ATTO DI INFORMAZIONE EX ART. 13 DEL REGOLAMENTO UE N. 2016/679

- APPLICAZIONE SOFTWARE MOBILE “MOVEIMA” -

IMA ITALIA ASSISTANCE S.p.A., (C. f.: 09749030152 - P. IVA: 02069150965) (infra “IMA ITALIA”), in persona del suo legale rappresentante pro tempore, con sede legale in Sesto S. Giovanni (MI), Piazza Indro Montanelli, 20, in qualità di Titolare del trattamento ex artt. 4 n. 7) e 24 del Regolamento UE n. 2016/679 (GDPR), informa, ai sensi degli artt. 13 e 14 del GDPR, che i dati personali, descritti all’art. 1, saranno trattati, da parte di IMA ITALIA, per l’esecuzione delle finalità di trattamento descritte all’art. 2.

1. Categoria dei dati personali oggetto di trattamento.

1.1. IMA ITALIA raccoglie e tratta, al fine di perseguire le finalità di trattamento descritte all’art. 2, le seguenti informazioni riguardanti, principalmente, il soggetto assicurato/beneficiario di una copertura assicurativa che decide di effettuare il download dell’applicazione software mobile “MOVEIMA”, e poi utilizzare/fruire delle funzionalità/servizi ivi messi a disposizione: (i) dati personali ex art. 4 n. 1) del GDPR cd. identificativi/comuni/di contatto (es. nome; cognome; codice fiscale; numero di telefono; indirizzo e-mail), ivi inclusi i dati relativi all’ubicazione/localizzazione, informazioni che risultano necessarie al fine di permettere il compiuto e completo funzionamento di ogni servizio/funzionalità messa a disposizione nell’applicazione software mobile in questione, così come già correttamente illustrato nelle relative condizioni di assicurazione (infra “dati personali”); (ii) dati personali cd. particolari ex art. 9 paragrafo 1) del GDPR, costituiti, in particolar modo, dalle informazioni sullo stato di salute ex art. 4 n. 15) e Considerando n. 35) del GDPR eventualmente raccolte/comunicate da/a IMA ITALIA, in caso di attivazione del servizio di e-call messo a disposizione tramite l’applicazione software mobile in questione (infra “dati personali cd. particolari”): a tal riguardo, IMA ITALIA precisa che l’eventuale attività di trattamento delle informazioni personali sanitarie è, già, compiutamente disciplinato all’interno dell’informativa privacy dedicata all’attività assicurativa/riassicurativa, allegata alle condizioni generali di assicurazione, a cui IMA ITALIA rimanda integralmente. I dati personali e i dati personali cd. particolari saranno, infra, denominati congiuntamente per semplicità soltanto come “informazioni personali”, la cui origine, in ossequio all’art. 14 paragrafo 2) lettera f) del GDPR, può eventualmente derivare da soggetti facenti parte della cd. catena assicurativa.

Stante l’eterogeneità soggettiva ed oggettiva delle categorie di informazioni personali sopra descritte, IMA ITALIA ricorda, al riguardo, che tratterà, esclusivamente, quelle informazioni personali strettamente necessarie per eseguire ciascuna finalità di trattamento descritta al successivo art. 2, in ossequio ai principi ex art. 5 del GDPR.

2. Finalità di trattamento e relativa base giuridica.

2.1. Le informazioni personali sono/possono essere trattate, da parte di IMA ITALIA, per l’esecuzione della seguente (macro) finalità di trattamento:

  1. Registrazione all’applicazione software mobile “MOVEIMA”, e conseguente fruizione dei servizi/funzionalità ivi messi a disposizione (es. invio di messaggi di partenza e di arrivo in un determinato viaggio a uno o più famigliari (o soggetti similari) individuati; attivazione del servizio di e-call, e conseguente attivazione del servizio di assistenza/soccorso ove necessario, in ragione dell’avvenuto rilevamento di un incidente occorso a bordo di una bicicletta ovvero di un monopattino), ivi inclusa l’esecuzione dei conseguenti adempimenti legali/amministrativi.

Nel rispetto dell’art. 13 paragrafo 2) lettera e) del GDPR, IMA ITALIA precisa che l’eventuale mancata comunicazione (anche parziale, ove necessario) delle informazioni personali può, eventualmente, determinare l’impossibilità, da parte di IMA ITALIA, di eseguire, in modo corretto e compiuto, la (macro) finalità di trattamento di cui all’art. 2.1. lettera a).

A tal riguardo, IMA ITALIA precisa che la base giuridica della finalità di trattamento di cui all’art. 2.1. lettera a) si rinviene nelle seguenti disposizioni normative: art. 6 paragrafo 1) lettere b) c) del GDPR, per i dati personali; art. 9 paragrafo 2) lettera a) del GDPR, per gli eventuali dati personali cd. particolari (il cui consenso, lo si ribadisce, viene raccolto e disciplinato, da parte di IMA ITALIA, mediante l’apposita informativa privacy dedicata all’attività assicurativa/riassicurativa, allegata alle condizioni generali di assicurazione).

2.2. Le informazioni personali sono/possono essere trattate, da parte di IMA ITALIA, per l’esecuzione della seguente finalità di trattamento:

  1. Ove necessario, riconoscimento/esercizio/difesa di un diritto/interesse, anche in sede giudiziaria.

A tal riguardo, IMA ITALIA precisa che la base giuridica della finalità di trattamento di cui all’art. 2.2. lettera b) si rinviene nelle seguenti disposizioni normative: art. 6 paragrafo 1) lettera f) del GDPR, per i dati personali; art. 9 paragrafo 2) lettera f) del GDPR, per gli eventuali dati personali cd. particolari.

Nel rispetto dell’art. 13 paragrafo 1) lettera d) del GDPR (o nel rispetto dell’art. 14 paragrafo 2) lettera b) del GDPR, ove applicabile), IMA ITALIA precisa che il legittimo interesse perseguito, ove necessario ed opportuno, mediante questa finalità di trattamento, consiste nel tutelare i propri diritti/interessi, anche in sede giudiziale, dinnanzi a potenziali (o presunte) condotte ritenute illecite/illegittime.

2.3. Le informazioni personali sono/possono essere trattate, da parte di IMA ITALIA, per l’esecuzione delle seguenti finalità di trattamento:

  1. Gestione/risoluzione/riscontro di/a un reclamo;

  2. Attività statistica, anche volta a migliorare la conoscenza del mercato assicurativo;

  3. Verifica della qualità dei servizi offerti (customer satisfaction), mediante un apposito questionario/intervista.

A tal riguardo, IMA ITALIA precisa che la base giuridica di ciascuna finalità di trattamento di cui all’art. 2.3. si rinviene nelle seguenti specifiche disposizioni normative: per l’esecuzione della finalità di trattamento di cui all’art. 2.3. lettera c): art. 6 paragrafo 1) lettera c) del GDPR, da leggersi, in combinato disposto (anche in via analogica, ove necessario), con il Regolamento ISVAP n. 24 del 19.5.2008; per l’esecuzione della finalità di trattamento di cui all’art. 2.3. lettera d): art. 6 paragrafo 1) lettere c) f) del GDPR, da leggersi, in combinato disposto (anche in via analogica), con il Regolamento IVASS n. 36 del 28.2.2017; per la finalità di trattamento di cui all’art. 2.3. lettera e): art. 6 paragrafo 1) lettera f) del GDPR.

Nel rispetto dell’art. 13 paragrafo 1) lettera d) del GDPR (o nel rispetto dell’art. 14 paragrafo 2) lettera b) del GDPR, ove applicabile), IMA ITALIA precisa che il legittimo interesse perseguito mediante la finalità di trattamento descritta all’art. 2.3. lettera d) consiste nel migliorare (e approfondire) la conoscenza del mercato assicurativo; invece, il legittimo interesse perseguito mediante la finalità di trattamento descritta all’art. 2.3. lettera e) consiste nel comprendere le eventuali aree/ambito di miglioramento nei servizi erogati.

2.4. Le informazioni personali sono/possono essere trattate, da parte di IMA ITALIA, per l’esecuzione della seguente finalità di trattamento:

  1. Registrazione del colloquio telefonico con un operatore che agisce in nome e per conto di IMA ITALIA.

Nel rispetto dell’art. 13 paragrafo 1) lettera d) del GDPR (o nel rispetto dell’art. 14 paragrafo 2) lettera b) del GDPR, ove applicabile), IMA ITALIA precisa che il legittimo interesse perseguito mediante la finalità di trattamento descritta all’art. 2.4. lettera f) consiste nel verificare, testimoniare ed attestare la qualità della prestazione eseguita, anche in favore di partner commerciali. A tal riguardo, IMA ITALIA precisa che la base giuridica della finalità di trattamento di cui all’art. 2.4 si rinviene nella seguente disposizione normativa: art. 6 paragrafo 1) lettera f) del GDPR.

3. Periodo di conservazione.

3.1. In ossequio all’art. 13 paragrafo 2) lettera a) del GDPR (o in ossequio all’art. 14 paragrafo 2) lettera a) del GDPR, ove applicabile), IMA ITALIA comunica i seguenti periodi/criteri temporali di conservazione, al termine dei quali le informazioni personali saranno soggette a cancellazione, distruzione ovvero anonimizzazione, a meno che risulti necessaria un ulteriore conservazione al fine di adempiere ad un onere normativo/regolamentare anche sopraggiunto ovvero al fine di tutelare/accertare un diritto/interesse, anche in sede giudiziale: (i) per l’esecuzione della (macro) finalità di trattamento di cui all’art. 2.1. lettera a): per quanto riguarda la registrazione all’applicazione software mobile in questione: sino a quando l’assicurato manifesta, con comportamenti concludenti, l’intenzione di de-registrazione ovvero sino a quando è permesso all’assicurato di utilizzare tale applicazione software mobile; per quanto riguarda la fruizione dei servizi/funzionalità messi a disposizione dall’applicazione software mobile in questione: in via generale, n. 10 anni ex art. 2220 comma 1) c.c.; (ii) per l’esecuzione della finalità di trattamento di cui all’art. 2.2. lettera b): in via generale, n. 10 anni, decorrenti dalla definitiva cessazione dell’eventuale contenzioso giudiziale/stragiudiziale (cfr. in via analogica: documento “Sistema archivistico nazionale – linee guida selezione e scarto atti”, a firma dell’Agenzia delle Entrate); (iii) per l’esecuzione della finalità di trattamento di cui all’art. 2.3. lettera c): in via generale, n. 5 anni decorrenti dalla definitiva definizione del reclamo, nel rispetto di quanto prescritto all’interno della relativa procedura organizzativa predisposta, da IMA ITALIA, in ossequio al Regolamento ISVAP n. 24 del 19.5.2008; (iv) per l’esecuzione della finalità di trattamento di cui all’art. 2.3. lettera d): in via generale, n. 2 anni; (v) per l’esecuzione della finalità di trattamento di cui all’art. 2.3. lettera e): in via generale, n. 1 anno; (vi) per l’esecuzione della finalità di trattamento di cui all’art. 2.4. lettera f): in via generale, sino a n. 3 mesi dopo la definitiva scadenza del relativo rapporto contrattuale.

4. Destinatari.

4.1. In ossequio all’art. 13 paragrafo 1) lettera e) del GDPR (o in ossequio all’art. 14 paragrafo 2) lettera b) del GDPR, ove applicabile), IMA ITALIA precisa che le informazioni personali possono essere oggetto di comunicazione, ove necessario ed opportuno, a uno o più destinatari ex art. 4 n. 9) del GDPR, così individuati, in via generale, per categoria: (i) per l’esecuzione della (macro) finalità di trattamento di cui all’art. 2.1. lettera a): soggetti autorizzati al trattamento ex artt. 4 n. 10), 29 e 32 paragrafo 4) del GDPR da IMA ITALIA (infra “soggetti autorizzati al trattamento da IMA ITALIA”); società controllate/controllanti/facenti parte del gruppo imprenditoriale di IMA ITALIA (es. IMA SERVIZI S.c.a.r.l.), nel rispetto del Considerando n. 48) del GDPR; soggetti/fornitori facenti parte, a vario titolo, della cd. catena assicurativa, meglio descritta nel Provvedimento del Garante Privacy italiano del 26.4.2007 [doc. web n. 1410057] ovvero la cui prestazione professionale (e non professionale) risulta necessaria/funzionale alla completa predisposizione/gestione del dossier/pratica assicurativo/a (es. intermediario/distributore/agente/broker; riassicuratore); società/imprese/professionisti che forniscono servizi connessi, direttamente o indirettamente, all’esecuzione della (macro) finalità di trattamento di specie (es. società ICT; LIBERTY RIDER S.a.s.; consulente legale/fiscale); IVASS; ANIA; (ii) per l’esecuzione della finalità di trattamento di cui all’art. 2.2. lettera b): soggetti autorizzati al trattamento da IMA ITALIA; società controllate/controllanti/facenti parte del gruppo imprenditoriale di IMA ITALIA (es. IMA SERVIZI S.c.a.r.l.); società/imprese/professionisti che forniscono servizi connessi, direttamente o indirettamente, all’esecuzione della finalità di trattamento di specie (es. consulente legale); (iii) per l’esecuzione della finalità di trattamento di cui all’art. 2.3. lettera c): soggetti autorizzati al trattamento da IMA ITALIA; società controllate/controllanti/facenti parte del gruppo imprenditoriale di IMA ITALIA (es. IMA SERVIZI S.c.a.r.l.); IVASS; società/imprese/professionisti che forniscono servizi connessi, direttamente o indirettamente, all’esecuzione della finalità di trattamento di specie (es. consulente legale); (iv) per l’esecuzione della finalità di trattamento di cui all’art. 2.3. lettera d): soggetti autorizzati al trattamento da parte di IMA ITALIA; società controllate/controllanti/facenti parte del gruppo imprenditoriale di IMA ITALIA (es. IMA SERVIZI S.c.a.r.l.); IVASS; (v) per l’esecuzione della finalità di trattamento di cui all’art. 2.3. lettera e): soggetti autorizzati al trattamento da parte di IMA ITALIA; società controllate/controllanti/facenti parte del gruppo imprenditoriale di IMA ITALIA (es. IMA SERVIZI S.c.a.r.l.); società/imprese/professionisti che forniscono servizi connessi, direttamente o indirettamente, all’esecuzione della finalità di trattamento di specie (es. società di customer care); (vi) per l’esecuzione della finalità di trattamento di cui all’art. 2.4. lettera f): soggetti autorizzati al trattamento da IMA ITALIA; società controllate/controllanti/facenti parte del gruppo imprenditoriale di IMA ITALIA (es. IMA SERVIZI S.c.a.r.l.); soggetti/fornitori facenti parte, a vario titolo, della cd. catena assicurativa, meglio descritta nel Provvedimento del Garante Privacy italiano del 26.4.2007 [doc. web n. 1410057] ovvero la cui prestazione professionale (e non professionale) risulta necessaria/funzionale alla completa predisposizione/gestione del dossier/pratica assicurativo/a; IVASS; società/imprese/professionisti che forniscono servizi connessi, direttamente o indirettamente, all’esecuzione della finalità di trattamento di specie (es. società ICT).

5. Trasferimento.

5.1. Le informazioni personali sono/possono essere conservate all’interno di archivi automatizzati/parzialmente automatizzati/non automatizzati appartenenti, o comunque riconducibili, anche in via indiretta, a IMA ITALIA, ed ubicati all’interno dello Spazio Economico Europeo (SEE).

6. Diritti del soggetto interessato.

6.1. In relazione alle informazioni personali, IMA ITALIA informa della facoltà di esercitare i seguenti diritti eventualmente soggetti alle ulteriori limitazioni previste dagli artt. 2 undecies e 2 duodecies del Codice Privacy: diritto di accesso ex art. 15 del GDPR: diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali, oltre che le informazioni di cui all’art. 15 del GDPR (es. finalità di trattamento, periodo di conservazione); diritto di rettifica ex art. 16 del GDPR: diritto di correggere, aggiornare o integrare i dati personali; diritto alla cancellazione ex art. 17 del GDPR: diritto di ottenere la cancellazione o distruzione o anonimizzazione dei dati personali, laddove tuttavia ricorrano i presupposti elencati nel medesimo articolo; diritto di limitazione del trattamento ex art. 18 del GDPR: diritto con connotazione marcatamente cautelare, teso ad ottenere la limitazione del trattamento laddove sussistano le ipotesi disciplinate dallo stesso art. 18; diritto alla portabilità dei dati ex art. 20 del GDPR: diritto di ottenere i dati personali, forniti a IMA ITALIA, in un formato strutturato, di uso comune e leggibile da un sistema automatico (e, ove richiesto, di trasmetterli, in modo diretto, ad un altro Titolare del trattamento), laddove sussistano le specifiche condizioni indicate dal medesimo articolo (es. base giuridica del consenso e/o esecuzione di un contratto; dati personali forniti dall’interessato); diritto di opposizione ex art. 21 del GDPR: diritto di ottenere la cessazione, in via permanente, di un determinato trattamento di dati personali; diritto di proporre reclamo all’Autorità di Controllo (ossia, Garante Privacy italiano) ex art. 77 del GDPR: diritto di proporre reclamo laddove si ritiene che il trattamento oggetto d’analisi violi la normativa nazionale e comunitaria sulla protezione dei dati personali.

6.2. In aggiunta ai diritti descritti al precedente art. 6.1., IMA ITALIA precisa che sussiste, ove possibile e conferente, la facoltà di esercitare, da un lato, il (sotto) diritto previsto dall’art. 19 del GDPR (“Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda”), da considerarsi connesso e collegato all’esercizio di uno o più diritti regolamentati agli artt. 16, 17 e 18 del GDPR; dall’altro lato, IMA ITALIA precisa che sussiste, ove possibile e conferente, la facoltà di esercitare il diritto previsto dall’art. 22 paragrafo 1) del GDPR (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”), fatte salve le eccezioni previste dal successivo paragrafo 2).

6.3. In ossequio all’art. 12 paragrafo 1) del GDPR, IMA ITALIA si impegna a fornire le comunicazioni di cui agli artt. da 15 a 22 e 34 del GDPR in forma concisa, trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice e chiaro: tali informazioni saranno fornite per iscritto o con altri mezzi eventualmente elettronici ovvero, su richiesta del soggetto interessato, saranno fornite oralmente purché sia comprovata, con altri mezzi, l’identità di quest’ultimo.

6.4. In ossequio all’art. 12 paragrafo 3) del GDPR, IMA ITALIA informa che si impegna a fornire le informazioni relative all’azione intrapresa riguardo ad una richiesta ai sensi degli artt. da 15 a 22 del GDPR senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa; tale termine può essere prorogato di n. 2 mesi se necessario, tenuto conto della complessità e del numero delle richieste (in tal caso, IMA ITALIA si impegna ad informare di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta).

6.5. I sopra descritti diritti (fatta eccezione per il diritto ex art. 77 del GDPR) possono essere esercitati mediante i dati di contatto illustrati al successivo art. 7.

7. Dati di contatto.

7.1. IMA ITALIA può essere contattata al seguente recapito: ufficioprotezionedati@imaitalia.it

7.2. Il Responsabile della protezione dei dati (DPO) ex art. 37 del GDPR, nominato dal gruppo imprenditoriale di cui fa parte IMA ITALIA, può essere contattato al seguente recapito: dpoimaitalia@imaitalia.it

Sesto S. Giovanni (MI), lì 11.9.2024 (data di ultimo aggiornamento).

IMA ITALIA ASSISTANCE S.p.A.

(in persona del suo legale rappresentante pro tempore)