Informativa sul trattamento dei dati personali effettuato nel database antifrode ANIASA

Informativa sul trattamento dei dati personali

(Regolamento Generale UE sulla protezione dei dati n. 679/2016 – Art. 13)

INDICE

Informazioni preliminari: il database antifrode di ANIASA, cosa è, come funziona e quali trattamenti di dati personali sono previsti.

Chi sono le persone fisiche i cui dati possono essere censiti e inseriti nel database antifrode della ANIASA.

A quali condizioni un cliente che stipula un contratto di noleggio di veicolo (e non lo restituisce) può essere censito nel database antifrode ANIASA.

Estremi identificativi e dati di contatto del Titolare del trattamento.

Estremi identificativi e dati di contatto del Responsabile del trattamento esterno nominato ai sensi dell’art. 28 del Regolamento 679/2016.

Misure di sicurezza predisposte a tutela degli interessati nel trattamento dei dati personali nell’ambito del database antifrode ANIASA.

Finalità del trattamento dei dati personali.

Natura dei dati personali oggetto di trattamento nel database antifrode ANIASA.

Base di legittimità del trattamento dei dati personali nell’ambito del database antifrode ANIASA.

Svolgimento della Valutazione di Impatto sulla protezione dei dati personali.

Ambito di comunicazione e diffusione dei dati personali trattati nell’ambito del database antifrode.

Tempi di conservazione dei dati personali e cancellazione delle informazioni dal database antifrode.

Esercizio dei diritti da parte dell’interessato.

Informazioni specifiche sul diritto alla portabilità dei dati personali.

Informazioni di sintesi sugli altri diritti dell’interessato.

La Associazione Nazionale Industria dell'Autonoleggio e Servizi Automobilistici (di seguito, per brevità, la “ANIASA”) informa di essere Titolare del trattamento ai sensi degli articoli 4, n. 7) e 24 del Regolamento UE 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito, “Regolamento”) dei dati personali raccolti nell’ambito della gestione centralizzata di un database con finalità antifrode come di seguito meglio chiarito ai fini di trasparenza informativa.

Informazioni preliminari: il database antifrode di ANIASA, cosa è, come funziona e quali trattamenti di dati personali sono previsti.

ANIASA è l’Associazione che rappresenta nel sistema Confindustria le imprese che svolgono attività di noleggio veicoli, car sharing e servizi collegati alla mobilità. Le imprese associate svolgono attività di locazione a breve termine, noleggio a lungo termine; gestione di flotte aziendali (fleet management); locazione di veicoli industriali; car sharing; soccorso stradale, servizi attinenti la mobilità, autorimesse e parcheggi. Le imprese nazionali e internazionali associate ad ANIASA (40 imprese socie ordinarie, 16 imprese socie aggregate e 3 imprese in adesione tecnica) rappresentano il 96% del settore automotive: per maggiore trasparenza ai fini della presente Informativa si fornisce il link all’elenco delle imprese associate.

Per contrastare l’allarmante fenomeno che da anni interessa il settore dell’autonoleggio, e cioè la crescita esponenziale di appropriazioni indebite e furti di veicoli noleggiati, frodi e falsificazione di documenti, fino al furto di identità, la ANIASA – anche in nome e per conto di tutte le imprese ad essa associate – ha presentato all’Autorità Garante per la protezione dei dati personali - nell’ambito della procedura di interpello preventivo all’epoca vigente ai sensi del Codice della privacy – un progetto per la costituzione di un database antifrode centralizzato, i cui meccanismi di funzionamento e trattamenti di dati personali sono meglio illustrati oltre nella presente Informativa.

Riconoscendo che “muovendo dalle specificità del settore e dalla peculiarità dei servizi offerti, dai numerosi e onerosi rischi gravanti sulle società di autonoleggio – comprovati da abbondante documentazione e tali da compromettere l´ordinario svolgimento delle attività del settore, condizionando fortemente le strategie di mercato e le politiche occupazionali dei singoli operatori economici − possa eccezionalmente prevedersi la costituzione di una siffatta banca di dati”, con il Provvedimento Prot. 0038953 del 30 Novembre 2017 l’Autorità Garante per la protezione dei dati personali ha riconosciuto l’interesse legittimo e il bilanciamento di interessi rispetto ai trattamenti di dati personali svolti nell’ambito e mediante il database antifrode.

La banca di dati sopra richiamata viene gestita a livello centralizzato da ANIASA, mentre tutte le imprese associate (in qualità di “partecipanti” al sistema e autonomi Titolari del trattamento) la alimentano con i dati relativi a propri clienti che, nel tempo e a vario titolo, non abbiano provveduto alla restituzione dei veicoli noleggiati (o perché se ne appropriano indebitamente o perché da oggettive risultanze incontrovertibili viene denunciato un finto furto del veicolo o perché in sede di stipula del contratto di noleggio i documenti presentati dal cliente si rivelano falsi). L´iscrizione dei nominativi e degli altri dati avviene solo sulla base dei presupposti e alle condizioni indicate da ANIASA in rigorose Linee Guida interne che sono state redatte a tutela degli interessati cui si riferiscono i dati personali che possono confluire nel database antifrode e che le imprese associate si sono formalmente impegnate a rispettare, quali autonomi titolari del trattamento. Ai fini della più trasparente informazione, ANIASA fornisce il link al testo delle Linee Guida e procedure operative per i trattamenti di dati personali svolti mediante il database antifrode centralizzato della ANIASA.

