• Normativa
  • Assicurazioni e responsabilità civile
  • Dott.ssa Daniela Mascaro e Dott. Andrea Guerci

Disciplina della banca dati sinistri, della banca dati anagrafe testimoni e della banca dati anagrafe danneggiati

IVASS - Istituto per la Vigilanza sulle Assicurazioni
Provvedimento n. 23/2016 del 1 giugno 2016

Regolamento recante la disciplina della banca dati sinistri, della banca dati anagrafe testimoni e della banca dati anagrafe danneggiati, di cui all'articolo 135 del decreto legislativo 7 settembre 2005, n. 209 - codice delle assicurazioni private. (Provvedimento n. 23/2016)

 

ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI
PROVVEDIMENTO 1 giugno 2016

Regolamento recante la disciplina della banca  dati  sinistri,  della
banca  dati  anagrafe  testimoni  e   della   banca   dati   anagrafe
danneggiati, di  cui  all'articolo  135  del  decreto  legislativo  7
settembre  2005,  n.  209  -  codice  delle  assicurazioni   private.
(Provvedimento n. 23/2016). (16A04336)

(GU n.134 del 10-6-2016)

Capo I
Disposizioni di carattere generale

 
           L'ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI
 
  Vista la legge 12 agosto 1982, n. 576, concernente la riforma della
vigilanza sulle assicurazioni e l'istituzione dell'ISVAP;  
  Visto il decreto legislativo 7 settembre 2005, n. 209,  recante  il
Codice delle assicurazioni private;
  Visto il decreto legislativo 30 giugno 2003, n.  196  e  successive
modificazioni ed  integrazioni,  recante  il  Codice  in  materia  di
protezione dei dati personali;
  Visto il decreto-legge  24  gennaio  2012,  n.  1,  convertito  con
modificazioni in legge 24 marzo 2012,  n.  27,  recante  disposizioni
urgenti per la concorrenza, lo sviluppo  delle  infrastrutture  e  la
competitivita';
  Visto il  decreto-legge  6  luglio  2012,  n.  95,  convertito  con
modificazioni  in  legge  7  agosto   2012,   n.   135,   concernente
disposizioni urgenti  per  la  revisione  della  spesa  pubblica  con
invarianza dei servizi ai cittadini,  istitutivo  dell'IVASS  ed,  in
particolare, l'art. 13, comma 20, il quale prevede che rientra  nella
competenza  esclusiva  del   Direttorio   integrato,   tra   l'altro,
l'adozione di provvedimenti a carattere normativo;
  Visto  l'art.  21  del  decreto-legge  18  ottobre  2012,  n.  179,
convertito con modificazioni in legge 17 dicembre 2012,  n.  221,  il
quale prevede che l'IVASS cura la prevenzione delle frodi nel settore
dell'assicurazione  della  responsabilita'  civile  derivante   dalla
circolazione dei veicoli a motore, relativamente  alle  richieste  di
risarcimento e di indennizzo e all'attivazione di sistemi di  allerta
preventiva contro i rischi di frode;
  Visto il comma 3 del citato art. 21, secondo  cui  l'IVASS  per  la
cura delle finalita' antifrode si avvale di un  archivio  informatico
integrato connesso con le  banche  dati  ivi  elencate,  nonche'  con
ulteriori archivi e banche dati pubbliche e private, individuate  con
decreto del Ministro dello sviluppo economico e  del  Ministro  delle
infrastrutture e  dei  trasporti,  sentiti  i  Ministeri  competenti,
l'IVASS e il Garante per  la  protezione  dei  dati,  per  i  profili
connessi alla tutela della privacy;
  Visto il decreto  del  Ministro  dello  sviluppo  economico  e  del
Ministro delle infrastrutture e dei trasporti 11 maggio 2015, n. 108,
recante l'istituzione  dell'archivio  informatico  integrato  di  cui
all'art. 21 del decreto-legge 18 ottobre 2012, n. 179, convertito con
modificazioni in legge 17 dicembre 2012, n. 221, con l'individuazione
delle banche dati che ne fanno parte;
  Visto  il  provvedimento  ISVAP  n.  2827  del  25  agosto  2010  e
successive integrazioni e modificazioni;
  Visto il regolamento IVASS n. 9 del  19  maggio  2015,  recante  la
disciplina della banca dati attestati di rischio e  dell'attestazione
sullo stato del rischio di cui all'art. 134 del decreto legislativo 7
settembre 2005,  n.  209  -  Codice  delle  assicurazioni  private  -
dematerializzazione dell'attestato di rischio.
  Sentiti  il  Ministero  dello  sviluppo  economico,  il   Ministero
dell'interno e, per  i  profili  di  tutela  della  riservatezza,  il
Garante per la protezione dei dati personali,
 
                             A d o t t a
                      il seguente regolamento:
 
                               Art. 1
 
                           Fonti normative
 
  1. Il presente regolamento e' adottato ai sensi dell'art.  135  del
decreto legislativo 7 settembre 2005, n.  209  e  dell'art.  120  del
decreto legislativo 30 giugno 2003, n. 196.

