Perché Le chiediamo i dati – approfondiamo
Per trattamento di dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, anche se non registrati in una banca di dati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’elaborazione, la selezione, il blocco, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
I dati personali saranno trattati per adempiere agli obblighi previsti dalla legge, da un regolamento o dalla normativa comunitaria e per finalità civilistiche, contabili e fiscali.
In merito ai trattamenti per finalità di legge, il Titolare è obbligato a trattare i dati per adempiere ai propri fini istituzionali previsti dalle disposizioni contenute articoli 125 e 126 del D.L,gs. 7/9/2005 nr. 209 (Codice delle assicurazioni private), con le conseguenti facoltà previste dalla legge, quanto ai fini di prevenzione e contrasto dei fenomeni fraudolenti, ai sensi dell’art. 148 co. 2-bis. del D.L,gs. 7/9/2005 nr. 209 e, ai fini di acquisizioni di informazioni presso le pubbliche autorità, ai sensi dell’art. 148 co. 4 del D.L,gs. 7/9/2005 nr. 209. In particolare, UCI provvede ad alimentare la Banca Dati Sinistri (BDS) di IVASS nonchè l’Archivio Informatico Antifrode (AIA), istituito da IVASS, con un conseguente controllo incrociato dei dati dalle varie fonti (Banca Dati Sinistri – BDS; Archivio Patenti – MIT; Archivio coperture – MIT; Archivio veicoli – MIT; PRA – ACI; Ruolo Periti – CONSAP); SITA – ANIA, ai fini di prevenzione di comportamenti fraudolenti in campo assicurativo.
Inoltre, UCI per i rimborsi effettuati agli uffici nazionali di assicurazione esteri, che in base agli accordi con esso stipulati siano dovuti intervenire per risarcire danni causati nel territorio del loro Stato da veicoli a motore immatricolati in Italia non coperti da assicurazione, può svolgere attività di trattamento in relazione al diritto di rivalsa nei confronti dell’Interessato (cfr.: proprietario o conducente del veicolo) per le somme pagate e le relative spese.
Infine, i dati personali potranno essere trattati per far valere o difendere nelle sedi competenti (giudiziarie, arbitrali, amministrative, etc) diritti di qualsiasi natura, siano essi connessi o meno ai fini istituzionali del Titolare ovvero per l’attività di recupero crediti stragiudiziale verso l’Interessato.
La base giuridica del trattamento, in questi casi, è rappresentata dalla necessità di adempiere ad un obbligo legale al quale è soggetto il Titolare del trattamento. Inoltre. Nel caso di azioni per far valere o difendere un diritto in sede giudiziaria e/o stragiudiziale e/o conciliativa e/o di procedura mediazione, la base giuridica del trattamento è rappresentata dall’interesse legittimo del Titolare.
Quali dati raccogliamo: approfondiamo
- Il Titolare tratta le seguenti categorie di dati: dati anagrafici e identificativi, dati di contatto, dati di polizza, dati sulla professione, dati fiscali ed estremi di conto corrente bancario, altri dati personali forniti dall’interessato (nazionalità e targa del veicolo estero, descrizione del veicolo estero, tipologia veicolo – marca e modello, descrizione dell’incidente, copia della constatazione amichevole d’incidente – modulo CID, estremi dell’autorità eventualmente intervenuta dopo l’incidente, nome della compagnia di assicurazione del veicolo estero, cognome, nome e indirizzo del proprietario del veicolo estero, cognome, nome e indirizzo del conducente del veicolo estero, copia della carta verde esibita dal conducente del veicolo estero, copia dei documenti eventualmente forniti dal conducente estero, altri elementi a corredo, quali le generalità dei testimoni e dei professionisti), dati raccolti da fonti pubbliche (elenchi, registri, documenti pubblici conoscibili da chiunque), dati acquisiti da altri soggetti terzi (cfr.: verbali dei sinistri emessi dalle autorità competenti, Bureau nazionale del Paese di immatricolazione del veicolo estero).
- Inoltre, per i sinistri con danni alle persone, UCI tratta categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento identificati quali dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona ovvero “dati giudiziari” (dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza), con particolare riferimento ai dati sulla salute (certificati medici, cartelle cliniche, perizie medico-legali, indicazione degli ospedali dove la vittima assume essere stata curata, certificati di invalidità, dichiarazioni ai fini INAIL, ecc…).
In ogni caso, per tutti i tipi di sinistro, in aggiunta, anche su richiesta dell’Autorità Giudiziaria, UCI potrà effettuare trattamenti di dati relativi a condanne penali e reati, e ciò anche ai fini di esercitare o difendere un diritto in sede giudiziaria.
