Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Verifica preliminare. Ipotesi di banca dati in campo assicurativo - 20 aprile 2017 [6407608]

VEDI ANCHE: Newsletter del  25 maggio 2017

 

[doc. web n. 6407608]

Verifica preliminare. Ipotesi di banca dati in campo assicurativo - 20 aprile 2017

Registro dei provvedimenti
n. 199 del 20 aprile 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali" (di seguito "Codice");

VISTA la comunicazione del 24 maggio 2016, con cui Belron Italia S.p.A., licenziataria in esclusiva del marchio "Carglass" e specializzata nella riparazione e sostituzione di cristalli degli autoveicoli, ha chiesto al Garante di adottare un provvedimento di bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice) relativamente al trattamento di dati personali che la società intenderebbe svolgere a vantaggio di alcune compagnie di assicurazione convenzionate;

RILEVATO che la società, già liquidataria diretta degli interventi eseguiti a beneficio degli assicurati delle predette compagnie, vorrebbe rendere disponibile a queste ultime, quale servizio aggiuntivo, una piattaforma preordinata alla raccolta di informazioni utili a verificare eventuali condotte fraudolente da parte di soggetti che, a seguito di un sinistro e della successiva richiesta di preventivo, decidessero solo allora di stipulare una polizza "cristalli" con le medesime compagnie, ovvero di "estendere" la copertura assicurativa originariamente circoscritta ad altri rischi, al fine di ottenere (a posteriori, tramite denunce artatamente post-datate) risarcimenti non dovuti;

RILEVATO che tale piattaforma verrebbe alimentata con i dati che gli interessati rilascerebbero in occasione della richiesta formulata telefonicamente, via web o tramite gli appositi centri della società −qualora non seguita, nei sei mesi successivi, dall'esecuzione di un intervento di riparazione e/o sostituzione− e, segnatamente, con:

− il numero di targa del veicolo sinistrato;

− la data della richiesta di preventivo;

− il tipo di cristallo danneggiato;

− gli estremi dell'eventuale polizza assicurativa; 

RILEVATO che le compagnie di assicurazione convenzionate, collegandosi alla piattaforma in occasione della richiesta di sottoscrizione di una polizza "cristalli" o dell'apertura di un fascicolo di sinistro, riceverebbero un feedback –in termini di "semaforo rosso" o "semaforo verde"− relativamente alla presenza o meno in banca di dati di targhe corrispondenti a quelle degli interessati (qualora già censiti, come detto, in connessione con una precedente richiesta di preventivo non seguita dal correlato intervento riparatore), eventualmente in associazione alla tipologia di cristalli danneggiati (parabrezza; lunotto; laterale);

RILEVATO che il risultato dell'interrogazione verrebbe utilizzato dalle compagnie assicurative per autonome verifiche e valutazioni in ordine alla sussistenza di eventuali frodi;

RILEVATO che i dati verrebbero raccolti e conservati, limitatamente ai fini qui considerati, per un periodo di sei mesi, in analogia con quanto previsto nel provvedimento dell'Ivass del 25 agosto 2010, n. 2827 ("Parametri di significatività per la consultazione della banca dati sinistri di cui all'articolo 135 del decreto legislativo 7 settembre 2005, n. 209 – Codice delle assicurazioni private";

RILEVATO che la società, onde verificare la raccolta dei consensi in occasione delle richieste di preventivazione, avrebbe avviato a tal fine un'apposita fase "pilota", rilasciando preventivamente agli interessati un'informativa relativa (anche) al suddetto trattamento;

PRESO ATTO che la società, sin dalle prime esperienze, avrebbe registrato un elevato incremento dei casi di diniego al rilascio del consenso per lo specifico trattamento qui in esame, tale da indurla a formulare l'odierna istanza di esonero ex art. 24, comma 1, lett. g), del Codice;