                               Art. 2
 
                             Definizioni
 
  1. Ai fini del presente Regolamento s'intendono per:
    a) «archivio informatico  integrato»:  lo  strumento  informatico
d'interconnessione  dati,  denominato   anche   «archivio   integrato
antifrode» o «AIA», con cui l'IVASS analizza,  elabora  e  valuta  le
informazioni in proprio possesso, al fine di individuare  i  casi  di
sospetta frode e di stabilire un  meccanismo  di  allerta  preventiva
contro le frodi, istituito dall'art. 21 del decreto-legge 18  ottobre
2012, n. 179, convertito  in  legge  17  dicembre  2012,  n.  221,  e
regolato dal decreto ministeriale  dello  sviluppo  economico  e  del
Ministro delle infrastrutture e dei trasporti 11 maggio 2015, n. 108;
    b) «banche dati»: la banca dati sinistri, la banca dati  anagrafe
testimoni e la banca dati anagrafe danneggiati,  istituite  dall'art.
135 del  decreto  legislativo  7  settembre  2005,  n.  209,  per  la
prevenzione e il contrasto di comportamenti fraudolenti  nel  settore
delle assicurazioni obbligatorie per i veicoli a motore;
    c) «Decreto»: il decreto legislativo 7 settembre 2005, n. 209,  e
successive modificazioni ed integrazioni,  recante  il  Codice  delle
assicurazioni private;
    d) «definizione» del sinistro: la conclusione del procedimento di
trattazione di un sinistro gestito da  un'impresa  di  assicurazione,
per pagamento o eliminazione senza seguito;
    e) «imprese di assicurazione italiane»: le  imprese  aventi  sede
legale in Italia e  le  sedi  secondarie  in  Italia  di  imprese  di
assicurazione aventi sede legale in uno Stato terzo;
    f)  «imprese  di  assicurazione»:  le  imprese  di  assicurazione
italiane e le imprese di assicurazione dell'Unione europea  e  quelle
aderenti  allo  Spazio  economico  europeo,  che  svolgono  la   loro
attivita' in Italia in regime di liberta' di prestazione di servizi o
in regime di stabilimento;
    g) «interessati»: le persone fisiche cui si  riferiscono  i  dati
personali;
    h) «parametri di significativita'»: gli indicatori  di  possibili
fenomeni fraudolenti, come individuati dall'art. 4 del  Provvedimento
ISVAP n. 2827 del 25 agosto 2010;
    i) «sinistri»: i sinistri relativi all'assicurazione obbligatoria
della responsabilita' civile derivante dalla circolazione dei veicoli
a motore immatricolati in Italia;
    j) «soggetti abilitati»: le  persone  fisiche,  incaricate  dalle
imprese di assicurazione in ragione della connessione con l'attivita'
svolta su incarico  delle  stesse,  abilitate  a  consultare  i  dati
registrati nelle banche dati di cui alla lettera b);
    k) «soggetti aventi diritto»: l'Autorita' giudiziaria,  le  Forze
di polizia e le Pubbliche amministrazioni competenti  in  materia  di
prevenzione e contrasto  di  comportamenti  fraudolenti  nel  settore
delle assicurazioni obbligatorie per i veicoli a motore immatricolati
in Italia;
    l) «soggetti terzi»: i soggetti  legittimati  alla  consultazione
delle banche dati nei limiti e per  le  finalita'  individuati  dalla
legge.  

                               Art. 3
 
                       Ambito di applicazione
 
  1. Il presente Regolamento si applica:
    a)   alle   imprese   di   assicurazione   italiane   autorizzate
all'esercizio  nel   territorio   della   Repubblica   dell'attivita'
assicurativa   nel   ramo   dell'assicurazione   obbligatoria   della
responsabilita' civile derivante dalla  circolazione  dei  veicoli  a
motore, anche qualora agiscano in veste di imprese designate  per  la
liquidazione dei danni a carico del Fondo di garanzia per le  vittime
della strada;
    b) alle imprese dell'Unione europea ed  a  quelle  aderenti  allo
Spazio economico europeo abilitate all'esercizio nel territorio della
Repubblica dell'attivita' assicurativa  nel  ramo  dell'assicurazione
obbligatoria   della   responsabilita'   civile    derivante    dalla
circolazione  dei  veicoli  a  motore  in  regime  di   liberta'   di
prestazione di servizi o in regime di stabilimento, ad esclusione  di
quanto disposto dal Capo III.

Capo II
Banche dati

                               Art. 4
 
                              Finalita'
 
  1. Le banche dati  raccolgono  i  dati  dei  sinistri  relativi  ai
veicoli  a  motore  immatricolati  in  Italia,  nonche'  i  dati  dei
testimoni e dei danneggiati riferiti ai medesimi sinistri, al fine di
agevolare la prevenzione e il contrasto di comportamenti  fraudolenti
nel settore dell'assicurazione obbligatoria per i veicoli a motore.
  2. Le banche dati sono organizzate in modo da consentire all'IVASS,
in relazione  alla  finalita'  di  cui  al  comma  1,  di  effettuare
elaborazioni statistiche, ricerche, studi ed analisi dei dati.

                               Art. 5
 
                        Trattamento dei dati
 
  1. L'IVASS e' il titolare del trattamento dei  dati  ed  opera  nel
rispetto dei principi di cui all'art. 11 del decreto  legislativo  30
giugno 2003,  n.  196.  In  tale  qualita'  sovrintende  al  corretto
funzionamento delle banche dati e all'osservanza  delle  disposizioni
che regolano le modalita' e i termini di comunicazione dei dati.
  2.  L'IVASS  adotta  le  misure  tecniche,  logiche,  informatiche,
procedurali, fisiche ed organizzative idonee a garantire il  corretto
e regolare funzionamento delle banche dati, nonche' la  riservatezza,
la sicurezza e  l'integrita'  dei  dati  in  conformita'  al  decreto
legislativo 30 giugno 2003, n. 196.