Come (e dove) avviene il trattamento – approfondiamo
- Il trattamento dei dati per le finalità esposte ha luogo con modalità sia automatizzate, su supporto elettronico o magnetico, sia non automatizzate, su supporto cartaceo, nel rispetto delle regole di riservatezza e di sicurezza previste dalla legge, dai regolamenti conseguenti e da disposizioni interne secondo la policy di UCI.
- I dati sono conservati presso la sede principale del Titolare ovvero presso società terze, nominate responsabili esterni del trattamento elaborando i dati per conto del Titolare, i cui server sono posti all’interno dello Spazio economico europeo (data center IDC di TIM a Rozzano – MI); eventuali trasferimenti di dati a sub-responsabili all’estero verranno coperti da clausole contrattuali standard e/o dall’adesione del sub-responsabile a decisioni di adeguatezza, in conformità agli artt. 45 e 46 GDPR.
A chi (e dove) comunichiamo i dati – approfondiamo
Con riferimento alla indicazione dei soggetti interni o delle categorie di soggetti che possono venire a conoscenza dei dati personali del Cliente in qualità di titolari autonomi, responsabili o incaricati, si fornisce di seguito apposito elenco: a) persone autorizzate all’interno di UCI: personale di UCI.
All’esterno dell’organizzazione: b) – società di servizi cui sia affidata la gestione e/o la liquidazione dei sinistri in outsourcing; – a Pubbliche Autorità, ad Organi di Vigilanza e Controllo e ad organismi associativi propri del settore assicurativo; alle compagnie di assicurazione straniere (c.d. Bureau del paese dell’incidente); – ad altri soggetti per l’esecuzione di servizi tecnico-organizzativi e/o bancari; – altri soggetti o banche dati nei confronti dei quali la comunicazione dei dati è obbligatoria; – agli altri soggetti del settore assicurativo, costituenti la c.d. “catena assicurativa”: in particolare, si tratta di: assicurati; agenti ed altri intermediari di assicurazione, banche, SIM; assicurazioni italiane ed estere, coassicuratori e riassicuratori; legali e medici fiduciari, attuari, consulenti tecnici, periti, autofficine, centri di demolizione, strutture sanitarie, società di recupero crediti, servizi di interrogazione di banche dati esterne e altri erogatori convenzionati di servizi; servizi informatici, telematici, finanziari, amministrativi, di rilevazione della qualità del servizio, di archiviazione, di stampa della corrispondenza e di gestione della posta in arrivo e in partenza, di revisione contabile e certificazione di bilancio. I dati possono essere comunicati ad organismi associativi (ANIA) e consortili propri del settore assicurativo nei cui confronti la comunicazione dei dati è funzionale per fornire i servizi sopra indicati o per tutelare i diritti dell’industria assicurativa; alcuni dati possono essere comunicati, per obbligo di legge o regolamento, ad organismi istituzionali quali Autorità Giudiziaria e Forze dell’Ordine, IVASS, Banca d’Italia – UIF, COVIP, CONSOB, CONSAP, Casellario Centrale Infortuni, Motorizzazione Civile, Ministeri della Repubblica, concessionarie per la riscossione dei tributi.
Inoltre, nella “catena assicurativa” di UCI vi rientrano, in virtù di provvedimenti normativi e/o regolamentari (cfr.: Regolamento Generale del Consiglio dei Bureaux – “International Regulations”), anche i “corrispondenti”, quali società nominate da un assicuratore estero per la gestione dei sinistri provocati in Italia dai propri assicurati. Il corrispondente, scelto dall’Impresa estera che, tramite il proprio Bureau, richiede all’UCI l’approvazione della sua nomina, agisce nella fase di gestione dei sinistri quale autonomo titolare nei confronti degli Interessati.
In riferimento, infine, ai terzi fornitori esterni, tutti comunque ubicati nella Unione Europea o in Italia, di servizi cui la comunicazione sia necessaria per l’adempimento delle prestazioni istituzionali di UCI – come richiesto dalle Linee Guida in materia di trasparenza WP 260/2017 – il Titolare ritiene corretto un approccio che faccia riferimento alla categoria dei destinatari, seppur non specifico, facendo così riferimento alle attività svolte, al settore, alla industria, e alla ubicazione territoriale dei destinatari individuati per categoria. In tale prospettiva il Titolare ritiene infatti caso corretto l’approccio per categorie di destinatari della comunicazione in quanto l’indicazione nominativa dei fornitori e sub-fornitori sarebbe esorbitante. I terzi fornitori sono rappresentati dalle seguenti categorie: società di servizi cui sia affidata la gestione e/o la liquidazione dei sinistri in outsourcing; società del comparto bancario e creditizio che forniscono servizi per la gestione delle transazioni finanziarie connesse ai pagamenti delle liquidazioni dei sinistri; fornitori del comparto dei servizi ICT per servizi di installazione, assistenza e manutenzione di impianti e sistemi informatici e telematici e di tutti i servizi funzionalmente connessi e necessari per l’adempimento delle prestazioni istituzionali di UCI; persone, società o studi professionali, che prestano attività di assistenza, consulenza o collaborazione al Concessionario in materia contabile, amministrativa, legale, tributaria e finanziaria relativamente alle funzionali di UCI; società e soggetti istituzionali che operano nell’ambito della prevenzione di frodi o comunque nel settore assicurativo.
