IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
VISTA la richiesta dell'Ivass del 1° luglio 2015;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
PREMESSO
1. Le modifiche normative al d.lgs. n. 209/2005 e la richiesta dell'Ivass.
Come noto, l'art. 134 del d.lgs. 7 settembre 2005, n. 209, già nella versione antecedente alla novella del d.l. 24 gennaio 2012, n. 1 (convertito, con modificazioni, dalla l. 24 marzo 2012, n. 27), demandava all'Isvap –oggi Ivass– il compito di determinare le indicazioni relative all'attestazione sullo stato del rischio che, in occasione di ciascuna scadenza annuale dei contratti di assicurazione obbligatoria relativi ai veicoli a motore, l'impresa deve consegnare al contraente o, se persona diversa, al proprietario ovvero all'usufruttuario, all'acquirente con patto di riservato dominio o al locatario in caso di locazione finanziaria. In attuazione di tale disposizione normativa, l'Istituto aveva adottato un apposito regolamento volto a disciplinare, in particolare, gli obblighi informativi a carico delle imprese in occasione delle menzionate scadenze annuali, nonché gli aspetti relativi all'anzidetta attestazione sullo stato del rischio (v. Regolamento Isvap del 9 agosto 2006, n. 4, come modificato e integrato dal Provvedimento Isvap dell'8 febbraio 2008, n. 2590).
Il d.l. n. 1/2012 citato, nel prevedere la "dematerializzazione" degli attestati di rischio, ha altresì introdotto, per quanto di interesse in questa sede, l'esplicito obbligo per le imprese assicurative di inserire in una banca di dati elettronica (detenuta da enti pubblici ovvero, qualora già esistente, da soggetti privati) le informazioni riportate negli attestati di rischio rilasciati annualmente agli interessati al fine di consentire adeguati controlli nella fase assuntiva dei contratti di assicurazione (art. 134, comma 2, del d.lgs. n. 209/2005). Le modalità di alimentazione e consultazione della banca di dati sono disciplinate dall'Isvap (rectius: Ivass) a mezzo dello stesso regolamento sopra menzionato. L'istituto, in ogni caso, ha accesso gratuito alle informazioni sull'attestazione contenute nella banca di dati.
Considerata la necessità di adeguare la pregressa disciplina alle intercorse modifiche legislative, l'Ivass, con nota del 1° luglio 2015, ha formalmente chiesto un parere al Garante, oltre che sul "nuovo" regolamento predisposto in attuazione della normativa vigente (avuto specifico riguardo ai profili concernenti la suddetta banca di dati), sul collegato provvedimento n. 35 del 19 giugno 2015 (relativo alle modalità di alimentazione e accesso alla banca di dati SITA-ATRC, già istituita presso l'Ania) e sui relativi allegati tecnici. Nessuna richiesta, invece, risulta formulata con riferimento al testo di convenzione intercorrente tra l'Ivass e l'Ania per l'accesso, da parte dell'istituto, all'anzidetta banca di dati, né al relativo allegato tecnico, documenti originariamente trasmessi all'Autorità, unitamente a quelli sopra richiamati, per prime informali verifiche da parte dell'Ufficio.