Capo III
Modalità di organizzazione e funzionamento delle banche dati

                               Art. 6
 
                      Obblighi di comunicazione
               delle imprese di assicurazione italiane
 
  1. I dati per l'alimentazione delle  banche  dati  sono  comunicati
all'IVASS,  dal  momento  del   pervenimento   della   richiesta   di
risarcimento o della denuncia e fino alla definizione  del  sinistro,
da parte dell'impresa di assicurazione italiana:
  a) che ha ricevuto la richiesta di  risarcimento  del  danneggiato,
nel caso di sinistri soggetti alla procedura di risarcimento  diretto
di cui all'art. 149 del Decreto;
  b) che gestisce  la  procedura  di  liquidazione  a  seguito  della
denuncia di sinistro del responsabile o, in mancanza, della richiesta
di risarcimento del danneggiato, nel caso di sinistri  soggetti  alla
procedura di risarcimento di cui all'art. 148 del decreto.
  2. I dati da  comunicare  sono  indicati  nell'allegato  1  e  sono
relativi alle seguenti categorie:
  a) elementi identificativi del sinistro;
  b) elementi identificativi dei testimoni del sinistro;
  c) elementi identificativi dei danneggiati dal sinistro;
  d) elementi identificativi dei contraenti, dei  proprietari  e  dei
conducenti dei veicoli coinvolti nel sinistro;
  e) elementi identificativi dei veicoli coinvolti nel sinistro;
  f)  elementi  identificativi  dei  professionisti   incaricati   in
relazione al sinistro;
  g) elementi  identificativi  delle  carrozzerie  o  autofficine  di
riparazione dei veicoli coinvolti nel sinistro;
  h) elementi identificativi delle autorita' e dei presidi di  pronto
soccorso eventualmente intervenuti in relazione al sinistro;
  i) elementi di valutazione del danno alle cose e/o alle persone. In
caso di danni alle cose: parti danneggiate; in  caso  di  danni  alle
persone: sedi delle lesioni, classificate in base a  zone  anatomiche
predeterminate o eventuale decesso;
  j) elementi identificativi dei  pagamenti  per  danni  a  cose  e/o
persone determinati dal sinistro, ivi inclusi i beneficiari.

                               Art. 7
 
            Modalita' e termini di comunicazione dei dati
 
  1. Le imprese di assicurazione italiane comunicano all'IVASS i dati
relativi al sinistro secondo principi di esattezza e completezza, con
le modalita' tecniche stabilite dall'IVASS con proprio provvedimento.
  2. Le imprese di cui al comma 1 comunicano i dati di  cui  all'art.
6, relativi a  ciascun  sinistro,  in  via  telematica,  entro  sette
giorni, esclusi  il  sabato  e  i  festivi,  dal  pervenimento  della
richiesta di risarcimento o della denuncia.
  3. Le imprese di cui al comma 1 comunicano,  entro  il  termine  di
sette giorni dall'acquisizione, esclusi il sabato e i festivi, i dati
di  cui  all'art.  6  conosciuti  successivamente  alla  trasmissione
effettuata ai sensi del comma 2.
  4. Le imprese di cui al  comma  1  apportano  tempestivamente  ogni
rettifica o cancellazione dei dati che si renda necessaria e ne danno
notizia all'IVASS entro il termine di venti giorni di calendario.
  5. Le imprese di cui al  comma  1  assumono  misure  preventive  ed
idonee  al  fine  di  assicurare  la  riservatezza,  la  sicurezza  e
l'integrita' dei  dati  e  delle  comunicazioni,  in  conformita'  al
decreto legislativo 30 giugno 2003, n. 196.
  6. Ai soli fini  sanzionatori,  si  considera  quale  comunicazione
periodica di cui all'art. 316 del  Decreto,  indipendentemente  dalla
frequenza dei flussi  dei  dati  comunicati  ai  sensi  del  presente
articolo, l'insieme delle  trasmissioni  effettuate  dall'impresa  in
ciascuna  settimana  di  calendario   rientrante   nel   periodo   di
osservazione  assunto  in  sede  di  accertamento   delle   eventuali
violazioni.
  7. Per specifiche esigenze tecniche, le imprese possono chiedere la
transcodifica dei sinistri comunicati alle banche dati.  In  caso  di
operazioni straordinarie quali fusioni, scorpori  o  acquisizioni  di
portafoglio, le imprese inoltrano all'IVASS una relazione  sul  piano
di integrazione delle basi dati coinvolte,  indicando  la  tempistica
entro cui tali operazioni saranno concluse e richiedendo le eventuali
necessarie operazioni di transcodifica con riferimento ai  dati  gia'
comunicati dall'impresa oggetto di fusione o scorporo o  che  gestiva
il portafoglio acquisito.