Chi sono le persone fisiche i cui dati possono essere censiti e inseriti nel database antifrode della ANIASA.

Possono essere censiti nel database antifrode esclusivamente i soggetti che richiedono formalmente la stipula di un contratto di noleggio e/o che siano già parte di un valido e vigente rapporto contrattuale di noleggio con l’azienda locatrice. Ovviamente il censimento non è automatico e non riguarda affatto ogni singolo cliente che stipula un contratto di noleggio, ma esclusivamente:

  1. i soggetti che al termine del periodo di noleggio non restituiscono la vettura né si presentano alla stazione di noleggio convenuta per la riconsegna senza dare motivazione della mancata restituzione del veicolo e senza contattare l’azienda locatrice del veicolo per dare spiegazioni;
  2. i soggetti che al termine del periodo di noleggio non restituiscono la vettura, lamentandone il furto, e che abbiano trasmesso alla azienda locatrice del veicolo apposita denuncia alle autorità competenti contenente: i dati anagrafici del denunciante, la dinamica dei fatti, la tipologia dell’autovettura noleggiata, l’azienda proprietaria del veicolo noleggiato;
  3. i soggetti per i quali, successivamente alla stipula del contratto di noleggio, sia documentata – attraverso esiti incontrovertibili  di controlli presso pubblici registri svolti dalla azienda locatrice o attraverso altri oggettivi riscontri documentali – la presentazione in sede di stipula del contratto di noleggio di documenti di circolazione e/o di riconoscimento falsi o falsificati;
  4. i soggetti per i quali, successivamente alla stipula del contratto di noleggio, sia documentato – attraverso esiti incontrovertibili  di controlli presso pubblici registri svolti dalla azienda locatrice o attraverso altri oggettivi riscontri documentali –  il furto di identità di terzi soggetti (con esclusione dell’inserimento nel database dei dati personali della persona che ha subito il furto di identità);
  5. i soggetti eventualmente indicati dai soli soggetti di cui al precedente n. 1 in sede di stipula del contratto di noleggio quali possibili seconde guide.

A quali condizioni un cliente che stipula un contratto di noleggio di veicolo (e non lo restituisce) può essere censito nel database antifrode ANIASA.

Prima di procedere alla segnalazione dei soggetti sopra elencati nel database antifrode di ANIASA, le aziende associate sono tenute a conformarsi alla seguente procedura. In primo luogo, come principio di carattere generale, è vietato inserire automaticamente i dati dei soggetti elencati in base al mero accadimento oggettivo della mancata restituzione del veicolo e in assenza dei presupposti di seguito specificati.

Con riferimento ai soli soggetti sub nn. 1 e 2 sopra elencati, quando un veicolo non ritorna nella disponibilità della società di noleggio proprietaria, la stessa si attiva immediatamente contattando (ai recapiti contrattuali) il cliente parte del contratto di noleggio per chiedere spiegazioni. Parallelamente, l’azienda locatrice toglie la vettura dalla disponibilità della flotta, comunica la avvenuta perdita del veicolo alla casa madre e procede ad attivare la procedura amministrativa di perdita di possesso.

L’azienda locatrice potrà attivare la procedura di segnalazione nel database antifrode centralizzato di ANIASA esclusivamente al verificarsi di tutte le condizioni che seguono:

  1. non è stato possibile contattare il cliente parte del contratto di noleggio avente ad oggetto la vettura non restituita (ad esempio nei casi di recapiti contrattuali rivelatisi falsi o inesistenti o – nel caso di recapiti elettronici - disattivati o non funzionanti); oppure
  2. il cliente contattato non ha risposto o si è reso irreperibile; oppure
  3. il cliente contattato ha dato informazioni contrastanti con le evidenze tecniche (es: dati di ultima localizzazione del veicolo dotato di antifurto satellitare in contrasto con le affermazioni del cliente);
  4. la azienda locatrice ha presentato alle autorità competenti una denuncia per appropriazione indebita;
  5. sono state espletate tutte le verifiche preventive e di ricerca del veicolo e le procedure di comunicazione e perdita di possesso del veicolo;
  6. sono trascorsi non meno di trenta giorni dalla mancata restituzione del veicolo.

