto
funzionamento dell\’archivio e all\’osservanza delle disposizioni che
regolano le modalità di comunicazione dei dati. I dati contenuti
nell\’archivio sono trattati dall\’IVASS nel rispetto del Codice,
adottando ogni misura idonea ad assicurare, tra le altre cose, la
sicurezza e l\’integrità dei dati (art. 7, commi 4 e 5).
L\’archivio
attiva la consultazione delle banche dati connesse per ogni sinistro
acquisito nella banca dati sinistri, al fine di verificare le
informazioni segnalate dalle imprese e per acquisire quelle integrative
necessarie per calcolare gli “indicatori di anomalia” vale a dire
quegli “indicatori che sulla base di ricorrenze e verifiche di
veridicità e coerenza forniscono elementi sul rischio di fenomeni
fraudolenti” (art. 1, comma 1, lett. p). I dati oggetto di verifica o
integrativi sono indicati nell\’allegato A al decreto (art. 3, comma 2).
Scopo
dell\’archivio, infatti, è quello di fornire alle imprese di
assicurazione, ai fini della liquidazione dei sinistri, e agli altri
soggetti previsti dal regolamento (autorità giudiziaria, forze di
polizia, pubbliche amministrazioni e soggetti terzi legittimati dalla
legge), per finalità antifrode, indicazioni sul livello di anomalia di
ogni sinistro comunicato alla banca dati sinistri (artt. 3, comma 1, e
6, commi 1 e 2).
All\’esito della fase di raccolta, verifica e
integrazione dei dati, si comunica alle imprese di assicurazione
coinvolte nel sinistro il valore dell\’indicatore di anomalia di sintesi;
qualora il livello di anomalia dell\’indicatore sia superiore a quello
fissato con regolamento dell\’IVASS, si comunicano alle imprese di
assicurazione coinvolte anche gli indicatori analitici (art. 3, commi 3 e
4). Le informazioni utilizzate nella procedura di valutazione del
rischio, nonché gli indicatori di anomalia, vengono archiviati in una
sezione autonoma dell\’archivio (art. 3, comma 5). Ad ogni modo, l\’IVASS
utilizza gli indicatori di anomalia, nonché i dati di calcolo,
pertinenti, completi e non eccedenti rispetto alle finalità di
individuazione e contrasto delle frodi assicurative (art. 3, comma 6).
Infine,
l\’articolo 7 disciplina i termini di conservazione dei dati
nell\’archivio in termini analoghi a quanto previsto per i dati
registrati nella banca dati sinistri, la cui disciplina è contenuta nel
regolamento dell\’IVASS n. 31 del 1° giugno 2009.
CONSIDERATO
1.
Il parere è reso su di una versione dello schema di regolamento che
tiene conto degli approfondimenti e delle indicazioni suggerite
dall\’Ufficio del Garante ai competenti uffici della amministrazioni
interessate nel corso di riunioni e contatti informali, volte a
perfezionare il testo e a renderlo pienamente conforme alla disciplina
in materia di protezione dei dati personali.
Le
osservazioni dell\’Ufficio hanno riguardato, in particolare: la
necessità di un utilizzo di dati pertinenti e non eccedenti, oltre che
espressamente individuati, rispetto alla finalità perseguita dall\’IVASS
mediante l\’archivio; le convenzioni fra l\’IVASS e i soggetti titolari
delle altre banche dati con cui è connesso l\’archivio, opportunamente
ricondotte nell\’alveo di quelle stipulate ai sensi dell\’articolo 58 del
codice dell\’amministrazione digitale; l\’esigenza di una disciplina dei
flussi di dati fra l\’archivio e le imprese di assicurazione pienamente
conforme alle regole in materia di protezione dei dati personali; i
tempi di conservazione delle informazioni; le misure di sicurezza, ora
dettagliatamente descritte nell\’allegato B al decreto.
Da
questo punto di vista, quindi, lo schema di decreto non presenta
criticità sotto il profilo della protezione dei dati personali.
2. Resta, tuttavia, l\’esigenza di un perfezionamento del testo nella parte in cui disciplina la conservazione dei dati.
Come
anticipato in premessa, l\’articolo 7 stabilisce i termini di
conservazione dei dati nell\’archivio in termini analoghi a quanto
previsto per i dati registrati nella banca dati sinistri (art. 8
regolamento IVASS n. 31 del 1° giugno 2009).
Le
informazioni permangono nell\’archivio per cinque anni dalla data di
definizione di ciascun sinistro (art. 7, comma 1, dello schema). Decorso
il predetto periodo i dati relativi a ciascun sinistro definito “sono
riversati su altro supporto informatico gestito dall\’IVASS” e dopo
cinque anni dal predetto riversamento sono conservati in forma anonima.
In tale ultima forma, possono essere utilizzati a fini esclusivamente
statistici (art. 7, commi 2 e 3).
Al
riguardo si osserva che il predetto articolo 8 del regolamento n. 31
del 2009 specifica che i dati riversati su altro supporto informatico
(dopo cinque anni) possono essere utilizzati per i successivi cinque
anni dall\’IVASS esclusivamente a fini di comunicazione “per esigenze di
giustizia penale o a seguito di esercizio dei diritti degli interessati”
ai sensi dell\’articolo 7 del Codice. (art. 8, comma 5). Tale previsione
è di particolare importanza in quanto stabilisce i limiti di utilizzo
dei dati nel secondo quinquennio, dando un senso alla distinzione della
conservazione dei dati in due fasi temporali.
Poiché
i dati registrati nella banca dati sinistri di cui al regolamento n. 31
del 2009 rappresentano la base informativa primaria dell\’archivio
informatico integrato oggetto del presente schema, si ritiene necessario
disciplinare la conservazione dei dati raccolti nei due archivi in
termini del tutto analoghi, integrando, perciò, l\’articolo 7 dello
schema con un riferimento espresso ai limiti di utilizzo dei dati nel
secondo quinquennio.
IL GARANTE
esprime
parere favorevole sullo schema di decreto del Ministro dello sviluppo
economico e del Ministro delle infrastrutture e dei trasporti recante il
regolamento per l\’istituzione e il funzionamento dell\'”archivio
informatico integrato” di cui all\’articolo 21 del decreto-legge 18
ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17
dicembre 2012, n. 221, con la seguente condizione:
a)
l\’articolo 7, comma 2, dello schema sia integrato in termini analoghi a
quanto previsto all\’articolo 8, comma 5, del regolamento dell\’IVASS n.
31 del 2009 (punto 2).
Roma, 24 luglio 2014