                               Art. 8
 
           Ricevimento, convalida e registrazione dei dati
 
  1. Il processo di gestione delle  banche  dati  si  articola  nelle
seguenti fasi ed attivita':
    a) ricevimento delle comunicazioni;
    b) convalida;
    c) registrazione dei dati.
  2. Al ricevimento dei dati, l'IVASS verifica che gli  stessi  siano
stati comunicati secondo le modalita' previste dal  provvedimento  di
cui all'art. 7, comma 1 e, in caso di esito positivo,  provvede  alla
loro convalida entro sette giorni.
  3. L'IVASS, tramite le interconnessioni con le fonti  dati  esterne
dell'archivio  informatico  integrato   definite   con   il   decreto
ministeriale dell'11 maggio 2015, n. 108, puo'  effettuare  verifiche
di congruita' delle informazioni comunicate alle banche dati.
  4. Quando i dati trasmessi non superano la verifica di cui al comma
2,  l'IVASS  ne  da'  informativa  alle  imprese  di   assicurazione,
affinche' provvedano ad una nuova comunicazione,  con  le  necessarie
integrazioni o correzioni, entro  il  termine  di  venti  giorni  dal
ricevimento della richiesta.
  5. I dati sono registrati nelle banche dati per cinque  anni  dalla
data di definizione di ciascun sinistro.
  6. Decorso il termine di cui al comma 5, i dati relativi a  ciascun
sinistro definito sono estratti dalle  banche  dati  e  riversati  su
altro  supporto  informatico  gestito  dall'IVASS.  Tali  dati   sono
comunicati dall'IVASS esclusivamente per esigenze di giustizia penale
o a seguito di esercizio dei  diritti  degli  interessati,  ai  sensi
dell'art. 7 del decreto legislativo 30 giugno 2003, n. 196.
  7.  Decorsi  dieci  anni  dalla  data  di  definizione  di  ciascun
sinistro, i dati che permettono di identificare le persone fisiche  e
giuridiche coinvolte a vario titolo nei sinistri vengono  cancellati;
i restanti dati sono conservati  su  altro  supporto  informatico  in
forma anonima e non possono essere utilizzati al fine di identificare
gli interessati.
  8. L'IVASS puo' diffondere i dati a scopi statistici  ed  in  forma
aggregata per le finalita' di cui all'art. 135, comma 1, del Decreto,
garantendo l'anonimato.

Capo IV
Consultazione delle banche dati

                               Art. 9
 
            Consultazione delle imprese di assicurazione
 
   1. Le imprese di assicurazione, anche quando agiscono in veste  di
imprese designate per la liquidazione dei danni a carico del Fondo di
garanzia per le vittime della strada di cui all'art. 285 del Decreto,
consultano le banche dati in fase di gestione di ciascun sinistro.
  2. La consultazione di cui al comma 1 si considera  effettuata  con
la ricezione del flusso di dati di cui all'art.  3  del  decreto  del
Ministro dello sviluppo economico e del Ministro delle infrastrutture
e dei trasporti 11 maggio 2015, n. 108.
  3. In caso di mancata ricezione del flusso di dati di cui al  comma
2, entro  il  termine  di  giorni  5  dalla  comunicazione  dei  dati
all'IVASS ai sensi dell'art. 7, l'obbligo di consultazione e' assolto
con le modalita' indicate all'art. 12, commi 2, lettera  a),  e  3  o
all'art. 13, commi da 1 a 4.
  4. Quando dalla consultazione emerge la sussistenza di  almeno  due
parametri di significativita', le imprese di cui al comma 1, anche se
decidono di non avvalersi della facolta' di cui all'art.  148,  comma
2-bis del decreto, acquisiscono le informazioni di cui  all'art.  13,
comma 5, ed eseguono specifici approfondimenti, dandone evidenza  nel
fascicolo di sinistro.
  5. Le imprese di assicurazione, ai sensi dell'art.  134,  comma  4,
del Decreto, consultano altresi'  la  banca  dati  sinistri  ai  fini
dell'acquisizione dell'attestato di rischio,  limitatamente  ai  casi
previsti dall'art. 9, comma 5, del regolamento  IVASS  n.  9  del  19
maggio 2015, e  con  riferimento  ai  soli  «dati  sinistro»  di  cui
all'allegato 1.
  6. La consultazione  di  cui  al  comma  5  e'  effettuata  con  le
modalita' indicate all'art. 13, commi da 1 a 4.

                               Art. 10
 
          Limiti all'esercizio del diritto di consultazione
 
  1. Le imprese di  assicurazione,  la  CONSAP,  l'UCI  e  gli  altri
soggetti aventi diritto, consultano le banche dati esclusivamente per
le finalita' di cui all'art. 4, comma 1.
  2. I soggetti terzi, consultano le banche dati  esclusivamente  per
le finalita' previste dalla legge che li ammette alla  consultazione.
La  tipologia  dei  dati  accessibili  e  le  modalita'  tecniche  di
consultazione sono  stabilite  mediante  specifiche  convenzioni  con
l'IVASS.
  3. La consultazione  delle  banche  dati  e  il  trattamento  delle
informazioni acquisite e' limitato ai dati pertinenti e non eccedenti
rispetto al perseguimento delle finalita' di cui ai commi 1 e 2.