2. Il testo del regolamento n. 9 del 19 maggio 2015.
Il regolamento presentato al Garante, già sottoposto a pubblica consultazione da parte dell'Ivass, tiene conto, tra l'altro, dei contributi forniti da Ania e dai rappresentanti di alcune imprese partecipanti all'apposito tavolo tecnico a suo tempo istituito dall'Autorità richiedente. Il relativo testo –volto a disciplinare, in termini più generali, i contenuti, le tempistiche e gli adempimenti connessi all'attestato di rischio di cui all'art. 134 del d.lgs. n. 209/2005– "dedica" due articoli alla regolazione degli aspetti concernenti l'anzidetta banca di dati e prevede, per i profili qui di interesse, che:
– le imprese di assicurazione debbano alimentare la banca di dati degli attestati di rischio con i dati ivi riportati, secondo modalità e tempi previsti dal medesimo regolamento e da distinto provvedimento dell'Ivass (v. infra);
– le informazioni relative all'ultimo attestato di rischio valido siano rese disponibili nella banca di dati almeno trenta giorni prima della scadenza del contratto;
– le imprese siano responsabili della correttezza e dell'aggiornamento delle informazioni trasmesse alla banca di dati, nonché degli accessi alle stesse, secondo le modalità previste dal citato provvedimento dell'Ivass;
– qualora la banca di dati sia già esistente e detenuta da enti privati, l'istituto stipuli un'apposita convenzione che stabilisca le modalità di gestione e controllo delle informazioni censite, con possibilità per l'istituto stesso di accedervi gratuitamente e illimitatamente. In tal caso, titolare del trattamento è il soggetto detentore e gestore della banca di dati, restando in capo all'Ivass la sola titolarità dei trattamenti connessi all'utilizzo della banca di dati per le proprie finalità istituzionali;
– i dati personali siano trattati in osservanza del Codice, con particolare riferimento ai princìpi stabiliti dall'art. 11 del medesimo decreto legislativo e con salvaguardia dei diritti degli interessati e delle correlate forme di tutela previsti dagli artt. 7 e 145 e ss. del Codice in materia di protezione dei dati personali.
Come anticipato, il testo rinvia, per gli aspetti di dettaglio, a un successivo provvedimento per la disciplina delle modalità di trasmissione dei dati e di accesso alla banca di dati degli attestati di rischio (attualmente individuata, sulla base delle previsioni di legge, nella banca di dati SITA_ATRC già esistente presso Ania e contenente le informazioni storiche relative all'attestazione sullo stato del rischio dei veicoli assicurati e immatricolati in Italia, identificati tramite numero di targa o telaio). Sono state allegate, inoltre, le norme tecniche relative all'alimentazione e alla consultazione dell'anzidetta banca di dati da parte delle imprese assicurative.
3. Il provvedimento e i relativi allegati tecnici.
a) Il provvedimento n. 35 del 19 giugno 2015.
Il provvedimento disciplina, sinteticamente, le modalità di trasmissione dei dati e di accesso alla banca di dati SITA_ATRC detenuta e gestita da Ania, rinviando, per gli aspetti tecnici di dettaglio, a due distinti allegati al provvedimento medesimo (v. infra), di cui costituiscono parte integrante. È previsto, in particolare, che i dati personali relativi agli attestati di rischio siano trattati, in qualità di autonomi titolari, da Ania (limitatamente alle operazioni di raccolta e gestione delle informazioni confluite in SITA_ATRC) e da Ivass (per le proprie finalità istituzionali), nel rispetto dei princìpi stabiliti dall'art. 11 del Codice e con salvaguardia del diritto di accesso degli interessati di cui all'art. 7 del Codice.
b) Allegato 1 (Norme per l'alimentazione della Banca dati SITA_ATRC)
L'allegato individua le informazioni relative all'attestato di rischio che formano oggetto di trasmissione alla banca di dati SITA_ATRC. Per ogni attestato di rischio emesso vengono inviate dalle imprese, tramite flussi informatici, i dati ivi riportati organizzati in base a tre distinti tipi di "record" ("Dati generali"; "Pagellino sinistrosità pregressa"; "Dettaglio sinistri paritari"), collegati tra loro attraverso appositi campi-chiave (ad esempio, la targa del veicolo o l'identificativo fiscale del contraente) che identificano in modo univoco l'attestato di rischio cui si riferiscono. Le informazioni trasmesse, che –quanto a contenuti– ricalcano in buona parte quelle già previste dal regolamento Isvap n. 4/2006, sono state "arricchite", in ossequio alle previsioni di legge (art. 134, comma 1, del d.lgs. n. 209/2005), con i dati relativi al proprietario o agli altri eventuali aventi diritto (usufruttuario, acquirente con patto di riservato dominio, locatario), come pure alla specifica tipologia di danno liquidato ("cose", "persone" o "misto"). È prevista, inoltre, la valorizzazione dell'identificativo fiscale dei soggetti sopra richiamati (quale elemento di certezza rispetto a possibili casi di omonimia), come pure la ripartizione dei sinistri per tipologia di responsabilità ("principale" o "paritaria"), con indicazione, in caso di responsabilità "paritaria", della pertinente percentuale di responsabilità (eventualmente concorrente alla variazione della classe di merito: v. anche l'art. 134, comma 4-ter, del d.lgs. n. 209/2005).