Infine, potrebbe verificarsi la comunicazione di dati sui sinistri ad altre imprese assicurative, sottoposte al sistema AIA – archivio informatico antifrode gestito da IVASS, e ciò a seguito di motivata e circostanziata richiesta di dati per una verifica ulteriore a tali fini, e ciò in base ad un interesse legittimo del Titolare, in base ad una positiva valutazione di balance test.
In particolare, l’impresa destinataria di tali comunicazioni sottoscrive con il Titolare un impegno vincolante al rispetto delle finalità in ambito antifrode, alla sicurezza del dato ed alla limitata durata del trattamento sino al raggiungimento della finalità della raccolta, circostanze e modalità che il Titolare ha valutato positivamente in una LIA interna (“Legitimate Interest Assessment”), con prevalenza di interessi legittimi anche di terzi e/o del sistema assicurativo sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato.
In ogni caso l’interessato ha la facoltà di richiedere al Titolare ogni informazione e/o documentazione attestante i criteri tale valutazione.
Per quanto tempo trattiamo i dati
I dati saranno conservati per i tempi definiti dalla normativa di riferimento, che di seguito si specificano ai sensi dell’art. 13, comma 2, lettera (a) del Regolamento: dieci anni per i documenti e relativi dati di natura civilistica, contabile e fiscale come previsto dal codice civile e dalle leggi tributarie in vigore. In caso di attività di recupero crediti ovvero di contenzioso giudiziario da parte del Titolare verso l’Interessato, i dati personali saranno conservati per il periodo di tempo necessario per il conseguimento delle finalità per le quali sono raccolti e trattati.
I Suoi diritti – approfondiamo
Il Codice della privacy e il GDPR conferiscono all’interessato una serie di diritti che ai sensi delle Linee Guida sulla Trasparenza WP 260 è obbligatorio riassumere nel loro contenuto principale all’interno dell’informativa. Di seguito tali diritti si riassumono e sintetizzano:
Informazioni specifiche sul diritto all’accesso ai dati personali e sulle modalità di esercizio di tale diritto
Diritto di accesso (ai soli propri dati personali): diritto di ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che riguardano l’Interessato e in tal caso, di ottenere l’accesso ai dati personali e di essere informato sulle finalità del trattamento; sulle categorie di dati personali in questione; sui destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; quando possibile, sul periodo di conservazione dei dati personali previsto oppure, se non è possibile, sui criteri utilizzati per determinare tale periodo; qualora i dati non siano stati raccolti presso l’interessato, diritto a ricevere tutte le informazioni disponibili sulla loro origine; diritto a ricevere l’informazione sulla esistenza di un processo decisionale automatizzato, compresa la profilazione e le informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’Interessato.
Si informa inoltre che, ai sensi dell’art. 146 D.L,gs. 7/9/2005 nr. 209 (Codice delle assicurazioni private) si dispone che:
- Fermo restando quanto previsto per l’accesso ai singoli dati personali dal codice in materia di protezione dei dati personali, le imprese di assicurazione esercenti l’assicurazione obbligatoria della responsabilità civile derivante dalla circolazione dei veicoli a motore e dei natanti sono tenute a consentire ai contraenti ed ai danneggiati il diritto di accesso agli atti a conclusione dei procedimenti di valutazione, constatazione e liquidazione dei danni che li riguardano.
- L’esercizio del diritto di accesso non è consentito quando abbia ad oggetto atti relativi ad accertamenti che evidenziano indizi o prove di comportamenti fraudolenti. E’ invece sospeso in pendenza di controversia giudiziaria tra l’impresa e il richiedente, fermi restando i poteri attribuiti dalla legge all’autorità giudiziaria.
- Se, entro sessanta giorni dalla richiesta scritta, l’assicurato o il danneggiato non è messo in condizione di prendere visione degli atti richiesti ed estrarne copia a sue spese, può inoltrare reclamo all’IVASS anche al fine di veder garantito il proprio diritto.