                               Art. 11
 
            Modalita' di abilitazione alla consultazione
 
  1. Le imprese di assicurazione, la CONSAP  e  l'UCI  consultano  le
banche dati per la verifica della  situazione  storica  collegata  al
caso in esame, nell'ambito del processo di gestione dei sinistri.  Le
imprese di assicurazione consultano la banca  dati  sinistri  per  la
verifica  della  correttezza  delle  dichiarazioni   rilasciate   dal
contraente   qualora,   all'atto   della   stipula   del   contratto,
l'attestazione sullo stato  del  rischio  non  risulti  presente  nel
relativo archivio disciplinato dal regolamento  IVASS  n.  9  del  19
maggio 2015.
  2. Gli enti di cui al comma  1  comunicano  all'IVASS  gli  estremi
identificativi dei soggetti per i quali, in ragione della connessione
con  l'attivita'  svolta  su  loro  incarico,  intendono   richiedere
l'abilitazione   alla   consultazione   delle   banche   dati,    con
l'indicazione dei relativi requisiti e secondo le modalita'  previste
nell'allegato 2. L'IVASS rilascia  o  nega  l'abilitazione  entro  30
giorni dal ricevimento della comunicazione secondo  la  procedura  di
cui all'allegato 2, fornendo per ciascuno dei soggetti  abilitati  un
distinto codice identificativo.
  3. Gli enti di cui al comma 1 comunicano  all'IVASS,  entro  cinque
giorni, la perdita dei requisiti che legittimano la consultazione  da
parte dei soggetti abilitati.
  4. Salvi comunque gli obblighi e la responsabilita' degli  enti  di
cui al comma 1, i responsabili e il personale delle strutture e degli
uffici mediante i quali e' effettuata la consultazione sono vincolati
al segreto sugli elementi informativi acquisiti e sono  personalmente
responsabili  per  la  violazione  degli  obblighi  di   riservatezza
derivanti  dal  trattamento  delle  informazioni  acquisite   tramite
consultazione  delle  banche  dati  e  della  loro  utilizzazione   o
divulgazione a terzi per finalita' non consentite dalla legge.

                               Art. 12
 
                 Modalita' di consultazione da parte
                     dei soggetti aventi diritto
 
  1. I soggetti aventi diritto consultano le banche dati in base alle
seguenti chiavi di ricerca, utilizzate anche contestualmente:
    a) cognome, nome, luogo, data di  nascita  e  codice  fiscale  di
persone fisiche;
    b)  ragione/denominazione  sociale  e  partita  IVA  di   persone
giuridiche, societa' o altri enti collettivi;
    c) targhe (o numeri di telaio) dei veicoli.
  2. La consultazione puo' avvenire secondo le seguenti modalita':
    a) batch, che permette l'acquisizione via file delle informazioni
di cui al comma 3;
    b) on line, che permette  l'immediata  visualizzazione  e  stampa
delle informazioni di cui al comma 4.
  3. Con la  consultazione  batch,  le  banche  dati  forniscono,  in
riscontro all'inoltro via file di una lista di targhe  (o  numeri  di
telaio), di codici fiscali e di partite IVA, un  file  contenente  il
numero di sinistri presenti per ciascuna targa (o numero di  telaio),
codice fiscale o partita IVA immessa, nonche' la  valorizzazione  dei
relativi parametri di significativita'.
  4. Con la consultazione on line, le banche dati forniscono evidenza
del numero dei sinistri nei  quali  risultino  coinvolti  la  persona
fisica, la societa' o l'ente collettivo  (identificabile  tramite  il
codice fiscale o la partita IVA) o il veicolo (identificabile tramite
la targa o il numero di  telaio)  in  relazione  al  quale  e'  stata
effettuata l'interrogazione, nonche' la valorizzazione  dei  relativi
parametri di significativita'. Le banche dati  forniscono,  altresi',
per ciascuno dei suddetti sinistri le informazioni relative a:
    a) data e luogo del sinistro;
    b) targhe (o numeri di telaio) dei veicoli coinvolti;
    c) denominazione delle imprese di assicurazione coinvolte;
    d) ubicazione del danno alle cose;
    e) presenza e tipo della lesione in caso di danno alla persona;
    f) pagamenti  per  danni  a  cose  e/o  persone  determinati  dal
sinistro;
    g) elementi identificativi (eventualmente correlati con il codice
fiscale o la partita IVA) dei soggetti a vario titolo coinvolti ed  i
rispettivi ruoli, come individuati ai sensi  dell'art.  6,  comma  2,
lettere b), c), d), f), g), h), j).

                               Art. 13
 
          Modalita' di consultazione da parte delle imprese
              di assicurazione, della CONSAP e dell'UCI
 
