- Normativa
- Assicurazioni e responsabilità civile
- Dott.ssa Daniela Mascaro e Dott. Andrea Guerci
Disciplina della banca dati sinistri, della banca dati anagrafe testimoni e della banca dati anagrafe danneggiati
IVASS - Istituto per la Vigilanza sulle Assicurazioni
Provvedimento n. 23/2016 del 1 giugno 2016
ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI
PROVVEDIMENTO 1 giugno 2016
Regolamento recante la disciplina della banca dati sinistri, della
banca dati anagrafe testimoni e della banca dati anagrafe
danneggiati, di cui all'articolo 135 del decreto legislativo 7
settembre 2005, n. 209 - codice delle assicurazioni private.
(Provvedimento n. 23/2016). (16A04336)
(GU n.134 del 10-6-2016)
Capo I
Disposizioni di carattere generale
L'ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI
Vista la legge 12 agosto 1982, n. 576, concernente la riforma della
vigilanza sulle assicurazioni e l'istituzione dell'ISVAP;
Visto il decreto legislativo 7 settembre 2005, n. 209, recante il
Codice delle assicurazioni private;
Visto il decreto legislativo 30 giugno 2003, n. 196 e successive
modificazioni ed integrazioni, recante il Codice in materia di
protezione dei dati personali;
Visto il decreto-legge 24 gennaio 2012, n. 1, convertito con
modificazioni in legge 24 marzo 2012, n. 27, recante disposizioni
urgenti per la concorrenza, lo sviluppo delle infrastrutture e la
competitivita';
Visto il decreto-legge 6 luglio 2012, n. 95, convertito con
modificazioni in legge 7 agosto 2012, n. 135, concernente
disposizioni urgenti per la revisione della spesa pubblica con
invarianza dei servizi ai cittadini, istitutivo dell'IVASS ed, in
particolare, l'art. 13, comma 20, il quale prevede che rientra nella
competenza esclusiva del Direttorio integrato, tra l'altro,
l'adozione di provvedimenti a carattere normativo;
Visto l'art. 21 del decreto-legge 18 ottobre 2012, n. 179,
convertito con modificazioni in legge 17 dicembre 2012, n. 221, il
quale prevede che l'IVASS cura la prevenzione delle frodi nel settore
dell'assicurazione della responsabilita' civile derivante dalla
circolazione dei veicoli a motore, relativamente alle richieste di
risarcimento e di indennizzo e all'attivazione di sistemi di allerta
preventiva contro i rischi di frode;
Visto il comma 3 del citato art. 21, secondo cui l'IVASS per la
cura delle finalita' antifrode si avvale di un archivio informatico
integrato connesso con le banche dati ivi elencate, nonche' con
ulteriori archivi e banche dati pubbliche e private, individuate con
decreto del Ministro dello sviluppo economico e del Ministro delle
infrastrutture e dei trasporti, sentiti i Ministeri competenti,
l'IVASS e il Garante per la protezione dei dati, per i profili
connessi alla tutela della privacy;
Visto il decreto del Ministro dello sviluppo economico e del
Ministro delle infrastrutture e dei trasporti 11 maggio 2015, n. 108,
recante l'istituzione dell'archivio informatico integrato di cui
all'art. 21 del decreto-legge 18 ottobre 2012, n. 179, convertito con
modificazioni in legge 17 dicembre 2012, n. 221, con l'individuazione
delle banche dati che ne fanno parte;
Visto il provvedimento ISVAP n. 2827 del 25 agosto 2010 e
successive integrazioni e modificazioni;
Visto il regolamento IVASS n. 9 del 19 maggio 2015, recante la
disciplina della banca dati attestati di rischio e dell'attestazione
sullo stato del rischio di cui all'art. 134 del decreto legislativo 7
settembre 2005, n. 209 - Codice delle assicurazioni private -
dematerializzazione dell'attestato di rischio.
Sentiti il Ministero dello sviluppo economico, il Ministero
dell'interno e, per i profili di tutela della riservatezza, il
Garante per la protezione dei dati personali,
A d o t t a
il seguente regolamento:
Art. 1
Fonti normative
1. Il presente regolamento e' adottato ai sensi dell'art. 135 del
decreto legislativo 7 settembre 2005, n. 209 e dell'art. 120 del
decreto legislativo 30 giugno 2003, n. 196.
Art. 2
Definizioni
1. Ai fini del presente Regolamento s'intendono per:
a) «archivio informatico integrato»: lo strumento informatico
d'interconnessione dati, denominato anche «archivio integrato
antifrode» o «AIA», con cui l'IVASS analizza, elabora e valuta le
informazioni in proprio possesso, al fine di individuare i casi di
sospetta frode e di stabilire un meccanismo di allerta preventiva
contro le frodi, istituito dall'art. 21 del decreto-legge 18 ottobre
2012, n. 179, convertito in legge 17 dicembre 2012, n. 221, e
regolato dal decreto ministeriale dello sviluppo economico e del
Ministro delle infrastrutture e dei trasporti 11 maggio 2015, n. 108;
b) «banche dati»: la banca dati sinistri, la banca dati anagrafe
testimoni e la banca dati anagrafe danneggiati, istituite dall'art.
135 del decreto legislativo 7 settembre 2005, n. 209, per la
prevenzione e il contrasto di comportamenti fraudolenti nel settore
delle assicurazioni obbligatorie per i veicoli a motore;
c) «Decreto»: il decreto legislativo 7 settembre 2005, n. 209, e
successive modificazioni ed integrazioni, recante il Codice delle
assicurazioni private;
d) «definizione» del sinistro: la conclusione del procedimento di
trattazione di un sinistro gestito da un'impresa di assicurazione,
per pagamento o eliminazione senza seguito;
e) «imprese di assicurazione italiane»: le imprese aventi sede
legale in Italia e le sedi secondarie in Italia di imprese di
assicurazione aventi sede legale in uno Stato terzo;
f) «imprese di assicurazione»: le imprese di assicurazione
italiane e le imprese di assicurazione dell'Unione europea e quelle
aderenti allo Spazio economico europeo, che svolgono la loro
attivita' in Italia in regime di liberta' di prestazione di servizi o
in regime di stabilimento;
g) «interessati»: le persone fisiche cui si riferiscono i dati
personali;
h) «parametri di significativita'»: gli indicatori di possibili
fenomeni fraudolenti, come individuati dall'art. 4 del Provvedimento
ISVAP n. 2827 del 25 agosto 2010;
i) «sinistri»: i sinistri relativi all'assicurazione obbligatoria
della responsabilita' civile derivante dalla circolazione dei veicoli
a motore immatricolati in Italia;
j) «soggetti abilitati»: le persone fisiche, incaricate dalle
imprese di assicurazione in ragione della connessione con l'attivita'
svolta su incarico delle stesse, abilitate a consultare i dati
registrati nelle banche dati di cui alla lettera b);
k) «soggetti aventi diritto»: l'Autorita' giudiziaria, le Forze
di polizia e le Pubbliche amministrazioni competenti in materia di
prevenzione e contrasto di comportamenti fraudolenti nel settore
delle assicurazioni obbligatorie per i veicoli a motore immatricolati
in Italia;
l) «soggetti terzi»: i soggetti legittimati alla consultazione
delle banche dati nei limiti e per le finalita' individuati dalla
legge.
Art. 3
Ambito di applicazione
1. Il presente Regolamento si applica:
a) alle imprese di assicurazione italiane autorizzate
all'esercizio nel territorio della Repubblica dell'attivita'
assicurativa nel ramo dell'assicurazione obbligatoria della
responsabilita' civile derivante dalla circolazione dei veicoli a
motore, anche qualora agiscano in veste di imprese designate per la
liquidazione dei danni a carico del Fondo di garanzia per le vittime
della strada;
b) alle imprese dell'Unione europea ed a quelle aderenti allo
Spazio economico europeo abilitate all'esercizio nel territorio della
Repubblica dell'attivita' assicurativa nel ramo dell'assicurazione
obbligatoria della responsabilita' civile derivante dalla
circolazione dei veicoli a motore in regime di liberta' di
prestazione di servizi o in regime di stabilimento, ad esclusione di
quanto disposto dal Capo III.
Capo II
Banche dati
Art. 4
Finalita'
1. Le banche dati raccolgono i dati dei sinistri relativi ai
veicoli a motore immatricolati in Italia, nonche' i dati dei
testimoni e dei danneggiati riferiti ai medesimi sinistri, al fine di
agevolare la prevenzione e il contrasto di comportamenti fraudolenti
nel settore dell'assicurazione obbligatoria per i veicoli a motore.
2. Le banche dati sono organizzate in modo da consentire all'IVASS,
in relazione alla finalita' di cui al comma 1, di effettuare
elaborazioni statistiche, ricerche, studi ed analisi dei dati.
Art. 5
Trattamento dei dati
1. L'IVASS e' il titolare del trattamento dei dati ed opera nel
rispetto dei principi di cui all'art. 11 del decreto legislativo 30
giugno 2003, n. 196. In tale qualita' sovrintende al corretto
funzionamento delle banche dati e all'osservanza delle disposizioni
che regolano le modalita' e i termini di comunicazione dei dati.
2. L'IVASS adotta le misure tecniche, logiche, informatiche,
procedurali, fisiche ed organizzative idonee a garantire il corretto
e regolare funzionamento delle banche dati, nonche' la riservatezza,
la sicurezza e l'integrita' dei dati in conformita' al decreto
legislativo 30 giugno 2003, n. 196.
Capo III
Modalità di organizzazione e funzionamento delle banche dati
Art. 6
Obblighi di comunicazione
delle imprese di assicurazione italiane
1. I dati per l'alimentazione delle banche dati sono comunicati
all'IVASS, dal momento del pervenimento della richiesta di
risarcimento o della denuncia e fino alla definizione del sinistro,
da parte dell'impresa di assicurazione italiana:
a) che ha ricevuto la richiesta di risarcimento del danneggiato,
nel caso di sinistri soggetti alla procedura di risarcimento diretto
di cui all'art. 149 del Decreto;
b) che gestisce la procedura di liquidazione a seguito della
denuncia di sinistro del responsabile o, in mancanza, della richiesta
di risarcimento del danneggiato, nel caso di sinistri soggetti alla
procedura di risarcimento di cui all'art. 148 del decreto.
2. I dati da comunicare sono indicati nell'allegato 1 e sono
relativi alle seguenti categorie:
a) elementi identificativi del sinistro;
b) elementi identificativi dei testimoni del sinistro;
c) elementi identificativi dei danneggiati dal sinistro;
d) elementi identificativi dei contraenti, dei proprietari e dei
conducenti dei veicoli coinvolti nel sinistro;
e) elementi identificativi dei veicoli coinvolti nel sinistro;
f) elementi identificativi dei professionisti incaricati in
relazione al sinistro;
g) elementi identificativi delle carrozzerie o autofficine di
riparazione dei veicoli coinvolti nel sinistro;
h) elementi identificativi delle autorita' e dei presidi di pronto
soccorso eventualmente intervenuti in relazione al sinistro;
i) elementi di valutazione del danno alle cose e/o alle persone. In
caso di danni alle cose: parti danneggiate; in caso di danni alle
persone: sedi delle lesioni, classificate in base a zone anatomiche
predeterminate o eventuale decesso;
j) elementi identificativi dei pagamenti per danni a cose e/o
persone determinati dal sinistro, ivi inclusi i beneficiari.
Art. 7
Modalita' e termini di comunicazione dei dati
1. Le imprese di assicurazione italiane comunicano all'IVASS i dati
relativi al sinistro secondo principi di esattezza e completezza, con
le modalita' tecniche stabilite dall'IVASS con proprio provvedimento.
2. Le imprese di cui al comma 1 comunicano i dati di cui all'art.
6, relativi a ciascun sinistro, in via telematica, entro sette
giorni, esclusi il sabato e i festivi, dal pervenimento della
richiesta di risarcimento o della denuncia.
3. Le imprese di cui al comma 1 comunicano, entro il termine di
sette giorni dall'acquisizione, esclusi il sabato e i festivi, i dati
di cui all'art. 6 conosciuti successivamente alla trasmissione
effettuata ai sensi del comma 2.
4. Le imprese di cui al comma 1 apportano tempestivamente ogni
rettifica o cancellazione dei dati che si renda necessaria e ne danno
notizia all'IVASS entro il termine di venti giorni di calendario.
5. Le imprese di cui al comma 1 assumono misure preventive ed
idonee al fine di assicurare la riservatezza, la sicurezza e
l'integrita' dei dati e delle comunicazioni, in conformita' al
decreto legislativo 30 giugno 2003, n. 196.
6. Ai soli fini sanzionatori, si considera quale comunicazione
periodica di cui all'art. 316 del Decreto, indipendentemente dalla
frequenza dei flussi dei dati comunicati ai sensi del presente
articolo, l'insieme delle trasmissioni effettuate dall'impresa in
ciascuna settimana di calendario rientrante nel periodo di
osservazione assunto in sede di accertamento delle eventuali
violazioni.
7. Per specifiche esigenze tecniche, le imprese possono chiedere la
transcodifica dei sinistri comunicati alle banche dati. In caso di
operazioni straordinarie quali fusioni, scorpori o acquisizioni di
portafoglio, le imprese inoltrano all'IVASS una relazione sul piano
di integrazione delle basi dati coinvolte, indicando la tempistica
entro cui tali operazioni saranno concluse e richiedendo le eventuali
necessarie operazioni di transcodifica con riferimento ai dati gia'
comunicati dall'impresa oggetto di fusione o scorporo o che gestiva
il portafoglio acquisito.
Art. 8
Ricevimento, convalida e registrazione dei dati
1. Il processo di gestione delle banche dati si articola nelle
seguenti fasi ed attivita':
a) ricevimento delle comunicazioni;
b) convalida;
c) registrazione dei dati.
2. Al ricevimento dei dati, l'IVASS verifica che gli stessi siano
stati comunicati secondo le modalita' previste dal provvedimento di
cui all'art. 7, comma 1 e, in caso di esito positivo, provvede alla
loro convalida entro sette giorni.
3. L'IVASS, tramite le interconnessioni con le fonti dati esterne
dell'archivio informatico integrato definite con il decreto
ministeriale dell'11 maggio 2015, n. 108, puo' effettuare verifiche
di congruita' delle informazioni comunicate alle banche dati.
4. Quando i dati trasmessi non superano la verifica di cui al comma
2, l'IVASS ne da' informativa alle imprese di assicurazione,
affinche' provvedano ad una nuova comunicazione, con le necessarie
integrazioni o correzioni, entro il termine di venti giorni dal
ricevimento della richiesta.
5. I dati sono registrati nelle banche dati per cinque anni dalla
data di definizione di ciascun sinistro.
6. Decorso il termine di cui al comma 5, i dati relativi a ciascun
sinistro definito sono estratti dalle banche dati e riversati su
altro supporto informatico gestito dall'IVASS. Tali dati sono
comunicati dall'IVASS esclusivamente per esigenze di giustizia penale
o a seguito di esercizio dei diritti degli interessati, ai sensi
dell'art. 7 del decreto legislativo 30 giugno 2003, n. 196.
7. Decorsi dieci anni dalla data di definizione di ciascun
sinistro, i dati che permettono di identificare le persone fisiche e
giuridiche coinvolte a vario titolo nei sinistri vengono cancellati;
i restanti dati sono conservati su altro supporto informatico in
forma anonima e non possono essere utilizzati al fine di identificare
gli interessati.
8. L'IVASS puo' diffondere i dati a scopi statistici ed in forma
aggregata per le finalita' di cui all'art. 135, comma 1, del Decreto,
garantendo l'anonimato.
Capo IV
Consultazione delle banche dati
Art. 9
Consultazione delle imprese di assicurazione
1. Le imprese di assicurazione, anche quando agiscono in veste di
imprese designate per la liquidazione dei danni a carico del Fondo di
garanzia per le vittime della strada di cui all'art. 285 del Decreto,
consultano le banche dati in fase di gestione di ciascun sinistro.
2. La consultazione di cui al comma 1 si considera effettuata con
la ricezione del flusso di dati di cui all'art. 3 del decreto del
Ministro dello sviluppo economico e del Ministro delle infrastrutture
e dei trasporti 11 maggio 2015, n. 108.
3. In caso di mancata ricezione del flusso di dati di cui al comma
2, entro il termine di giorni 5 dalla comunicazione dei dati
all'IVASS ai sensi dell'art. 7, l'obbligo di consultazione e' assolto
con le modalita' indicate all'art. 12, commi 2, lettera a), e 3 o
all'art. 13, commi da 1 a 4.
4. Quando dalla consultazione emerge la sussistenza di almeno due
parametri di significativita', le imprese di cui al comma 1, anche se
decidono di non avvalersi della facolta' di cui all'art. 148, comma
2-bis del decreto, acquisiscono le informazioni di cui all'art. 13,
comma 5, ed eseguono specifici approfondimenti, dandone evidenza nel
fascicolo di sinistro.
5. Le imprese di assicurazione, ai sensi dell'art. 134, comma 4,
del Decreto, consultano altresi' la banca dati sinistri ai fini
dell'acquisizione dell'attestato di rischio, limitatamente ai casi
previsti dall'art. 9, comma 5, del regolamento IVASS n. 9 del 19
maggio 2015, e con riferimento ai soli «dati sinistro» di cui
all'allegato 1.
6. La consultazione di cui al comma 5 e' effettuata con le
modalita' indicate all'art. 13, commi da 1 a 4.
Art. 10
Limiti all'esercizio del diritto di consultazione
1. Le imprese di assicurazione, la CONSAP, l'UCI e gli altri
soggetti aventi diritto, consultano le banche dati esclusivamente per
le finalita' di cui all'art. 4, comma 1.
2. I soggetti terzi, consultano le banche dati esclusivamente per
le finalita' previste dalla legge che li ammette alla consultazione.
La tipologia dei dati accessibili e le modalita' tecniche di
consultazione sono stabilite mediante specifiche convenzioni con
l'IVASS.
3. La consultazione delle banche dati e il trattamento delle
informazioni acquisite e' limitato ai dati pertinenti e non eccedenti
rispetto al perseguimento delle finalita' di cui ai commi 1 e 2.
Art. 11
Modalita' di abilitazione alla consultazione
1. Le imprese di assicurazione, la CONSAP e l'UCI consultano le
banche dati per la verifica della situazione storica collegata al
caso in esame, nell'ambito del processo di gestione dei sinistri. Le
imprese di assicurazione consultano la banca dati sinistri per la
verifica della correttezza delle dichiarazioni rilasciate dal
contraente qualora, all'atto della stipula del contratto,
l'attestazione sullo stato del rischio non risulti presente nel
relativo archivio disciplinato dal regolamento IVASS n. 9 del 19
maggio 2015.
2. Gli enti di cui al comma 1 comunicano all'IVASS gli estremi
identificativi dei soggetti per i quali, in ragione della connessione
con l'attivita' svolta su loro incarico, intendono richiedere
l'abilitazione alla consultazione delle banche dati, con
l'indicazione dei relativi requisiti e secondo le modalita' previste
nell'allegato 2. L'IVASS rilascia o nega l'abilitazione entro 30
giorni dal ricevimento della comunicazione secondo la procedura di
cui all'allegato 2, fornendo per ciascuno dei soggetti abilitati un
distinto codice identificativo.
3. Gli enti di cui al comma 1 comunicano all'IVASS, entro cinque
giorni, la perdita dei requisiti che legittimano la consultazione da
parte dei soggetti abilitati.
4. Salvi comunque gli obblighi e la responsabilita' degli enti di
cui al comma 1, i responsabili e il personale delle strutture e degli
uffici mediante i quali e' effettuata la consultazione sono vincolati
al segreto sugli elementi informativi acquisiti e sono personalmente
responsabili per la violazione degli obblighi di riservatezza
derivanti dal trattamento delle informazioni acquisite tramite
consultazione delle banche dati e della loro utilizzazione o
divulgazione a terzi per finalita' non consentite dalla legge.
Art. 12
Modalita' di consultazione da parte
dei soggetti aventi diritto
1. I soggetti aventi diritto consultano le banche dati in base alle
seguenti chiavi di ricerca, utilizzate anche contestualmente:
a) cognome, nome, luogo, data di nascita e codice fiscale di
persone fisiche;
b) ragione/denominazione sociale e partita IVA di persone
giuridiche, societa' o altri enti collettivi;
c) targhe (o numeri di telaio) dei veicoli.
2. La consultazione puo' avvenire secondo le seguenti modalita':
a) batch, che permette l'acquisizione via file delle informazioni
di cui al comma 3;
b) on line, che permette l'immediata visualizzazione e stampa
delle informazioni di cui al comma 4.
3. Con la consultazione batch, le banche dati forniscono, in
riscontro all'inoltro via file di una lista di targhe (o numeri di
telaio), di codici fiscali e di partite IVA, un file contenente il
numero di sinistri presenti per ciascuna targa (o numero di telaio),
codice fiscale o partita IVA immessa, nonche' la valorizzazione dei
relativi parametri di significativita'.
4. Con la consultazione on line, le banche dati forniscono evidenza
del numero dei sinistri nei quali risultino coinvolti la persona
fisica, la societa' o l'ente collettivo (identificabile tramite il
codice fiscale o la partita IVA) o il veicolo (identificabile tramite
la targa o il numero di telaio) in relazione al quale e' stata
effettuata l'interrogazione, nonche' la valorizzazione dei relativi
parametri di significativita'. Le banche dati forniscono, altresi',
per ciascuno dei suddetti sinistri le informazioni relative a:
a) data e luogo del sinistro;
b) targhe (o numeri di telaio) dei veicoli coinvolti;
c) denominazione delle imprese di assicurazione coinvolte;
d) ubicazione del danno alle cose;
e) presenza e tipo della lesione in caso di danno alla persona;
f) pagamenti per danni a cose e/o persone determinati dal
sinistro;
g) elementi identificativi (eventualmente correlati con il codice
fiscale o la partita IVA) dei soggetti a vario titolo coinvolti ed i
rispettivi ruoli, come individuati ai sensi dell'art. 6, comma 2,
lettere b), c), d), f), g), h), j).
Art. 13
Modalita' di consultazione da parte delle imprese
di assicurazione, della CONSAP e dell'UCI
1. Le imprese di assicurazione, la CONSAP e l'UCI consultano le
banche dati in base alle seguenti chiavi di ricerca, utilizzate anche
contestualmente:
a) cognome, nome, luogo, data di nascita e codice fiscale di
persone fisiche;
b) ragione/denominazione sociale e partita IVA di persone
giuridiche, societa' o altri enti collettivi;
c) targhe (o numeri di telaio) dei veicoli.
2. I soggetti abilitati di cui all'art. 11, comma 2 avviano la
consultazione delle banche dati indicando:
a) il numero di sinistro in relazione al quale richiedono la
consultazione, in caso di accesso ai sensi dell'art. 9, comma 1;
b) il numero della polizza, in caso di accesso ai sensi dell'art.
9, comma 5.
3. La consultazione avviene in modalita' on line per consentire
l'immediata visualizzazione e stampa delle informazioni di cui al
comma 4, nonche' di quelle di cui al comma 5, al ricorrere delle
condizioni previste dallo stesso comma.
4. Con la consultazione on line, le banche dati forniscono evidenza
del numero dei sinistri nei quali risultino coinvolti la persona
fisica, la societa' o l'ente collettivo (identificabile tramite il
codice fiscale o la partita IVA) o il veicolo (identificabile tramite
la targa o il numero di telaio) in relazione al quale e' stata
effettuata l'interrogazione, nonche' la valorizzazione dei relativi
parametri di significativita'. Sono altresi' fornite le informazioni
su:
a) data e luogo del sinistro;
b) tipologia dei danni occorsi (a cose, a persone, misti);
c) data dei pagamenti, per la specifica tipologia di danno;
d) ruolo del veicolo o del soggetto circa la responsabilita' nel
sinistro (responsabile o danneggiato) ed eventuale grado di
responsabilita';
e) indicazione del ruolo del soggetto nel sinistro (conducente,
proprietario o contraente del veicolo; testimone; terzo; ecc.).
5. Con ulteriore consultazione on line, effettuabile solo in caso
di accesso ai sensi dell'art. 9, comma 1, nonche' di valorizzazione
di almeno due parametri di significativita', le banche dati sono,
altresi', in grado di fornire, per ciascuno dei sinistri, le
informazioni relative a:
a) targhe (o numeri di telaio) dei veicoli coinvolti;
b) denominazione delle imprese di assicurazione coinvolte;
c) ubicazione del danno alle cose;
d) presenza e tipo della lesione in caso di danno alla persona;
e) elementi identificativi (eventualmente correlati con il codice
fiscale o la partita IVA) dei soggetti a vario titolo coinvolti ed i
rispettivi ruoli, come individuati ai sensi dell'art. 6, comma 2,
lettere b), c), d), f), g), h), j).
6. Previa attivazione di funzionalita' appositamente tracciate dal
sistema informatico, la consultazione dei dati di cui al comma 5
puo', altresi', essere effettuata in presenza di elementi
significativi sotto il profilo della potenziale esistenza di
comportamenti fraudolenti, anche in esito alla trasmissione dei
flussi di cui al decreto del Ministro dello sviluppo economico e del
Ministro delle infrastrutture e dei trasporti 11 maggio 2015, n.
108.
Art. 14
Tracciatura delle consultazioni
1. Ogni consultazione delle banche dati e' registrata e memorizzata
dall'IVASS, con l'indicazione del codice identificativo del soggetto
che ha effettuato la consultazione, della data e dell'ora della
consultazione, delle chiavi di ricerca, del numero di sinistro e dei
dati consultati.
2. L'IVASS esegue controlli sulle consultazioni effettuate dai
soggetti abilitati, anche attraverso verifiche periodiche a campione.
3. In caso di consultazione irregolare, l'IVASS sospende o revoca
l'abilitazione del soggetto cui la stessa e' riconducibile mediante
il codice identificativo.
4. In caso di consultazione illegittima delle banche dati, l'IVASS
puo' sospendere dalla consultazione i soggetti abilitati anche quando
e' configurabile una corresponsabilita' degli stessi per omesso
controllo o per disfunzioni organizzative tali da aver consentito la
sistematica reiterazione della violazione da parte di altri soggetti
che operano o hanno operato per proprio conto.
Capo V
Diritti degli interessati
Art. 15
Modalita' di esercizio
1. Gli interessati di cui all'art. 2, comma 1, lettera g) possono
esercitare presso l'IVASS il diritto di accesso ai dati personali
contenuti nelle banche dati, ai sensi dell'art. 7 del decreto
legislativo 30 giugno 2003, n. 196.
Capo VI
Disposizioni transitorie e finali
Art. 16
Trasferimento dei dati
1. I dati che, alla data di entrata in vigore del presente
Regolamento, sono contenuti nella banca dati sinistri, di cui al
previgente art. 135 del Decreto, sono trasferiti nella banca dati
sinistri, nella banca dati anagrafe danneggiati e nella banca dati
anagrafe testimoni, di cui all'art. 135 del Decreto, cosi' come
modificato dall'art. 32 del decreto-legge 24 gennaio 2012, n. 1,
convertito con modificazioni in legge 24 marzo 2012, n. 27.
Art. 17
Modifiche al regolamento ISVAP n. 13
del 6 febbraio 2008
1. Nel foglio «Altre informazioni» del modello di denuncia di
sinistro di cui all'allegato 2 al regolamento ISVAP n. 13 del 6
febbraio 2008, le parole «richieste ai sensi dell'art. 135 del
decreto legislativo n. 209 del 2005 - Codice delle assicurazioni
private» sono sostituite dalle parole: «richieste ai sensi dell'art.
135 del decreto legislativo 7 settembre 2005, n. 209 - Codice delle
assicurazioni private per l'alimentazione della banca dati sinistri,
della banca dati anagrafe testimoni e della banca dati anagrafe
danneggiati, istituite per la prevenzione e il contrasto delle frodi
nel settore dell'assicurazione r.c.auto. I dati personali sono
trattati dall'IVASS per le finalita' di legge ed in conformita' alla
legge sulla privacy».
Art. 18
Abrogazioni
1. Dalla data di entrata in vigore del presente regolamento sono
abrogate le disposizioni di cui al regolamento ISVAP n. 31 del 1°
giugno 2009, dei provvedimenti ISVAP n. 2808 del 21 giugno 2010 e n.
2998 del 10 agosto 2012 nonche' il provvedimento IVASS n. 15 del 4
febbraio 2014.
2. Restano abrogati:
a) il provvedimento ISVAP n. 1764 del 21 dicembre 2000;
b) il provvedimento ISVAP n. 2065 del 15 marzo 2002;
c) il provvedimento ISVAP n. 2179 del 10 marzo 2003;
d) l'art. 5 del provvedimento ISVAP n. 2495 del 21 dicembre 2006;
e) la circolare ISVAP n. 444 del 7 maggio 2001;
f) la circolare ISVAP n. 505 del 23 maggio 2003.
3. Fino alla data di emanazione del provvedimento di cui all'art.
7, comma 1, la materia continua ad essere regolata dal provvedimento
ISVAP n. 2826.
Art. 19
Pubblicazione
1. Il presente regolamento e' pubblicato nella Gazzetta Ufficiale
della Repubblica italiana, nel Bollettino e nel sito internet
dell'IVASS.
Art. 20
Entrata in vigore
1. Il presente regolamento entra in vigore il giorno successivo
alla pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 1° giugno 2016
p. Il direttorio integrato
Il presidente
Rossi
Allegato 1
(Art. 6, comma 2 del Regolamento)
DATI RELATIVI AI SINISTRI
Parte di provvedimento in formato grafico
Allegato 2
(Art. 11, comma 2, del Regolamento)
CONDIZIONI DI ACCESSO E MODALITA' DI CONSULTAZIONE DA PARTE DELLE
IMPRESE DI ASSICURAZIONE, DELLA CONSAP E DELL'UCI
1. Procedura di abilitazione
1.1 Richiesta di abilitazione.
L'impresa invia all'IVASS, a firma del legale rappresentante o di
altra persona alla quale il legale rappresentante abbia conferito
procura speciale, la richiesta di abilitazione.
Nel caso si tratti di prima istanza a firma del rappresentante
che la sottoscrive, sara' contestualmente inoltrata anche copia, o
stralcio, della relativa procura speciale.
Unitamente alla suddetta richiesta, l'impresa provvede ad inviare
per via telematica le informazioni anagrafiche relative ai propri
dipendenti, alle unita' organizzative in cui gli stessi operano, ai
responsabili di queste ultime.
La suddetta documentazione va trasmessa dalla casella di posta
elettronica certificata dell'impresa alla casella
studi.gestionedati@pec.ivass.it.
Nei casi in cui l'impresa di assicurazione intenda far ricorso
all'attivita' di comitati antifrode, anche nell'ambito di uno stesso
Gruppo, e' consentita a detti comitati la consultazione della banca
dati sulla base di una delega operativa rilasciata ai medesimi
dall'impresa istante.
1.1.1 La nota a firma del rappresentante dell'impresa
Nella nota l'impresa specifica:
i nominativi dei soggetti per i quali e' richiesta
l'abilitazione;
l'attivita' da essi svolta e in connessione alla quale e'
richiesta l'abilitazione; va in particolare indicato se l'accesso e'
riferito alla fase di liquidazione del sinistro ovvero a quella della
verifica della correttezza delle dichiarazioni precontrattuali ai
fini del rilascio dell'attestazione di rischio.
Nel caso di attivita' esternalizzate l'impresa osserva le stesse
indicazioni previste per i propri dipendenti.
1.1.2 Comunicazione telematica delle informazioni sui
responsabili
Con il supporto informatico messo a disposizione dall'Istituto
per il download e secondo le istruzioni operative fornite nel sito
istituzionale dell'IVASS, l'impresa comunica le informazioni sugli
uffici di appartenenza dei singoli soggetti che intende abilitare
ovvero sulla societa' affidataria del servizio esternalizzato cui
fanno capo i soggetti che intende abilitare.