I dati, trasmessi quotidianamente dalle imprese via internet o attraverso linea dedicata, vengono elaborati con cadenza giornaliera dalla competente struttura di Ania. In caso di incongruenze, il sistema genera, a seconda delle anomalie rilevate, due distinti messaggi di allerta ("Errori di alimentazione" e "Segnalazioni warning"), restituendo alle imprese, entro la mattina successiva, il relativo feedback ("Ritorno scarti"). La presenza di eventuali "errori di alimentazione", a differenza delle "segnalazioni warning", comporta il mancato caricamento delle informazioni nella banca di dati, determinando lo scarto dell'intero tracciato dei record inviato dalle singole imprese. Il sistema, inoltre, risulta prefigurato per scartare eventuali "flussi" di informazioni –univocamente identificati da specifiche "testate di trasmissione" onde impedire ridondanze di dati– che presentassero ipotetiche analogie.
c) Allegato 2 (Norme per l'accesso della Banca dati SITA_ATRC)
La banca di dati, consultabile dalle imprese che esercitano l'assicurazione obbligatoria della responsabilità civile derivante dalla circolazione dei veicoli, risulta accessibile per via telematica, previo superamento della prevista procedura di autenticazione, sia attraverso il SIC (Sistema Informativo integrato Controlli auto) che mediante il protocollo di comunicazione IBD (Interrogazione Banche Dati). La prima modalità di interrogazione, effettuata utilizzando la funzione web specificamente predisposta da Ania, consente unicamente di consultare singole posizioni, mentre l'accesso tramite protocollo IBD permette di consultare anche posizioni multiple e in modalità off-line, tramite invio di un file (batch) pre-elaborato dalle strutture della stessa Ania. Entrambe le modalità di consultazione e accesso on-line ai dati prevedono l'utilizzo di protocolli di comunicazione crittografati.
L'accesso alla banca di dati da parte dell'Ivass, invece, avviene tramite un distinto servizio appositamente predisposto da Ania e denominato SCA (Servizio Controllo Attestati di rischio). Anche tale servizio, reso accessibile previo superamento di un'apposita procedura di autenticazione, prevede l'utilizzo di tecniche crittografiche a protezione del canale di comunicazione instaurato.
Per tutti gli accessi effettuati in modalità on-line risultano implementati specifici meccanismi di tracciamento delle operazioni eseguite. È prevista, infatti, la registrazione di appositi "file di log" relativamente alle attività compiute da ogni singola utenza.
4. Le considerazioni dell'Autorità.
4.1. Il parere richiesto all'Autorità non può prescindere da una valutazione complessiva dei trattamenti sottesi al funzionamento della banca di dati elettronica prevista dall'art. 134, comma 2, del d.lgs. n. 209/2005 –concretamente individuata dall'Ivass, in armonia con le previsioni di legge, nella banca di dati SITA_ATRC già esistente presso Ania– i cui meccanismi di regolazione (in termini, anzitutto, di alimentazione e consultazione) trovano ripartita declinazione, anche sotto il profilo della disciplina di protezione dei dati personali, in una molteplicità di fonti (regolamento; provvedimento Ivass; allegati tecnici).
4.2. Per quanto attiene al regolamento, l'Ufficio aveva già espresso la necessità, nell'ambito di alcuni incontri informali tenutisi con le competenti strutture dell'Ivass, di introdurre puntuali richiami all'osservanza del Codice in materia di protezione dei dati personali e dei princìpi ivi stabiliti, nonché ai diritti degli interessati e alle correlate forme di tutela; inoltre, è stato da subito suggerito, in ragione dei molteplici soggetti astrattamente coinvolti nelle operazioni di alimentazione, gestione e consultazione della predetta banca di dati, di definire chiaramente i profili concernenti la titolarità dei trattamenti dei dati personali ivi contenuti. Tali osservazioni sono state recepite dall'Istituto nel testo poi inviato in pubblica consultazione, ragion per cui, da questo punto di vista, il regolamento non presenta particolari criticità sotto il profilo della protezione dei dati personali.
Nondimeno, al fine di perfezionare ulteriormente il testo esaminato, si ritiene che il regolamento medesimo dovrebbe:
a) specificare il ruolo delle imprese sotto il profilo della disciplina di protezione dei dati personali, chiarendone la veste di autonomi titolari in relazione alle operazioni di trasmissione e consultazione delle informazioni contenute nella banca di dati degli attestati di rischio; pur precisando, infatti, che le imprese sono responsabili della correttezza e dell'aggiornamento dei dati trasmessi e dell'accesso alle informazioni (art. 5, comma 3), il regolamento non prevede l'attribuzione di tale puntuale qualifica in capo alle stesse, generando un'apparente asimmetria rispetto agli altri soggetti (detentori/gestori della banca di dati e Ivass) cui tale qualifica, invece, viene espressamente riconosciuta (art. 4, comma 2). Lo stesso articolo 5, inoltre, potrebbe essere integrato con un esplicito richiamo alle responsabilità derivanti dalle operazioni di gestione e consultazione dell'anzidetta banca di dati;
b) indicare espressamente lo scopo sotteso all'alimentazione della suddetta banca di dati; infatti, lungi dall'essere una precisazione meramente formale, tale menzione rispecchia fedelmente il dettato legislativo ("al fine di consentire adeguati controlli nell'assunzione dei contratti di assicurazione": art. 134, comma 2, del d.lgs. n. 209/2005), permettendo di dare concreta attuazione al principio di finalità stabilito dall'art. 11, comma 1, lett. b), del Codice in materia di protezione dei dati personali, attraverso un'espressa delimitazione "funzionale" delle operazioni di trattamento consentite;
c) fornire talune sintetiche indicazioni in ordine alle misure di sicurezza, anche minime, che devono essere garantite a protezione delle informazioni contenute nella banca di dati (artt. 31 e 33 e ss. e all. "B" al Codice); in tal senso, si ritiene che non si possa prescindere da un esplicito richiamo (sia pure sintetico) all'osservanza delle misure di sicurezza che il Codice impone a tutti i titolari dei trattamenti, come pure alla necessità che i dati siano trattati da soli incaricati effettivamente legittimati in funzione delle mansioni svolte e debitamente formati sotto il profilo della disciplina in materia di protezione dei dati personali (art. 30 del Codice).