- Il Ministro dello sviluppo economico, di concerto con il Ministro della giustizia, con regolamento adottato su proposta dell’IVASS, individua la tipologia degli atti soggetti e di quelli esclusi dall’accesso e determina gli obblighi delle imprese, gli oneri a carico dei richiedenti, nonchè i termini e le altre condizioni per l’esercizio del diritto di cui al comma 1.
Informazioni di sintesi sugli altri diritti dell’interessato e sulle modalità di esercizio dei diritti
Diritto di rettifica: L’Interessato ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. ll Titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il Titolare del trattamento comunica all’Interessato tali destinatari qualora l’interessato lo richieda.
Diritto di integrazione: Tenuto conto delle finalità del trattamento, l’Interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto alla cancellazione: L’Interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo (e ove non sussistano le specifiche ragioni dell’art. 17 comma 3 del Regolamento che al contrario sollevano il Titolare dall’obbligo di cancellazione, tra cui l’adempimento di un obbligo legale che richieda il trattamento ovvero l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria) se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; oppure se l’interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento; oppure se l’interessato si oppone al trattamento a scopi marketing o profilazione, anche revocando il consenso; se i dati personali sono stati trattati illecitamente o riguardano informazioni raccolte presso minori, in violazione dell’art. 8 del GDPR. ll Titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali cancellazioni salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il Titolare del trattamento comunica all’Interessato tali destinatari qualora l’interessato lo richieda.
Diritto alla limitazione del trattamento: l’Interessato ha il diritto di ottenere dal Titolare del trattamento la limitazione del trattamento (cioè, ai sensi della definizione di “limitazione del trattamento” fornita dall’articolo 4 del Regolamento: “il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro”) quando ricorre una delle seguenti ipotesi: l’Interessato contesta l’esattezza dei dati personali, per il periodo necessario al Titolare del trattamento per verificare l’esattezza di tali dati personali; il trattamento è illecito e l’Interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; benché il Titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; l’Interessato si è opposto al trattamento marketing, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato. Se il trattamento è limitato tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante l’Interessato che ha ottenuto la limitazione del trattamento è informato dal Titolare del trattamento prima che detta limitazione sia revocata. Il Titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali limitazioni, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il Titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.
Diritto di opposizione: l’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano svolto dal Titolare o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento o svolto per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (ivi inclusa la profilazione). Inoltre l’Interessato, qualora i dati personali siano trattati per finalità di marketing diretto o di profilazione commercial, ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità.
Diritto alla portabilità dei dati
Tale diritto consente all’Interessato di ricevere i dati personali forniti al Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e – a certe condizioni – di trasmetterli a un altro Titolare del trattamento senza impedimenti.
Sono portabili i soli dati personali che (a) riguardano l’interessato, e (b) sono stati forniti dall’interessato al Titolare. La portabilità dei dati comprende il diritto dell’Interessato di ricevere un sottoinsieme dei dati personali che lo riguardano trattati dal Titolare e di conservarli in vista di un utilizzo ulteriore per scopi personali. Tale conservazione può avvenire su un supporto personale o su un cloud privato, senza comportare necessariamente la trasmissione dei dati a un altro Titolare. La portabilità è una sorta di integrazione e rafforzamento del diverso diritto di accesso ai dati personali, pure previsto dall’art. 15 del Regolamento.
Diritto di non essere sottoposto a decisioni automatizzate, compresa la profilazione: l’Interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salvo nei casi in cui la decisione automatizzata sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; sia prevista dalla legge, nel rispetto di misure e cautele; si basi sul consenso esplicito dell’Interessato.
L’esercizio di tutti i diritti non è soggetto ad alcun vincolo di forma ed è gratuito. Solo in caso di richiesta di ulteriori copie dei dati richieste dall’interessato, il Titolare potrà addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’Interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’Interessato, le informazioni sono fornite in un formato elettronico di uso comune.
Lo specifico indirizzo del Titolare per trasmettere istanze di esercizio dei diritti è il seguente: privacy@ucimi.it.
Non sono richieste altre formalità.
Il riscontro verrà dato nei termini previsti dall’articolo 12, comma 3 del Regolamento (“Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”).
In base a quanto previsto dalle Linee Guida in materia di trasparenza WP 260/2017 emanate dal Gruppo dei Garanti UE, nella indicazione dei diritti dell’interessato il Titolare del trattamento deve specificare un sommario/sintesi di ciascun diritto in questione e deve fornire separate indicazioni sul diritto alla portabilità.