  1. Le imprese di assicurazione, la CONSAP  e  l'UCI  consultano  le
banche dati in base alle seguenti chiavi di ricerca, utilizzate anche
contestualmente:
    a) cognome, nome, luogo, data di  nascita  e  codice  fiscale  di
persone fisiche;
    b)  ragione/denominazione  sociale  e  partita  IVA  di   persone
giuridiche, societa' o altri enti collettivi;
    c) targhe (o numeri di telaio) dei veicoli.
  2. I soggetti abilitati di cui all'art.  11,  comma  2  avviano  la
consultazione delle banche dati indicando:
    a) il numero di sinistro in  relazione  al  quale  richiedono  la
consultazione, in caso di accesso ai sensi dell'art. 9, comma 1;
    b) il numero della polizza, in caso di accesso ai sensi dell'art.
9, comma 5.
  3. La consultazione avviene in modalita'  on  line  per  consentire
l'immediata visualizzazione e stampa delle  informazioni  di  cui  al
comma 4, nonche' di quelle di cui al  comma  5,  al  ricorrere  delle
condizioni previste dallo stesso comma.
  4. Con la consultazione on line, le banche dati forniscono evidenza
del numero dei sinistri nei  quali  risultino  coinvolti  la  persona
fisica, la societa' o l'ente collettivo  (identificabile  tramite  il
codice fiscale o la partita IVA) o il veicolo (identificabile tramite
la targa o il numero di  telaio)  in  relazione  al  quale  e'  stata
effettuata l'interrogazione, nonche' la valorizzazione  dei  relativi
parametri di significativita'. Sono altresi' fornite le  informazioni
su:
    a) data e luogo del sinistro;
    b) tipologia dei danni occorsi (a cose, a persone, misti);
    c) data dei pagamenti, per la specifica tipologia di danno;
    d) ruolo del veicolo o del soggetto circa la responsabilita'  nel
sinistro  (responsabile  o  danneggiato)  ed   eventuale   grado   di
responsabilita';
    e) indicazione del ruolo del soggetto nel  sinistro  (conducente,
proprietario o contraente del veicolo; testimone; terzo; ecc.).  
  5. Con ulteriore consultazione on line, effettuabile solo  in  caso
di accesso ai sensi dell'art. 9, comma 1, nonche'  di  valorizzazione
di almeno due parametri di significativita',  le  banche  dati  sono,
altresi',  in  grado  di  fornire,  per  ciascuno  dei  sinistri,  le
informazioni relative a:
    a) targhe (o numeri di telaio) dei veicoli coinvolti;
    b) denominazione delle imprese di assicurazione coinvolte;
    c) ubicazione del danno alle cose;
    d) presenza e tipo della lesione in caso di danno alla persona;
    e) elementi identificativi (eventualmente correlati con il codice
fiscale o la partita IVA) dei soggetti a vario titolo coinvolti ed  i
rispettivi ruoli, come individuati ai sensi  dell'art.  6,  comma  2,
lettere b), c), d), f), g), h), j).
  6. Previa attivazione di funzionalita' appositamente tracciate  dal
sistema informatico, la consultazione dei dati  di  cui  al  comma  5
puo',  altresi',  essere   effettuata   in   presenza   di   elementi
significativi  sotto  il  profilo  della  potenziale   esistenza   di
comportamenti fraudolenti,  anche  in  esito  alla  trasmissione  dei
flussi di cui al decreto del Ministro dello sviluppo economico e  del
Ministro delle infrastrutture e dei  trasporti  11  maggio  2015,  n.
108.  

                               Art. 14
 
                   Tracciatura delle consultazioni
 
  1. Ogni consultazione delle banche dati e' registrata e memorizzata
dall'IVASS, con l'indicazione del codice identificativo del  soggetto
che ha effettuato la  consultazione,  della  data  e  dell'ora  della
consultazione, delle chiavi di ricerca, del numero di sinistro e  dei
dati consultati.
  2. L'IVASS esegue  controlli  sulle  consultazioni  effettuate  dai
soggetti abilitati, anche attraverso verifiche periodiche a campione.
  3. In caso di consultazione irregolare, l'IVASS sospende  o  revoca
l'abilitazione del soggetto cui la stessa e'  riconducibile  mediante
il codice identificativo.
  4. In caso di consultazione illegittima delle banche dati,  l'IVASS
puo' sospendere dalla consultazione i soggetti abilitati anche quando
e' configurabile  una  corresponsabilita'  degli  stessi  per  omesso
controllo o per disfunzioni organizzative tali da aver consentito  la
sistematica reiterazione della violazione da parte di altri  soggetti
che operano o hanno operato per proprio conto.

Capo V
Diritti degli interessati

                               Art. 15
 
                       Modalita' di esercizio
 
  1. Gli interessati di cui all'art. 2, comma 1, lettera  g)  possono
esercitare presso l'IVASS il diritto di  accesso  ai  dati  personali
contenuti nelle  banche  dati,  ai  sensi  dell'art.  7  del  decreto
legislativo 30 giugno 2003, n. 196.

Capo VI
Disposizioni transitorie e finali

                               Art. 16
 
                       Trasferimento dei dati
 
  1. I dati  che,  alla  data  di  entrata  in  vigore  del  presente
Regolamento, sono contenuti nella banca  dati  sinistri,  di  cui  al
previgente art. 135 del Decreto, sono  trasferiti  nella  banca  dati
sinistri, nella banca dati anagrafe danneggiati e  nella  banca  dati
anagrafe testimoni, di cui  all'art.  135  del  Decreto,  cosi'  come
modificato dall'art. 32 del decreto-legge  24  gennaio  2012,  n.  1,
convertito con modificazioni in legge 24 marzo 2012, n. 27.