VISTI i presupposti addotti dalla società a sostegno della propria richiesta, tra cui i potenziali benefici derivanti in capo alle imprese assicurative e agli interessati dall'utilizzo di strumenti preordinati al contrasto delle frodi assicurative (astrattamente forieri, in prospettiva, anche di eventuali riduzioni dei costi delle polizze), oltre alla possibilità stessa per l'Ivass di fruire di dati più precisi per lo svolgimento delle proprie attività istituzionali, legate anche alla gestione della banca di dati dei sinistri (art. 120 del Codice; art. 135 del d.lgs. n. 209/2005);

ESAMINATA la documentazione in atti;

RILEVATO che le attività di prevenzione e contrasto di fenomeni fraudolenti sono disciplinate, nel settore assicurativo, per via legislativa, attraverso un significativo plesso normativo (peraltro riferito ai soli operatori del ramo) che attribuisce la gestione delle banche di dati ivi previste in capo a soggetti pubblici muniti di idonee garanzie di terzietà (v. a titolo esemplificativo, i già citati artt. 120 del Codice e 135 del d.lgs. n. 209/2005; v., altresì, l'art. 21 del d.l. 179/2012, come modificato e integrato dalla l. n. 221/2012, richiamati dalla stessa società);

RILEVATO che, ai fini della richiesta di bilanciamento avanzata, non costituiscono un'idonea base giustificativa −anche in rapporto all'oggetto sociale perseguito dalla società e alle finalità da questa  dichiarate− i "rapporti di collaborazione" intercorrenti con le singole compagnie di assicurazione, essenzialmente rivolti a facilitare, su base convenzionale, l'esecuzione degli interventi concordati e la corrispondente liquidazione dei costi;

RILEVATO che non risulta dimostrata, in rapporto alle garanzie qui considerate e alla normativa "antifrode" richiamata dalla società –relativa, peraltro, al settore della responsabilità civile autoveicoli−, la pertinenza dei presupposti che giustificherebbero un eventuale accoglimento dell'istanza (finanche) in relazione all'interesse di un terzo destinatario dei dati;

RILEVATO, inoltre, che non risultano nemmeno indicate –e tantomeno documentate− le ragioni per cui risulterebbero minusvalenti, rispetto all'interesse perseguito dal titolare o da terzi destinatari dei dati, i diritti o le libertà degli interessati (art. 24, comma 1, lett. g), del Codice, cit.; v. anche Provv. 1° giugno 2016 [doc. web n. 5306512]);

RILEVATO, infatti, che nella piattaforma de qua –peraltro non collegata, contrariamente a quanto dichiarato nell'istanza, alla banca di dati dei sinistri, né all'attività di prevenzione e contrasto effettuata dall'Ivass− potrebbero anche essere censiti soggetti non necessariamente animati da intenti fraudolenti (si pensi, ad esempio, a coloro che, previa richiesta di preventivo alla società, scegliessero di rivolgersi a terzi per la riparazione dei danni, salvo poi decidere, nei sei mesi successivi, di stipulare una polizza "cristalli" con una delle compagnie convenzionate con la società medesima); rilevato che tale circostanza potrebbe, in ipotesi, anche compromettere, in capo a detti soggetti, la possibilità stessa di stipulare polizze assicurative del tipo qui in esame (art. 2 del Codice);

RITENUTO pertanto che, allo stato degli atti, non sussistano idonei presupposti, sulla base della documentazione trasmessa, per giustificare l'adozione da parte del Garante del richiesto provvedimento di bilanciamento di interessi (artt. 24, comma 1, lett. g), e 154, comma 1, lett. d), del Codice);

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO, IL GARANTE

esaminata l'istanza avanzata da Belron Italia S.p.A., non ritiene, allo stato degli atti e per le ragioni di cui in motivazione, che sussistano idonei presupposti per l'adozione del richiesto provvedimento di bilanciamento di interessi in conformità alla normativa vigente (artt. 24, comma 1, lett. g) e 154, comma 1, lett. d), del Codice).

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 20 aprile 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia