Nota informativa sul trattamento dei dati personali nell’ambito della riassicurazione
properties.trackTitle
properties.trackSubtitle
Con la presente nota La informiamo sul trattamento dei Suoi dati personali da parte di Münchener Rückversicherungs-Gesellschaft – Rappresentanza Generale per l’Italia (la “Società”) e sui diritti che la normativa in materia di protezione dei dati personali Le riconosce in qualità di assicurando, contraente, assicurato o persona comunque interessata (per esempio parte lesa o beneficiario) di una compagnia di assicurazione per la quale la Società agisce da riassicuratore.
Titolare del trattamento e Responsabile della protezione dei dati
Münchener Rückversicherungs-Gesellschaft
Rappresentanza Generale per l’Italia
con sede in Via Pola, 9 – Milano (20124).
Italia +39 02764161
Fax: +02 76416900
E-mail: mritalia@munichre.com
Dataprotection-MRI@munichre.com
In caso di domande sulla presente informativa è possibile rivolgersi al Responsabile della protezione dei dati personali a mezzo posta all’indirizzo suindicato oppure inviando una e-mail all’indirizzo datenschutz@munichre.com.
Tipologia di dati oggetto del trattamento, finalità e base giuridica del trattamento
I Suoi dati personali saranno oggetto di trattamento nel rispetto delle disposizioni del Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea, nonché di tutte le altre leggi in materia vigenti a livello nazionale.
Per essere sempre in grado di adempiere gli obblighi derivanti dai contratti di assicurazione, gli assicuratori diretti possono cedere a società di riassicurazione una parte dei rischi sottoscritti.
Nel caso in cui la nostra Società sia l’impresa riassicuratrice della compagnia di assicurazioni con cui Lei intende stipulare o ha stipulato un contratto di assicurazione, o nel caso di diritti di risarcimento a Lei spettanti, in base al contratto stipulato, in qualità di assicurato, beneficiario o parte lesa, la compagnia di assicurazioni può trasmettere alla nostra Società i Suoi dati quando questo sia necessario per fondati motivi o finalità legate all’esecuzione o alla risoluzione del contratto di riassicurazione. Lo stesso vale nel caso in cui la nostra Società sia co-riassicuratore con un’altra compagnia di riassicurazione (cosiddetta retrocessione).
I dati ricevuti dall’impresa di (ri)assicurazione sono spesso anonimizzati, cioè resi in forma anonima; se i dati in forma anonima non sono sufficienti per le finalità suindicate, la Società può raccogliere i dati necessari dalle domande di stipula e dai contratti di assicurazione, e può ricevere dati relativi ai sinistri (ad es. numero di polizza, premio, tipologia e ammontare della copertura assicurativa, sovrappremio di rischio eccetera) in forma pseudonimizzata o che comunque comprenda il Suo nome (soprattutto nel caso di assicurazione vita o lesioni personali per importi assicurati elevati).
Come riassicuratore, la Società riceve i Suoi dati personali solo nella misura in cui ciò sia effettivamente necessario, ad esempio per i seguenti motivi:
- la Società deve valutare il rischio e i sinistri in caso di somme assicurate elevate, o nel caso in cui vi sia un rischio specifico difficile da categorizzare;
- la Società supporta la compagnia di assicurazione nella valutazione dei rischi e delle perdite e nella valutazione delle procedure;
- la Società riceve gli elenchi dei contratti coperti dalla riassicurazione. Questi elenchi servono a determinare l'ambito dei trattati di riassicurazione, ivi compreso il controllo dei cumuli di esposizione (se e in che misura la Società copre il medesimo rischio), nonché a fini transattivi;
- la Società verifica il proprio obbligo di pagamento nei confronti dell'assicuratore, oppure monitora i rischi e i sinistri mediante controlli spot presso l'assicuratore diretto o controlli di singoli casi.
I dati personali raccolti vengono trattati sono per le finalità dichiarata ovvero per altre finalità ad esse associate (ad esempio per la preparazione di statistiche mirate alla definizione di nuove tariffe o per adempiere a requisiti normativi). Ulteriori dati possono essere utilizzati per preparare statistiche interdisciplinari (ad es. per la mortalità); per la classificazione dei rischi i dati sono di rito in forma anonima o, se necessario a fini statistici, in forma pseudonimizzata. In nessun caso i dati anonimizzati possono essere collegati ai Suoi dati personali. I dati pseudonimizzati vengono forniti insieme al Suo numero di contratto o di sinistri, ma non riportano il nome o altre informazioni che permettano di identificarLa. Solo la compagnia di assicurazione che ci fornisce i dati può effettuare un collegamento tra questi dati pseudonimizzati (ad esempio il numero di sinistri) e i Suoi dati personali.
Base giuridica per il trattamento dei Suoi dati personali è l'Art. 6(1)(b) del Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea, secondo cui il trattamento è lecito per la sottoscrizione o l’esecuzione del contratto di assicurazione di cui Lei è parte. Nella misura in cui la riassicurazione intende supportare la compagnia di assicurazione a far fronte ai propri obblighi in base al contratto di assicurazione con Lei stipulato, il trattamento dei Suoi dati personali è lecito per il perseguimento dei legittimi interessi secondo l’Art. 6(1)(f) del Regolamento generale sulla protezione dei dati (GDPR).
Nel caso in cui sia necessario il trattamento di categorie speciali di dati personali (ad esempio informazioni sul Suo stato di salute quando si stipula un contratto di assicurazione vita o una verifica sugli obblighi di risarcimento a carico della Società), la compagnia di assicurazione chiederà il Suo esplicito consenso secondo quanto previsto dall’Art. 9(2)(a), in combinato disposto con l'Art. 7 del GDPR anche a favore del riassicuratore nel caso in cui la trasmissione dei dati al riassicuratore e il loro trattamento da parte di questi non siano previsti da altre disposizioni di legge (in particolare presso la sede legale del Suo assicuratore) senza previo consenso. L’elaborazione di statistiche che richiedano il trattamento di tali categorie di dati è lecita in base all’Art. 9(2)(j) del GDPR o l'Art. 5(1)(b) in combinato disposto con l'articolo 6(4) del GDPR. Se per i suddetti scopi raccogliamo ed elaboriamo anche categorie particolari di dati personali che Lei stesso ha ovviamente reso pubblici (ad es. in un'intervista alla stampa o sul Suo profilo utente visibile pubblicamente su un social network), questo trattamento si basa sull'articolo 9, (2) (e) del GDPR. Se raccogliamo ed elaboriamo altre categorie di dati personali da altre fonti pubbliche (ad es. Internet, banche dati di terzi e giornali) nell’ambito della verifica del nostro obbligo di prestazione nei confronti del Suo assicuratore, questo trattamento si basa sull’articolo 9 (2) (+f) del GDPR.
Il trattamento dei dati è altresì lecito per il perseguimento del nostro legittimo interesse, in qualità di titolari del trattamento dei dati, o per il legittimo interesse di terzi, come disposto dall’Art. 6(1)(f) del GDPR. Questo potrebbe essere necessario, ad esempio:
- per i suddetti scopi e per il controllo dei cumuli da esposizione all’interno del gruppo di riassicurazione Munich Re, in particolare in relazione a coperture vita di importo particolarmente elevato.. Per questo motivo, potremmo dover raccogliere, tra l'altro, dati su altri gruppi di persone rilevanti per il rischio da fonti pubblicamente accessibili come Internet, banche dati di terzi o la stampa (ad esempio, i nomi dei membri della squadra di un giocatore sportivo professionista) al fine di stimare in modo appropriato la nostra possibile esposizione complessiva per i singoli eventi di sinistro,
- dietro richiesta delle autorità pubbliche,
- per garantire la sicurezza IT e le operazioni IT.
Il trattamento dei dati personali è lecito altresì per ottemperare ai requisiti di legge, ad esempio i requisiti normativi, i requisiti di conservazione previsti dalle leggi commerciali e fiscali, o per confrontare i dati con quelli presenti negli elenchi dei procedimenti sanzionatori, in ottemperanza ai regolamenti in materia di lotta al terrorismo (ad esempio il Regolamento 2580/2001 del Consiglio Europeo). In questi casi, il trattamento è consentito dalla relativa disposizione di legge in combinato disposto con l'Art. 6(1)(c) del GDPR. In caso di trattamento dei dati per finalità diverse da quelle suindicate, la Società La informerà preventivamente, secondo quanto previsto dalla legge.
Fonte dei dati
I Suoi dati ci vengono forniti dalle compagnie di assicurazione in base alle condizioni sopra indicate. In casi eccezionali i Suoi dati ci vengono forniti da altre compagnie di riassicurazione che non vogliono sostenere da sole il rischio (co-riassicuratori). In casi eccezionali, i Suoi dati possono essere presi da fonti disponibili pubblicamente, in particolare in caso di sinistri rilevanti o per il controllo dei cumuli da esposizione come sopra riportato.
Categorie di destinatari
Fornitori di servizi esterni
La Società può far ricorso a fornitori di servizi esterni per adempiere i propri obblighi contrattuali e legali. Le categorie di fornitori di servizi interessati sono richiedibili all’indirizzo e-mail: Dataprotection-MRI@munichre.com.
Società del gruppo di riassicurazione Munich Re
Le società del gruppo possono ricevere dati in casi specifici, quando ciò sia necessario per il controllo dei cumuli da esposizione all’interno del gruppo nel caso di assicurazioni vita di importo elevato.
Altri destinatari
Alcune compagnie di assicurazione diretta e altri riassicuratori fanno ricorso ad agenti o fornitori di servizi per l'acquisizione di contratti o per la gestione di trattati di riassicurazione. In questi casi, quando la Società effettui il trattamento per le finalità di cui sopra, i Suoi dati saranno trasmessi a queste parti terze (agenti o fornitori di servizi) quando trasmessi a noi dall’assicuratore diretto o quando trasmessi tra noi e il riassicuratore.
In alcuni casi i Suoi dati personali potranno essere condivisi con altri destinatari - ad esempio autorità pubbliche al fine di rispettare i doveri di reporting previsti dalle norme, o a retrocessionarie (cioè altre compagnie di riassicurazione che riassicurano i nostri rischi).
Periodo di conservazione dei dati
Tutti i Suoi dati personali vengono cancellati non appena non sono più necessari agli scopi di cui sopra. È tuttavia possibile che gli stessi vengono conservati per un periodo più lungo, ovvero fino alla completa risoluzione di possibili controversie e del relativo periodo di prescrizione di legge applicabile. I dati potranno essere conservati più a lungo anche nel caso in cui ciò sia necessario per disposizioni di legge. La documentazione e i requisiti in materia di conservazione sono definiti nelle leggi in vigore in Italia.
Trasferimento dei dati verso Paesi non europei
Il trasferimento di dati personali a fornitori di servizi o società del Gruppo al di fuori dello Spazio Economico Europeo (SEE) ha luogo soltanto se la Commissione europea ha deciso che il Paese terzo in questione garantisce un livello di protezione adeguato o se sussistono altre adeguate garanzie in materia di protezione dei dati (ad es. norme vincolanti d’impresa o clausole tipo di protezione dei dati della Commissione europea). In alcuni casi non è necessario un adeguato livello di protezione dei dati qualora la trasmissione abbia carattere occasionale e non sia necessario assicurare la richiesta nei confronti dell’assicuratore.
Le società del Gruppo Munich Re hanno adottato regole vincolanti in materia di protezione dei dati: Binding Corporate Rules (inglese). Questo permette di garantire il medesimo livello di protezione dei dati personali presso tutte le società del Gruppo. È possibile richiedere informazioni dettagliate a questo riguardo, nonché relativamente al livello di protezione dei dati dei nostri fornitori di servizi in Paesi terzi, utilizzando i dati di contatto suindicati.
Diritti dell’interessato
In qualità di interessato Lei può chiedere che Le vengano rilasciate informazioni sui dati conservati che La riguardano. Può chiedere inoltre la limitazione del trattamento dei dati che La riguardano nonché di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati da Lei forniti. Lei ha il diritto di revocare il Suo consenso in qualsiasi momento; il trattamento dei dati effettuato prima della revoca resta comunque lecito. Per esercitare i Suoi diritti può rivolgersi all’indirizzo suindicato.
Diritto di opposizione:
È possibile opporsi al trattamento dei dati per il perseguimento del legittimo interesse per motivi legati alla Sua specifica situazione.
Reclami e segnalazioni
Eventuali reclami vanno inoltrati al Responsabile della protezione dei dati all’indirizzo suindicato oppure all’autorità competente in materia:
L’autorità competente per la Münchener Rückversicherungs-Gesellschaft – Rappresentanza Generale per l’Italia è:
Garante per la Protezione dei Dati
Piazza Venezia, 11 - 00187 Roma
www.gpdp.it / www.garanteprivacy.it
E-mail: garante@gpdp.it
Fax: (+39) 06.69677.3785
Centralino telefonico: (+39) 06.69677.1
Eventuali modifiche a quanto qui riportato verranno comunicate tempestivamente.