                               Art. 17
 
                Modifiche al regolamento ISVAP n. 13
                         del 6 febbraio 2008
 
  1. Nel foglio «Altre  informazioni»  del  modello  di  denuncia  di
sinistro di cui all'allegato 2 al  regolamento  ISVAP  n.  13  del  6
febbraio 2008, le  parole  «richieste  ai  sensi  dell'art.  135  del
decreto legislativo n. 209  del  2005 -  Codice  delle  assicurazioni
private» sono sostituite dalle parole: «richieste ai sensi  dell'art.
135 del decreto legislativo 7 settembre 2005, n. 209 -  Codice  delle
assicurazioni private per l'alimentazione della banca dati  sinistri,
della banca dati anagrafe  testimoni  e  della  banca  dati  anagrafe
danneggiati, istituite per la prevenzione e il contrasto delle  frodi
nel  settore  dell'assicurazione  r.c.auto.  I  dati  personali  sono
trattati dall'IVASS per le finalita' di legge ed in conformita'  alla
legge sulla privacy».

                               Art. 18
 
                             Abrogazioni
 
  1. Dalla data di entrata in vigore del  presente  regolamento  sono
abrogate le disposizioni di cui al regolamento ISVAP  n.  31  del  1°
giugno 2009, dei provvedimenti ISVAP n. 2808 del 21 giugno 2010 e  n.
2998 del 10 agosto 2012 nonche' il provvedimento IVASS n.  15  del  4
febbraio 2014.
  2. Restano abrogati:
    a) il provvedimento ISVAP n. 1764 del 21 dicembre 2000;
    b) il provvedimento ISVAP n. 2065 del 15 marzo 2002;
    c) il provvedimento ISVAP n. 2179 del 10 marzo 2003;
    d) l'art. 5 del provvedimento ISVAP n. 2495 del 21 dicembre 2006;
    e) la circolare ISVAP n. 444 del 7 maggio 2001;
    f) la circolare ISVAP n. 505 del 23 maggio 2003.
  3. Fino alla data di emanazione del provvedimento di  cui  all'art.
7, comma 1, la materia continua ad essere regolata dal  provvedimento
ISVAP n. 2826.

                               Art. 19
 
                            Pubblicazione
 
  1. Il presente regolamento e' pubblicato nella  Gazzetta  Ufficiale
della  Repubblica  italiana,  nel  Bollettino  e  nel  sito  internet
dell'IVASS.

                               Art. 20
 
                          Entrata in vigore
 
  1. Il presente regolamento entra in  vigore  il  giorno  successivo
alla  pubblicazione  nella  Gazzetta   Ufficiale   della   Repubblica
italiana.
    Roma, 1° giugno 2016
 
                                           p. Il direttorio integrato
                                                  Il presidente       
                                                     Rossi            

                                                           Allegato 1
                                    (Art. 6, comma 2 del Regolamento)
 
                      DATI RELATIVI AI SINISTRI
 
              Parte di provvedimento in formato grafico
 

                                                           Allegato 2
                                  (Art. 11, comma 2, del Regolamento)
 
CONDIZIONI DI ACCESSO E MODALITA' DI  CONSULTAZIONE  DA  PARTE  DELLE
  IMPRESE DI ASSICURAZIONE, DELLA CONSAP E DELL'UCI
 
