Gazzetta n. 134 del 10 giugno 2016 (vai al sommario) ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI PROVVEDIMENTO 1 giugno 2016 Regolamento recante la disciplina della banca dati sinistri, della banca dati anagrafe testimoni e della banca dati anagrafe danneggiati, di cui all'articolo 135 del decreto legislativo 7 settembre 2005, n. 209 - codice delle assicurazioni private. (Provvedimento n. 23/2016). L'ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI Vista la legge 12 agosto 1982, n. 576, concernente la riforma della vigilanza sulle assicurazioni e l'istituzione dell'ISVAP; Visto il decreto legislativo 7 settembre 2005, n. 209, recante il Codice delle assicurazioni private; Visto il decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni ed integrazioni, recante il Codice in materia di protezione dei dati personali; Visto il decreto-legge 24 gennaio 2012, n. 1, convertito con modificazioni in legge 24 marzo 2012, n. 27, recante disposizioni urgenti per la concorrenza, lo sviluppo delle infrastrutture e la competitivita'; Visto il decreto-legge 6 luglio 2012, n. 95, convertito con modificazioni in legge 7 agosto 2012, n. 135, concernente disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini, istitutivo dell'IVASS ed, in particolare, l'art. 13, comma 20, il quale prevede che rientra nella competenza esclusiva del Direttorio integrato, tra l'altro, l'adozione di provvedimenti a carattere normativo; Visto l'art. 21 del decreto-legge 18 ottobre 2012, n. 179, convertito con modificazioni in legge 17 dicembre 2012, n. 221, il quale prevede che l'IVASS cura la prevenzione delle frodi nel settore dell'assicurazione della responsabilita' civile derivante dalla circolazione dei veicoli a motore, relativamente alle richieste di risarcimento e di indennizzo e all'attivazione di sistemi di allerta preventiva contro i rischi di frode; Visto il comma 3 del citato art. 21, secondo cui l'IVASS per la cura delle finalita' antifrode si avvale di un archivio informatico integrato connesso con le banche dati ivi elencate, nonche' con ulteriori archivi e banche dati pubbliche e private, individuate con decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti, sentiti i Ministeri competenti, l'IVASS e il Garante per la protezione dei dati, per i profili connessi alla tutela della privacy; Visto il decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti 11 maggio 2015, n. 108, recante l'istituzione dell'archivio informatico integrato di cui all'art. 21 del decreto-legge 18 ottobre 2012, n. 179, convertito con modificazioni in legge 17 dicembre 2012, n. 221, con l'individuazione delle banche dati che ne fanno parte; Visto il provvedimento ISVAP n. 2827 del 25 agosto 2010 e successive integrazioni e modificazioni; Visto il regolamento IVASS n. 9 del 19 maggio 2015, recante la disciplina della banca dati attestati di rischio e dell'attestazione sullo stato del rischio di cui all'art. 134 del decreto legislativo 7 settembre 2005, n. 209 - Codice delle assicurazioni private - dematerializzazione dell'attestato di rischio. Sentiti il Ministero dello sviluppo economico, il Ministero dell'interno e, per i profili di tutela della riservatezza, il Garante per la protezione dei dati personali, A d o t t a il seguente regolamento: Art. 1 Fonti normative 1. Il presente regolamento e' adottato ai sensi dell'art. 135 del decreto legislativo 7 settembre 2005, n. 209 e dell'art. 120 del decreto legislativo 30 giugno 2003, n. 196.   Allegato 1 (Art. 6, comma 2 del Regolamento) DATI RELATIVI AI SINISTRI Parte di provvedimento in formato grafico   Allegato 2 (Art. 11, comma 2, del Regolamento) CONDIZIONI DI ACCESSO E MODALITA' DI CONSULTAZIONE DA PARTE DELLE IMPRESE DI ASSICURAZIONE, DELLA CONSAP E DELL'UCI 1. Procedura di abilitazione 1.1 Richiesta di abilitazione. L'impresa invia all'IVASS, a firma del legale rappresentante o di altra persona alla quale il legale rappresentante abbia conferito procura speciale, la richiesta di abilitazione. Nel caso si tratti di prima istanza a firma del rappresentante che la sottoscrive, sara' contestualmente inoltrata anche copia, o stralcio, della relativa procura speciale. Unitamente alla suddetta richiesta, l'impresa provvede ad inviare per via telematica le informazioni anagrafiche relative ai propri dipendenti, alle unita' organizzative in cui gli stessi operano, ai responsabili di queste ultime. La suddetta documentazione va trasmessa dalla casella di posta elettronica certificata dell'impresa alla casella studi.gestionedati@pec.ivass.it. Nei casi in cui l'impresa di assicurazione intenda far ricorso all'attivita' di comitati antifrode, anche nell'ambito di uno stesso Gruppo, e' consentita a detti comitati la consultazione della banca dati sulla base di una delega operativa rilasciata ai medesimi dall'impresa istante. 1.1.1 La nota a firma del rappresentante dell'impresa Nella nota l'impresa specifica: i nominativi dei soggetti per i quali e' richiesta l'abilitazione; l'attivita' da essi svolta e in connessione alla quale e' richiesta l'abilitazione; va in particolare indicato se l'accesso e' riferito alla fase di liquidazione del sinistro ovvero a quella della verifica della correttezza delle dichiarazioni precontrattuali ai fini del rilascio dell'attestazione di rischio. Nel caso di attivita' esternalizzate l'impresa osserva le stesse indicazioni previste per i propri dipendenti. 1.1.2 Comunicazione telematica delle informazioni sui responsabili Con il supporto informatico messo a disposizione dall'Istituto per il download e secondo le istruzioni operative fornite nel sito istituzionale dell'IVASS, l'impresa comunica le informazioni sugli uffici di appartenenza dei singoli soggetti che intende abilitare ovvero sulla societa' affidataria del servizio esternalizzato cui fanno capo i soggetti che intende abilitare. In particolare, l'impresa indica la struttura nella quale operano i soggetti per i quali richiede l'abilitazione, nonche' i rapporti di dipendenza per i soggetti non responsabili dell'ufficio. Per ogni singolo dipendente sono fornite le informazioni anagrafiche e, in particolare, sono indicati la tipologia di accesso ad essi riservata e l'indirizzo e-mail cui verra' spedita la password assegnata dall'IVASS. 1.2 Rilascio dell'abilitazione. L'IVASS, entro trenta giorni lavorativi dal ricevimento della richiesta: a) in presenza di tutti gli elementi di cui al paragrafo 1.1, rilascia le abilitazioni e comunica alla casella di posta elettronica certificata dell'impresa l'accoglimento dell'istanza, con indicazione delle user-ID dei soggetti autorizzati all'accesso; inoltre invia con mail separata a ciascun soggetto abilitato, attraverso procedure idonee a salvaguardare la segretezza del dato, le relative password riservate, personali e incedibili. L'impresa avra' cura di comunicare a ciascun utente la user-ID assegnata, osservando opportune misure di riservatezza; b) nel caso in cui vengano riscontrate lacune od imperfezioni di carattere formale nella documentazione trasmessa, invita ad apportare le necessarie rettifiche od integrazioni entro un ulteriore termine di trenta giorni, decorso il quale, e in assenza di una comunicazione valida, l'abilitazione non viene concessa; c) ove non sussistano i requisiti, non rilascia l'abilitazione e lo comunica all'impresa. 1.3 Efficacia dell'abilitazione. Una volta ottenute la user-ID e la password l'utente abilitato puo' attivare il primo collegamento, all'atto del quale dovra' modificare la password temporanea assegnatagli. Ciascuna abilitazione e' concessa a tempo indeterminato, ma cessa di essere efficace quando il soggetto titolare perde i requisiti legittimanti la consultazione. In tal caso, il soggetto medesimo e l'impresa che ha richiesto l'abilitazione sono tenuti a darne tempestiva comunicazione all'IVASS entro cinque giorni dalla perdita dei requisiti, chiedendo di rimuovere l'abilitazione. A tal fine, l'impresa trasmette la relativa comunicazione di disabilitazione entro cinque giorni dalla perdita dei requisiti, secondo le citate istruzioni operative. In caso di ritardo o omissione della comunicazione predetta, l'impresa e' corresponsabile per l'eventuale consultazione illegittima della banca dati sinistri. Il mancato utilizzo delle credenziali di accesso per oltre sei mesi da parte di un soggetto autorizzato comporta la disabilitazione automatica dell'accesso da parte del sistema di autenticazione. 1.4 Obblighi e responsabilita' di conservazione della documentazione L'impresa raccoglie la documentazione cartacea comprensiva delle lettere di incarico sottoscritte dai singoli soggetti per accettazione, della certificazione comprovante la consegna all'utente della user-ID e delle copie dei documenti di identificazione. Tale documentazione e' conservata presso la direzione generale dell'impresa e messa a disposizione dell'IVASS su richiesta. L'impresa comunica all'IVASS eventuali aggiornamenti dei dati relativi ai soggetti abilitati. L'impresa e' responsabile dei controlli interni sulle consultazioni alla banca dati effettuate dai soggetti dalla stessa incaricati e abilitati dall'IVASS. 1.5 CONSAP e UCI La procedura di abilitazione di cui ai punti precedenti si applica, ove compatibile, anche alla CONSAP e all'UCI. 2. Modalita' per effettuare la consultazione da parte delle imprese di assicurazione, della consap e dell'UCI La consultazione on-line si effettua mediante collegamento telematico, dal sito internet dell'IVASS, www.ivass.it, ove e' collocato uno specifico link «Banca Dati Sinistri», con le modalita' indicate nelle istruzioni operative. Ove l'utente non riesca ad accedere regolarmente al sito o nel caso non risultasse piu' valida la combinazione delle credenziali di accesso, dovra' segnalare il disservizio alla propria impresa che valutera' l'eventuale necessita' di ripristino delle credenziali (1) o di modifica della sola password (2) . (1) Nel caso di mancato utilizzo per oltre sei mesi, il sistema informa che l'utente e' «valido, ma non attivo» In questi casi occorre riavviare la procedura di abilitazione di cui al paragrafo 1. (2) Nel caso di smarrimento della password o di immissione errata di user-ID o password, il sistema informa che l'utente ha usato una «combinazione login/password errata». In questi casi, se la password non e' piu' nota all'utente, occorre effettuarne il ripristino secondo le istruzioni operative disponibili nel sito istituzionale dell'IVASS.   Art. 2 Definizioni 1. Ai fini del presente Regolamento s'intendono per: a) «archivio informatico integrato»: lo strumento informatico d'interconnessione dati, denominato anche «archivio integrato antifrode» o «AIA», con cui l'IVASS analizza, elabora e valuta le informazioni in proprio possesso, al fine di individuare i casi di sospetta frode e di stabilire un meccanismo di allerta preventiva contro le frodi, istituito dall'art. 21 del decreto-legge 18 ottobre 2012, n. 179, convertito in legge 17 dicembre 2012, n. 221, e regolato dal decreto ministeriale dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti 11 maggio 2015, n. 108; b) «banche dati»: la banca dati sinistri, la banca dati anagrafe testimoni e la banca dati anagrafe danneggiati, istituite dall'art. 135 del decreto legislativo 7 settembre 2005, n. 209, per la prevenzione e il contrasto di comportamenti fraudolenti nel settore delle assicurazioni obbligatorie per i veicoli a motore; c) «Decreto»: il decreto legislativo 7 settembre 2005, n. 209, e successive modificazioni ed integrazioni, recante il Codice delle assicurazioni private; d) «definizione» del sinistro: la conclusione del procedimento di trattazione di un sinistro gestito da un'impresa di assicurazione, per pagamento o eliminazione senza seguito; e) «imprese di assicurazione italiane»: le imprese aventi sede legale in Italia e le sedi secondarie in Italia di imprese di assicurazione aventi sede legale in uno Stato terzo; f) «imprese di assicurazione»: le imprese di assicurazione italiane e le imprese di assicurazione dell'Unione europea e quelle aderenti allo Spazio economico europeo, che svolgono la loro attivita' in Italia in regime di liberta' di prestazione di servizi o in regime di stabilimento; g) «interessati»: le persone fisiche cui si riferiscono i dati personali; h) «parametri di significativita'»: gli indicatori di possibili fenomeni fraudolenti, come individuati dall'art. 4 del Provvedimento ISVAP n. 2827 del 25 agosto 2010; i) «sinistri»: i sinistri relativi all'assicurazione obbligatoria della responsabilita' civile derivante dalla circolazione dei veicoli a motore immatricolati in Italia; j) «soggetti abilitati»: le persone fisiche, incaricate dalle imprese di assicurazione in ragione della connessione con l'attivita' svolta su incarico delle stesse, abilitate a consultare i dati registrati nelle banche dati di cui alla lettera b); k) «soggetti aventi diritto»: l'Autorita' giudiziaria, le Forze di polizia e le Pubbliche amministrazioni competenti in materia di prevenzione e contrasto di comportamenti fraudolenti nel settore delle assicurazioni obbligatorie per i veicoli a motore immatricolati in Italia; l) «soggetti terzi»: i soggetti legittimati alla consultazione delle banche dati nei limiti e per le finalita' individuati dalla legge.   Art. 3 Ambito di applicazione 1. Il presente Regolamento si applica: a) alle imprese di assicurazione italiane autorizzate all'esercizio nel territorio della Repubblica dell'attivita' assicurativa nel ramo dell'assicurazione obbligatoria della responsabilita' civile derivante dalla circolazione dei veicoli a motore, anche qualora agiscano in veste di imprese designate per la liquidazione dei danni a carico del Fondo di garanzia per le vittime della strada; b) alle imprese dell'Unione europea ed a quelle aderenti allo Spazio economico europeo abilitate all'esercizio nel territorio della Repubblica dell'attivita' assicurativa nel ramo dell'assicurazione obbligatoria della responsabilita' civile derivante dalla circolazione dei veicoli a motore in regime di liberta' di prestazione di servizi o in regime di stabilimento, ad esclusione di quanto disposto dal Capo III.   Art. 4 Finalita' 1. Le banche dati raccolgono i dati dei sinistri relativi ai veicoli a motore immatricolati in Italia, nonche' i dati dei testimoni e dei danneggiati riferiti ai medesimi sinistri, al fine di agevolare la prevenzione e il contrasto di comportamenti fraudolenti nel settore dell'assicurazione obbligatoria per i veicoli a motore. 2. Le banche dati sono organizzate in modo da consentire all'IVASS, in relazione alla finalita' di cui al comma 1, di effettuare elaborazioni statistiche, ricerche, studi ed analisi dei dati.   Art. 5 Trattamento dei dati 1. L'IVASS e' il titolare del trattamento dei dati ed opera nel rispetto dei principi di cui all'art. 11 del decreto legislativo 30 giugno 2003, n. 196. In tale qualita' sovrintende al corretto funzionamento delle banche dati e all'osservanza delle disposizioni che regolano le modalita' e i termini di comunicazione dei dati. 2. L'IVASS adotta le misure tecniche, logiche, informatiche, procedurali, fisiche ed organizzative idonee a garantire il corretto e regolare funzionamento delle banche dati, nonche' la riservatezza, la sicurezza e l'integrita' dei dati in conformita' al decreto legislativo 30 giugno 2003, n. 196.   Art. 6 Obblighi di comunicazione delle imprese di assicurazione italiane 1. I dati per l'alimentazione delle banche dati sono comunicati all'IVASS, dal momento del pervenimento della richiesta di risarcimento o della denuncia e fino alla definizione del sinistro, da parte dell'impresa di assicurazione italiana: a) che ha ricevuto la richiesta di risarcimento del danneggiato, nel caso di sinistri soggetti alla procedura di risarcimento diretto di cui all'art. 149 del Decreto; b) che gestisce la procedura di liquidazione a seguito della denuncia di sinistro del responsabile o, in mancanza, della richiesta di risarcimento del danneggiato, nel caso di sinistri soggetti alla procedura di risarcimento di cui all'art. 148 del decreto. 2. I dati da comunicare sono indicati nell'allegato 1 e sono relativi alle seguenti categorie: a) elementi identificativi del sinistro; b) elementi identificativi dei testimoni del sinistro; c) elementi identificativi dei danneggiati dal sinistro; d) elementi identificativi dei contraenti, dei proprietari e dei conducenti dei veicoli coinvolti nel sinistro; e) elementi identificativi dei veicoli coinvolti nel sinistro; f) elementi identificativi dei professionisti incaricati in relazione al sinistro; g) elementi identificativi delle carrozzerie o autofficine di riparazione dei veicoli coinvolti nel sinistro; h) elementi identificativi delle autorita' e dei presidi di pronto soccorso eventualmente intervenuti in relazione al sinistro; i) elementi di valutazione del danno alle cose e/o alle persone. In caso di danni alle cose: parti danneggiate; in caso di danni alle persone: sedi delle lesioni, classificate in base a zone anatomiche predeterminate o eventuale decesso; j) elementi identificativi dei pagamenti per danni a cose e/o persone determinati dal sinistro, ivi inclusi i beneficiari.   Art. 7 Modalita' e termini di comunicazione dei dati 1. Le imprese di assicurazione italiane comunicano all'IVASS i dati relativi al sinistro secondo principi di esattezza e completezza, con le modalita' tecniche stabilite dall'IVASS con proprio provvedimento. 2. Le imprese di cui al comma 1 comunicano i dati di cui all'art. 6, relativi a ciascun sinistro, in via telematica, entro sette giorni, esclusi il sabato e i festivi, dal pervenimento della richiesta di risarcimento o della denuncia. 3. Le imprese di cui al comma 1 comunicano, entro il termine di sette giorni dall'acquisizione, esclusi il sabato e i festivi, i dati di cui all'art. 6 conosciuti successivamente alla trasmissione effettuata ai sensi del comma 2. 4. Le imprese di cui al comma 1 apportano tempestivamente ogni rettifica o cancellazione dei dati che si renda necessaria e ne danno notizia all'IVASS entro il termine di venti giorni di calendario. 5. Le imprese di cui al comma 1 assumono misure preventive ed idonee al fine di assicurare la riservatezza, la sicurezza e l'integrita' dei dati e delle comunicazioni, in conformita' al decreto legislativo 30 giugno 2003, n. 196. 6. Ai soli fini sanzionatori, si considera quale comunicazione periodica di cui all'art. 316 del Decreto, indipendentemente dalla frequenza dei flussi dei dati comunicati ai sensi del presente articolo, l'insieme delle trasmissioni effettuate dall'impresa in ciascuna settimana di calendario rientrante nel periodo di osservazione assunto in sede di accertamento delle eventuali violazioni. 7. Per specifiche esigenze tecniche, le imprese possono chiedere la transcodifica dei sinistri comunicati alle banche dati. In caso di operazioni straordinarie quali fusioni, scorpori o acquisizioni di portafoglio, le imprese inoltrano all'IVASS una relazione sul piano di integrazione delle basi dati coinvolte, indicando la tempistica entro cui tali operazioni saranno concluse e richiedendo le eventuali necessarie operazioni di transcodifica con riferimento ai dati gia' comunicati dall'impresa oggetto di fusione o scorporo o che gestiva il portafoglio acquisito.   Art. 8 Ricevimento, convalida e registrazione dei dati 1. Il processo di gestione delle banche dati si articola nelle seguenti fasi ed attivita': a) ricevimento delle comunicazioni; b) convalida; c) registrazione dei dati. 2. Al ricevimento dei dati, l'IVASS verifica che gli stessi siano stati comunicati secondo le modalita' previste dal provvedimento di cui all'art. 7, comma 1 e, in caso di esito positivo, provvede alla loro convalida entro sette giorni. 3. L'IVASS, tramite le interconnessioni con le fonti dati esterne dell'archivio informatico integrato definite con il decreto ministeriale dell'11 maggio 2015, n. 108, puo' effettuare verifiche di congruita' delle informazioni comunicate alle banche dati. 4. Quando i dati trasmessi non superano la verifica di cui al comma 2, l'IVASS ne da' informativa alle imprese di assicurazione, affinche' provvedano ad una nuova comunicazione, con le necessarie integrazioni o correzioni, entro il termine di venti giorni dal ricevimento della richiesta. 5. I dati sono registrati nelle banche dati per cinque anni dalla data di definizione di ciascun sinistro. 6. Decorso il termine di cui al comma 5, i dati relativi a ciascun sinistro definito sono estratti dalle banche dati e riversati su altro supporto informatico gestito dall'IVASS. Tali dati sono comunicati dall'IVASS esclusivamente per esigenze di giustizia penale o a seguito di esercizio dei diritti degli interessati, ai sensi dell'art. 7 del decreto legislativo 30 giugno 2003, n. 196. 7. Decorsi dieci anni dalla data di definizione di ciascun sinistro, i dati che permettono di identificare le persone fisiche e giuridiche coinvolte a vario titolo nei sinistri vengono cancellati; i restanti dati sono conservati su altro supporto informatico in forma anonima e non possono essere utilizzati al fine di identificare gli interessati. 8. L'IVASS puo' diffondere i dati a scopi statistici ed in forma aggregata per le finalita' di cui all'art. 135, comma 1, del Decreto, garantendo l'anonimato.   Art. 9 Consultazione delle imprese di assicurazione 1. Le imprese di assicurazione, anche quando agiscono in veste di imprese designate per la liquidazione dei danni a carico del Fondo di garanzia per le vittime della strada di cui all'art. 285 del Decreto, consultano le banche dati in fase di gestione di ciascun sinistro. 2. La consultazione di cui al comma 1 si considera effettuata con la ricezione del flusso di dati di cui all'art. 3 del decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti 11 maggio 2015, n. 108. 3. In caso di mancata ricezione del flusso di dati di cui al comma 2, entro il termine di giorni 5 dalla comunicazione dei dati all'IVASS ai sensi dell'art. 7, l'obbligo di consultazione e' assolto con le modalita' indicate all'art. 12, commi 2, lettera a), e 3 o all'art. 13, commi da 1 a 4. 4. Quando dalla consultazione emerge la sussistenza di almeno due parametri di significativita', le imprese di cui al comma 1, anche se decidono di non avvalersi della facolta' di cui all'art. 148, comma 2-bis del decreto, acquisiscono le informazioni di cui all'art. 13, comma 5, ed eseguono specifici approfondimenti, dandone evidenza nel fascicolo di sinistro. 5. Le imprese di assicurazione, ai sensi dell'art. 134, comma 4, del Decreto, consultano altresi' la banca dati sinistri ai fini dell'acquisizione dell'attestato di rischio, limitatamente ai casi previsti dall'art. 9, comma 5, del regolamento IVASS n. 9 del 19 maggio 2015, e con riferimento ai soli «dati sinistro» di cui all'allegato 1. 6. La consultazione di cui al comma 5 e' effettuata con le modalita' indicate all'art. 13, commi da 1 a 4.   Art. 10 Limiti all'esercizio del diritto di consultazione 1. Le imprese di assicurazione, la CONSAP, l'UCI e gli altri soggetti aventi diritto, consultano le banche dati esclusivamente per le finalita' di cui all'art. 4, comma 1. 2. I soggetti terzi, consultano le banche dati esclusivamente per le finalita' previste dalla legge che li ammette alla consultazione. La tipologia dei dati accessibili e le modalita' tecniche di consultazione sono stabilite mediante specifiche convenzioni con l'IVASS. 3. La consultazione delle banche dati e il trattamento delle informazioni acquisite e' limitato ai dati pertinenti e non eccedenti rispetto al perseguimento delle finalita' di cui ai commi 1 e 2.   Art. 11 Modalita' di abilitazione alla consultazione 1. Le imprese di assicurazione, la CONSAP e l'UCI consultano le banche dati per la verifica della situazione storica collegata al caso in esame, nell'ambito del processo di gestione dei sinistri. Le imprese di assicurazione consultano la banca dati sinistri per la verifica della correttezza delle dichiarazioni rilasciate dal contraente qualora, all'atto della stipula del contratto, l'attestazione sullo stato del rischio non risulti presente nel relativo archivio disciplinato dal regolamento IVASS n. 9 del 19 maggio 2015. 2. Gli enti di cui al comma 1 comunicano all'IVASS gli estremi identificativi dei soggetti per i quali, in ragione della connessione con l'attivita' svolta su loro incarico, intendono richiedere l'abilitazione alla consultazione delle banche dati, con l'indicazione dei relativi requisiti e secondo le modalita' previste nell'allegato 2. L'IVASS rilascia o nega l'abilitazione entro 30 giorni dal ricevimento della comunicazione secondo la procedura di cui all'allegato 2, fornendo per ciascuno dei soggetti abilitati un distinto codice identificativo. 3. Gli enti di cui al comma 1 comunicano all'IVASS, entro cinque giorni, la perdita dei requisiti che legittimano la consultazione da parte dei soggetti abilitati. 4. Salvi comunque gli obblighi e la responsabilita' degli enti di cui al comma 1, i responsabili e il personale delle strutture e degli uffici mediante i quali e' effettuata la consultazione sono vincolati al segreto sugli elementi informativi acquisiti e sono personalmente responsabili per la violazione degli obblighi di riservatezza derivanti dal trattamento delle informazioni acquisite tramite consultazione delle banche dati e della loro utilizzazione o divulgazione a terzi per finalita' non consentite dalla legge.   Art. 12 Modalita' di consultazione da parte dei soggetti aventi diritto 1. I soggetti aventi diritto consultano le banche dati in base alle seguenti chiavi di ricerca, utilizzate anche contestualmente: a) cognome, nome, luogo, data di nascita e codice fiscale di persone fisiche; b) ragione/denominazione sociale e partita IVA di persone giuridiche, societa' o altri enti collettivi; c) targhe (o numeri di telaio) dei veicoli. 2. La consultazione puo' avvenire secondo le seguenti modalita': a) batch, che permette l'acquisizione via file delle informazioni di cui al comma 3; b) on line, che permette l'immediata visualizzazione e stampa delle informazioni di cui al comma 4. 3. Con la consultazione batch, le banche dati forniscono, in riscontro all'inoltro via file di una lista di targhe (o numeri di telaio), di codici fiscali e di partite IVA, un file contenente il numero di sinistri presenti per ciascuna targa (o numero di telaio), codice fiscale o partita IVA immessa, nonche' la valorizzazione dei relativi parametri di significativita'. 4. Con la consultazione on line, le banche dati forniscono evidenza del numero dei sinistri nei quali risultino coinvolti la persona fisica, la societa' o l'ente collettivo (identificabile tramite il codice fiscale o la partita IVA) o il veicolo (identificabile tramite la targa o il numero di telaio) in relazione al quale e' stata effettuata l'interrogazione, nonche' la valorizzazione dei relativi parametri di significativita'. Le banche dati forniscono, altresi', per ciascuno dei suddetti sinistri le informazioni relative a: a) data e luogo del sinistro; b) targhe (o numeri di telaio) dei veicoli coinvolti; c) denominazione delle imprese di assicurazione coinvolte; d) ubicazione del danno alle cose; e) presenza e tipo della lesione in caso di danno alla persona; f) pagamenti per danni a cose e/o persone determinati dal sinistro; g) elementi identificativi (eventualmente correlati con il codice fiscale o la partita IVA) dei soggetti a vario titolo coinvolti ed i rispettivi ruoli, come individuati ai sensi dell'art. 6, comma 2, lettere b), c), d), f), g), h), j).   Art. 13 Modalita' di consultazione da parte delle imprese di assicurazione, della CONSAP e dell'UCI 1. Le imprese di assicurazione, la CONSAP e l'UCI consultano le banche dati in base alle seguenti chiavi di ricerca, utilizzate anche contestualmente: a) cognome, nome, luogo, data di nascita e codice fiscale di persone fisiche; b) ragione/denominazione sociale e partita IVA di persone giuridiche, societa' o altri enti collettivi; c) targhe (o numeri di telaio) dei veicoli. 2. I soggetti abilitati di cui all'art. 11, comma 2 avviano la consultazione delle banche dati indicando: a) il numero di sinistro in relazione al quale richiedono la consultazione, in caso di accesso ai sensi dell'art. 9, comma 1; b) il numero della polizza, in caso di accesso ai sensi dell'art. 9, comma 5. 3. La consultazione avviene in modalita' on line per consentire l'immediata visualizzazione e stampa delle informazioni di cui al comma 4, nonche' di quelle di cui al comma 5, al ricorrere delle condizioni previste dallo stesso comma. 4. Con la consultazione on line, le banche dati forniscono evidenza del numero dei sinistri nei quali risultino coinvolti la persona fisica, la societa' o l'ente collettivo (identificabile tramite il codice fiscale o la partita IVA) o il veicolo (identificabile tramite la targa o il numero di telaio) in relazione al quale e' stata effettuata l'interrogazione, nonche' la valorizzazione dei relativi parametri di significativita'. Sono altresi' fornite le informazioni su: a) data e luogo del sinistro; b) tipologia dei danni occorsi (a cose, a persone, misti); c) data dei pagamenti, per la specifica tipologia di danno; d) ruolo del veicolo o del soggetto circa la responsabilita' nel sinistro (responsabile o danneggiato) ed eventuale grado di responsabilita'; e) indicazione del ruolo del soggetto nel sinistro (conducente, proprietario o contraente del veicolo; testimone; terzo; ecc.). 5. Con ulteriore consultazione on line, effettuabile solo in caso di accesso ai sensi dell'art. 9, comma 1, nonche' di valorizzazione di almeno due parametri di significativita', le banche dati sono, altresi', in grado di fornire, per ciascuno dei sinistri, le informazioni relative a: a) targhe (o numeri di telaio) dei veicoli coinvolti; b) denominazione delle imprese di assicurazione coinvolte; c) ubicazione del danno alle cose; d) presenza e tipo della lesione in caso di danno alla persona; e) elementi identificativi (eventualmente correlati con il codice fiscale o la partita IVA) dei soggetti a vario titolo coinvolti ed i rispettivi ruoli, come individuati ai sensi dell'art. 6, comma 2, lettere b), c), d), f), g), h), j). 6. Previa attivazione di funzionalita' appositamente tracciate dal sistema informatico, la consultazione dei dati di cui al comma 5 puo', altresi', essere effettuata in presenza di elementi significativi sotto il profilo della potenziale esistenza di comportamenti fraudolenti, anche in esito alla trasmissione dei flussi di cui al decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti 11 maggio 2015, n. 108.   Art. 14 Tracciatura delle consultazioni 1. Ogni consultazione delle banche dati e' registrata e memorizzata dall'IVASS, con l'indicazione del codice identificativo del soggetto che ha effettuato la consultazione, della data e dell'ora della consultazione, delle chiavi di ricerca, del numero di sinistro e dei dati consultati. 2. L'IVASS esegue controlli sulle consultazioni effettuate dai soggetti abilitati, anche attraverso verifiche periodiche a campione. 3. In caso di consultazione irregolare, l'IVASS sospende o revoca l'abilitazione del soggetto cui la stessa e' riconducibile mediante il codice identificativo. 4. In caso di consultazione illegittima delle banche dati, l'IVASS puo' sospendere dalla consultazione i soggetti abilitati anche quando e' configurabile una corresponsabilita' degli stessi per omesso controllo o per disfunzioni organizzative tali da aver consentito la sistematica reiterazione della violazione da parte di altri soggetti che operano o hanno operato per proprio conto.   Art. 15 Modalita' di esercizio 1. Gli interessati di cui all'art. 2, comma 1, lettera g) possono esercitare presso l'IVASS il diritto di accesso ai dati personali contenuti nelle banche dati, ai sensi dell'art. 7 del decreto legislativo 30 giugno 2003, n. 196.   Art. 16 Trasferimento dei dati 1. I dati che, alla data di entrata in vigore del presente Regolamento, sono contenuti nella banca dati sinistri, di cui al previgente art. 135 del Decreto, sono trasferiti nella banca dati sinistri, nella banca dati anagrafe danneggiati e nella banca dati anagrafe testimoni, di cui all'art. 135 del Decreto, cosi' come modificato dall'art. 32 del decreto-legge 24 gennaio 2012, n. 1, convertito con modificazioni in legge 24 marzo 2012, n. 27.   Art. 17 Modifiche al regolamento ISVAP n. 13 del 6 febbraio 2008 1. Nel foglio «Altre informazioni» del modello di denuncia di sinistro di cui all'allegato 2 al regolamento ISVAP n. 13 del 6 febbraio 2008, le parole «richieste ai sensi dell'art. 135 del decreto legislativo n. 209 del 2005 - Codice delle assicurazioni private» sono sostituite dalle parole: «richieste ai sensi dell'art. 135 del decreto legislativo 7 settembre 2005, n. 209 - Codice delle assicurazioni private per l'alimentazione della banca dati sinistri, della banca dati anagrafe testimoni e della banca dati anagrafe danneggiati, istituite per la prevenzione e il contrasto delle frodi nel settore dell'assicurazione r.c.auto. I dati personali sono trattati dall'IVASS per le finalita' di legge ed in conformita' alla legge sulla privacy».   Art. 18 Abrogazioni 1. Dalla data di entrata in vigore del presente regolamento sono abrogate le disposizioni di cui al regolamento ISVAP n. 31 del 1° giugno 2009, dei provvedimenti ISVAP n. 2808 del 21 giugno 2010 e n. 2998 del 10 agosto 2012 nonche' il provvedimento IVASS n. 15 del 4 febbraio 2014. 2. Restano abrogati: a) il provvedimento ISVAP n. 1764 del 21 dicembre 2000; b) il provvedimento ISVAP n. 2065 del 15 marzo 2002; c) il provvedimento ISVAP n. 2179 del 10 marzo 2003; d) l'art. 5 del provvedimento ISVAP n. 2495 del 21 dicembre 2006; e) la circolare ISVAP n. 444 del 7 maggio 2001; f) la circolare ISVAP n. 505 del 23 maggio 2003. 3. Fino alla data di emanazione del provvedimento di cui all'art. 7, comma 1, la materia continua ad essere regolata dal provvedimento ISVAP n. 2826.   Art. 19 Pubblicazione 1. Il presente regolamento e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana, nel Bollettino e nel sito internet dell'IVASS.   Art. 20 Entrata in vigore 1. Il presente regolamento entra in vigore il giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 1° giugno 2016 p. Il direttorio integrato Il presidente Rossi