In particolare, l'impresa indica la struttura nella quale operano
i soggetti per i quali richiede l'abilitazione, nonche' i rapporti di
dipendenza per i soggetti non responsabili dell'ufficio.
Per ogni singolo dipendente sono fornite le informazioni
anagrafiche e, in particolare, sono indicati la tipologia di accesso
ad essi riservata e l'indirizzo e-mail cui verra' spedita la password
assegnata dall'IVASS.
1.2 Rilascio dell'abilitazione.
L'IVASS, entro trenta giorni lavorativi dal ricevimento della
richiesta:
a) in presenza di tutti gli elementi di cui al paragrafo 1.1,
rilascia le abilitazioni e comunica alla casella di posta elettronica
certificata dell'impresa l'accoglimento dell'istanza, con indicazione
delle user-ID dei soggetti autorizzati all'accesso; inoltre invia con
mail separata a ciascun soggetto abilitato, attraverso procedure
idonee a salvaguardare la segretezza del dato, le relative password
riservate, personali e incedibili. L'impresa avra' cura di comunicare
a ciascun utente la user-ID assegnata, osservando opportune misure di
riservatezza;
b) nel caso in cui vengano riscontrate lacune od imperfezioni
di carattere formale nella documentazione trasmessa, invita ad
apportare le necessarie rettifiche od integrazioni entro un ulteriore
termine di trenta giorni, decorso il quale, e in assenza di una
comunicazione valida, l'abilitazione non viene concessa;
c) ove non sussistano i requisiti, non rilascia l'abilitazione
e lo comunica all'impresa.
1.3 Efficacia dell'abilitazione.
Una volta ottenute la user-ID e la password l'utente abilitato
puo' attivare il primo collegamento, all'atto del quale dovra'
modificare la password temporanea assegnatagli.
Ciascuna abilitazione e' concessa a tempo indeterminato, ma cessa
di essere efficace quando il soggetto titolare perde i requisiti
legittimanti la consultazione. In tal caso, il soggetto medesimo e
l'impresa che ha richiesto l'abilitazione sono tenuti a darne
tempestiva comunicazione all'IVASS entro cinque giorni dalla perdita
dei requisiti, chiedendo di rimuovere l'abilitazione. A tal fine,
l'impresa trasmette la relativa comunicazione di disabilitazione
entro cinque giorni dalla perdita dei requisiti, secondo le citate
istruzioni operative. In caso di ritardo o omissione della
comunicazione predetta, l'impresa e' corresponsabile per l'eventuale
consultazione illegittima della banca dati sinistri.
Il mancato utilizzo delle credenziali di accesso per oltre sei
mesi da parte di un soggetto autorizzato comporta la disabilitazione
automatica dell'accesso da parte del sistema di autenticazione.
1.4 Obblighi e responsabilita' di conservazione della
documentazione
L'impresa raccoglie la documentazione cartacea comprensiva delle
lettere di incarico sottoscritte dai singoli soggetti per
accettazione, della certificazione comprovante la consegna all'utente
della user-ID e delle copie dei documenti di identificazione. Tale
documentazione e' conservata presso la direzione generale
dell'impresa e messa a disposizione dell'IVASS su richiesta.
L'impresa comunica all'IVASS eventuali aggiornamenti dei dati
relativi ai soggetti abilitati.
L'impresa e' responsabile dei controlli interni sulle
consultazioni alla banca dati effettuate dai soggetti dalla stessa
incaricati e abilitati dall'IVASS.
1.5 CONSAP e UCI
La procedura di abilitazione di cui ai punti precedenti si
applica, ove compatibile, anche alla CONSAP e all'UCI.
2. Modalita' per effettuare la consultazione da parte delle imprese
di assicurazione, della consap e dell'UCI
La consultazione on-line si effettua mediante collegamento
telematico, dal sito internet dell'IVASS, www.ivass.it, ove e'
collocato uno specifico link «Banca Dati Sinistri», con le modalita'
indicate nelle istruzioni operative.
Ove l'utente non riesca ad accedere regolarmente al sito o nel
caso non risultasse piu' valida la combinazione delle credenziali di
accesso, dovra' segnalare il disservizio alla propria impresa che
valutera' l'eventuale necessita' di ripristino delle credenziali (1)
o di modifica della sola password (2) .
(1) Nel caso di mancato utilizzo per oltre sei mesi, il sistema
informa che l'utente e' «valido, ma non attivo» In questi casi
occorre riavviare la procedura di abilitazione di cui al
paragrafo 1.
(2) Nel caso di smarrimento della password o di immissione errata di
user-ID o password, il sistema informa che l'utente ha usato una
«combinazione login/password errata». In questi casi, se la
password non e' piu' nota all'utente, occorre effettuarne il
ripristino secondo le istruzioni operative disponibili nel sito
istituzionale dell'IVASS.