4.3. Per quanto attiene al provvedimento Ivass e ai relativi allegati tecnici (che, giova ribadirlo, ne costituiscono parte integrante), si ritiene che gli stessi debbano essere emendati e/o integrati nei termini di seguito indicati:
a) nel disciplinare il trattamento dei dati personali contenuti nella banca dati degli attestati di rischio detenuta presso Ania, richiamare, da un punto di vista generale, non solo il rispetto dei princìpi contenuti nell'art. 11 del Codice (v. art. 5, comma 2 del provvedimento), ma anche le complessive disposizioni del della disciplina in materia di protezione dei dati personali, salvo poi declinare –dopo aver opportunamente segnalato la necessità di rispettare l'intera disciplina in materia di protezione dei dati personali– i princìpi-cardine cui attenersi nelle operazioni di trattamento (nello stesso senso, già Provv. Garante 10 ottobre 2013, doc. web n. 2725053);
b) nella parte si richiama l'art. 7 del Codice, non ci si può limitare a invocare il "solo" diritto di accesso ai dati personali contenuti nell'anzidetta banca di dati (v. art. 5, comma 3), in quanto l'art. 7 del Codice prevede molteplici altri diritti –distinti e autonomi rispetto al diritto di accesso ai dati personali– tutti meritevoli di pari dignità e uguale considerazione che vanno pertanto, richiamati espressamente;
c) specularmente a quanto previsto nel regolamento (v. supra), chiarire il ruolo delle imprese nella fase di alimentazione della (e di accesso alla) medesima banca di dati, con particolare riferimento al profilo della titolarità delle relative operazioni di trattamento (artt. 4, comma 1, lett. f) e 28 del Codice);
d) fornire alcune sintetiche indicazioni in tema di informativa e consenso; l'obbligo legale di alimentare la predetta banca di dati, infatti, può giustificare, nella prospettiva qui considerata, la trasmissione dei dati personali contenuti negli attestati di rischio senza il consenso degli interessati (art. 24, comma 1, lett. a), del Codice), ma non esime le imprese –diversamente, peraltro, da Ivass e Ania (art. 13, comma 5, lett. a), del Codice)– dall'informare preventivamente gli interessati (anche) in ordine a tale tipologia di trattamento, per quanto previsto dall'art. art. 13, comma 1, del Codice). Chiarire sin da subito, nei termini sopra indicati, la portata di tali adempimenti potrebbe risultare di ausilio alle imprese nella corretta gestione dei dati personali degli interessati nel delicato ambito qui considerato. Infine, potrebbe risultare utile introdurre, analogamente a quanto contemplato nel regolamento (v. supra), un'apposita previsione concernente la responsabilità dei soggetti coinvolti, a vario titolo, nel trattamento dei dati personali contenuti negli attestati di rischio veicolati alla banca di dati;
e) stabilire, conformemente a quanto previsto dall'art. 11, comma 1, lett. e), del Codice, un termine massimo di conservazione delle informazioni (che potrebbe essere rappresentato –fatte salve le esigenze di ulteriore conservazione legate a eventuali diverse disposizioni normative o alla tutela di diritti in sede giudiziaria– dalla scadenza del periodo quinquennale di osservazione), con adozione di meccanismi anche automatici di cancellazione delle stesse alla scadenza dell'arco temporale di riferimento.
Meno problematici, invece, appaiono altri aspetti di protezione dei dati connessi all'esame dei testi prodotti. Da un lato, infatti, i dati personali contenuti negli attestati di rischio e trasmessi dalle imprese alla banca di dati SITA_ATRC non risultano, sulla base degli elementi forniti, sproporzionati rispetto alle finalità perseguite (art. 11, comma 1, lett. d), del Codice), trattandosi di informazioni previste in parte dalla legge e, comunque, funzionali a consentire un adeguato controllo nell'assunzione dei contratti assicurativi. Dall'altro, i meccanismi di verifica dei dati prefigurati, in particolare, nell'allegato 1 al provvedimento consentono, nella prospettiva indicata, di dare concreta attuazione al principio di qualità dei dati (art. 11, comma 1, lett. c), del Codice), permettendo di raccogliere informazioni tendenzialmente corrette e comunque, all'occorrenza, di aggiornarle in tempi ragionevolmente brevi. Anche gli accorgimenti indicati a protezione dei dati non sembrano, allo stato, comportare significativi problemi in termini di sicurezza.
Le osservazioni sopra formulate, ove pertinenti e applicabili, potranno essere prese in considerazione dall'istituto anche in relazione al testo di convenzione Ivass-Ania e al connesso allegato tecnico in origine trasmessi all'Autorità e successivamente esclusi dalla richiesta formale di parere avanzata al Garante.
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi dell'art. 154, comma 1, lett. g), del Codice, esprime parere, nei termini di cui in premessa, sul regolamento adottato dall'Ivass unitamente al connesso provvedimento e relativi allegati tecnici, richiamando, in particolare, la necessità di conformarsi alle indicazioni di cui ai punti 4.2, lett. c), e 4.3, lett. b) ed e), del presente provvedimento.
Roma, 30 luglio 2015
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia
FONTE GARANTE PRIVACY