1. Procedura di abilitazione
    1.1 Richiesta di abilitazione.
    L'impresa invia all'IVASS, a firma del legale rappresentante o di
altra persona alla quale il  legale  rappresentante  abbia  conferito
procura speciale, la richiesta di abilitazione.
    Nel caso si tratti di prima istanza a  firma  del  rappresentante
che la sottoscrive, sara' contestualmente inoltrata  anche  copia,  o
stralcio, della relativa procura speciale.
    Unitamente alla suddetta richiesta, l'impresa provvede ad inviare
per via telematica le informazioni  anagrafiche  relative  ai  propri
dipendenti, alle unita' organizzative in cui gli stessi  operano,  ai
responsabili di queste ultime.
    La suddetta documentazione va trasmessa dalla  casella  di  posta
elettronica      certificata      dell'impresa      alla      casella
studi.gestionedati@pec.ivass.it.
    Nei casi in cui l'impresa di assicurazione  intenda  far  ricorso
all'attivita' di comitati antifrode, anche nell'ambito di uno  stesso
Gruppo, e' consentita a detti comitati la consultazione  della  banca
dati sulla base  di  una  delega  operativa  rilasciata  ai  medesimi
dall'impresa istante.
    1.1.1 La nota a firma del rappresentante dell'impresa
    Nella nota l'impresa specifica:
      i  nominativi  dei  soggetti   per   i   quali   e'   richiesta
l'abilitazione;
      l'attivita' da essi svolta  e  in  connessione  alla  quale  e'
richiesta l'abilitazione; va in particolare indicato se l'accesso  e'
riferito alla fase di liquidazione del sinistro ovvero a quella della
verifica della correttezza  delle  dichiarazioni  precontrattuali  ai
fini del rilascio dell'attestazione di rischio.
    Nel caso di attivita' esternalizzate l'impresa osserva le  stesse
indicazioni previste per i propri dipendenti.
    1.1.2   Comunicazione   telematica   delle    informazioni    sui
responsabili
    Con il supporto informatico messo  a  disposizione  dall'Istituto
per il download e secondo le istruzioni operative  fornite  nel  sito
istituzionale dell'IVASS, l'impresa comunica  le  informazioni  sugli
uffici di appartenenza dei singoli  soggetti  che  intende  abilitare
ovvero sulla societa' affidataria  del  servizio  esternalizzato  cui
fanno capo i soggetti che intende abilitare.
    In particolare, l'impresa indica la struttura nella quale operano
i soggetti per i quali richiede l'abilitazione, nonche' i rapporti di
dipendenza per i soggetti non responsabili dell'ufficio.
    Per  ogni  singolo  dipendente  sono  fornite   le   informazioni
anagrafiche e, in particolare, sono indicati la tipologia di  accesso
ad essi riservata e l'indirizzo e-mail cui verra' spedita la password
assegnata dall'IVASS.
    1.2 Rilascio dell'abilitazione.
    L'IVASS, entro trenta giorni  lavorativi  dal  ricevimento  della
richiesta:
      a) in presenza di tutti gli elementi di cui al  paragrafo  1.1,
rilascia le abilitazioni e comunica alla casella di posta elettronica
certificata dell'impresa l'accoglimento dell'istanza, con indicazione
delle user-ID dei soggetti autorizzati all'accesso; inoltre invia con
mail separata a  ciascun  soggetto  abilitato,  attraverso  procedure
idonee a salvaguardare la segretezza del dato, le  relative  password
riservate, personali e incedibili. L'impresa avra' cura di comunicare
a ciascun utente la user-ID assegnata, osservando opportune misure di
riservatezza;
      b) nel caso in cui vengano riscontrate lacune  od  imperfezioni
di  carattere  formale  nella  documentazione  trasmessa,  invita  ad
apportare le necessarie rettifiche od integrazioni entro un ulteriore
termine di trenta giorni, decorso il  quale,  e  in  assenza  di  una
comunicazione valida, l'abilitazione non viene concessa;
      c) ove non sussistano i requisiti, non rilascia  l'abilitazione
e lo comunica all'impresa.
    1.3 Efficacia dell'abilitazione.
    Una volta ottenute la user-ID e la  password  l'utente  abilitato
puo' attivare  il  primo  collegamento,  all'atto  del  quale  dovra'
modificare la password temporanea assegnatagli.
    Ciascuna abilitazione e' concessa a tempo indeterminato, ma cessa
di essere efficace quando il  soggetto  titolare  perde  i  requisiti
legittimanti la consultazione. In tal caso, il  soggetto  medesimo  e
l'impresa  che  ha  richiesto  l'abilitazione  sono  tenuti  a  darne
tempestiva comunicazione all'IVASS entro cinque giorni dalla  perdita
dei requisiti, chiedendo di rimuovere  l'abilitazione.  A  tal  fine,
l'impresa trasmette  la  relativa  comunicazione  di  disabilitazione
entro cinque giorni dalla perdita dei requisiti,  secondo  le  citate
istruzioni  operative.  In  caso  di  ritardo   o   omissione   della
comunicazione predetta, l'impresa e' corresponsabile per  l'eventuale
consultazione illegittima della banca dati sinistri.
    Il mancato utilizzo delle credenziali di accesso  per  oltre  sei
mesi da parte di un soggetto autorizzato comporta la  disabilitazione
automatica dell'accesso da parte del sistema di autenticazione.
    1.4   Obblighi   e   responsabilita'   di   conservazione   della
documentazione
    L'impresa raccoglie la documentazione cartacea comprensiva  delle
lettere  di  incarico   sottoscritte   dai   singoli   soggetti   per
accettazione, della certificazione comprovante la consegna all'utente
della user-ID e delle copie dei documenti  di  identificazione.  Tale
documentazione   e'   conservata   presso   la   direzione   generale
dell'impresa e messa a disposizione dell'IVASS su richiesta.
    L'impresa comunica all'IVASS  eventuali  aggiornamenti  dei  dati
relativi ai soggetti abilitati.
    L'impresa   e'   responsabile   dei   controlli   interni   sulle
consultazioni alla banca dati effettuate dai  soggetti  dalla  stessa
incaricati e abilitati dall'IVASS.
    1.5 CONSAP e UCI
    La procedura di  abilitazione  di  cui  ai  punti  precedenti  si
applica, ove compatibile, anche alla CONSAP e all'UCI.
2. Modalita' per effettuare la consultazione da parte  delle  imprese
di assicurazione, della consap e dell'UCI
    La  consultazione  on-line  si  effettua  mediante   collegamento
telematico,  dal  sito  internet  dell'IVASS,  www.ivass.it,  ove  e'
collocato uno specifico link «Banca Dati Sinistri», con le  modalita'
indicate nelle istruzioni operative.
    Ove l'utente non riesca ad accedere regolarmente al  sito  o  nel
caso non risultasse piu' valida la combinazione delle credenziali  di
accesso, dovra' segnalare il disservizio  alla  propria  impresa  che
valutera' l'eventuale necessita' di ripristino delle credenziali  (1)
 o di modifica della sola password (2) .

(1) Nel caso di mancato utilizzo  per  oltre  sei  mesi,  il  sistema
    informa che l'utente e' «valido, ma non attivo»  In  questi  casi
    occorre  riavviare  la  procedura  di  abilitazione  di  cui   al
    paragrafo 1.

(2) Nel caso di smarrimento della password o di immissione errata  di
    user-ID o password, il sistema informa che l'utente ha usato  una
    «combinazione login/password  errata».  In  questi  casi,  se  la
    password non e' piu'  nota  all'utente,  occorre  effettuarne  il
    ripristino secondo le istruzioni operative disponibili  nel  sito
    istituzionale dell'IVASS.