Con riferimento ai soggetti sub n. 2 che al termine del periodo di noleggio non restituiscono la vettura, lamentandone il furto, e che abbiano trasmesso alla azienda locatrice del veicolo apposita denuncia alle autorità competenti, onde evitare che siano segnalati nel database antifrode soggetti che effettivamente hanno subito il furto del veicolo (e sono ad esso estranei) e la cui denuncia non rappresenta effettivamente un tentativo di nascondere una reale responsabilità per un evento criminoso, l’azienda locatrice dovrà preliminarmente verificare che siano documentati almeno due dei seguenti presupposti:

  1. il soggetto in questione ha stipulato nei sei mesi precedenti all’ultima denuncia di furto contratti di locazione di veicoli con la stessa o con più aziende associate locatrici ed ha presentato almeno due precedenti denunce di furto del veicolo noleggiato;
  2. il soggetto in questione formula nella denuncia dichiarazioni successivamente smentite dagli accertamenti svolti dalle autorità competenti per le indagini sul furto denunciato;
  3. il soggetto in questione denuncia di aver subito il furto del veicolo in una determinata città o territorio e tale asserzione è successivamente e incontrovertibilmente smentita all’esito di verifiche tecniche svolte dall’azienda locatrice, come nel caso di eventuali antifurti satellitari che collochino il veicolo – nel momento del furto come dichiarato dal denunciante – in una zona/città/regione diversi;
  4. il soggetto in questione denuncia il furto del medesimo veicolo contemporaneamente in più regioni e a più competenti autorità (es. Polizia, Carabinieri, Guardia di Finanza).

Nel caso in cui l’azienda locatrice verifichi almeno due dei presupposti sopra elencati, essa dovrà comunque procedere agli ulteriori adempimenti di cui alle lettere da (a) a (f) sopra elencate e solo all’esito potrà segnalare nel database antifrode i soggetti che al termine del periodo di noleggio non restituiscono la vettura e presentano idonea denuncia di furto alle autorità.

Con riferimento ai soggetti sub. n. 3  per i quali, successivamente  alla stipula del contratto di noleggio, sia documentata – attraverso esiti incontrovertibili  di controlli presso pubblici registri svolti dalla azienda locatrice o attraverso altri oggettivi riscontri documentali – la presentazione in sede di stipula del contratto di noleggio di documenti di circolazione e/o di riconoscimento falsi o falsificati (indipendentemente dal fatto che la vettura sia stata riconsegnata o meno al termine del periodo contrattuale di noleggio), l’azienda locatrice associata potrà attivare la procedura di segnalazione nel database antifrode esclusivamente al verificarsi di tutte le condizioni che seguono:

  1. non è stato possibile contattare il cliente parte del contratto di noleggio a causa di dati anagrafici, documenti o recapiti contrattuali rivelatisi falsi; oppure
  2. il cliente contattato non ha risposto o si è reso irreperibile;
  3. la azienda locatrice ha presentato alle autorità competenti una denuncia per falso.

Con riferimento ai soggetti sub. n. 4 per i quali, successivamente  alla stipula del contratto di noleggio, sia documentato – attraverso esiti incontrovertibili  di controlli presso pubblici registri svolti dalla azienda locatrice o attraverso altri oggettivi riscontri documentali –  il furto di identità di terzi soggetti (indipendentemente dal fatto che la vettura sia stata riconsegnata o meno al termine del periodo contrattuale di noleggio), l’azienda locatrice associata potrà attivare la procedura di segnalazione nel database antifrode esclusivamente al verificarsi di tutte le condizioni che seguono:

  1. non è stato possibile contattare il cliente parte del contratto di noleggio a causa di dati anagrafici, documenti o recapiti contrattuali rivelatisi falsi; oppure
  2. il cliente contattato non ha risposto o si è reso irreperibile;
  3. sono stati acquisiti i dati anagrafici reali del soggetto che ha presentato documenti falsi;
  4. la azienda locatrice ha presentato alle autorità competenti una denuncia per furto di identità;
  5. è stata fatta una comunicazione al soggetto che ha subito il furto di identità, verificando se questi abbia a sua volta presentato una denuncia di furto di identità alle competenti autorità.

Nel caso non sia stato possibile acquisire i dati anagrafici reali del soggetto che ha presentato documenti falsi, potranno essere segnalati nel database antifrode i soli riferimenti contrattuali, con divieto – in ogni caso – di inserire nel database i dati anagrafici o altre informazioni non anonimizzate che rendano identificato o identificabile il soggetto che ha subito il furto di identità.

Con riferimento ai soggetti eventualmente indicati in sede di stipula del contratto di noleggio quali seconde guide, ed esclusivamente nei casi che tale indicazione sia stata effettuata dai titolari di un contratto di noleggio che al termine del periodo di noleggio non restituiscono la vettura né si presentano alla stazione di noleggio convenuta per la riconsegna senza dare motivazione della mancata restituzione del veicolo e senza contattare l’azienda locatrice del veicolo per dare spiegazioni, l’azienda locatrice associata potrà attivare la procedura di segnalazione nel database antifrode esclusivamente al verificarsi di tutte le condizioni che seguono:

  1. non è stato possibile contattare il soggetto indicato come seconda guida (ad esempio nei casi di recapiti contrattuali e/o documenti ad esso relativi rivelatisi falsi); oppure
  2. il soggetto indicato come seconda guida contattato non ha risposto o si è reso irreperibile; oppure
  3. il soggetto indicato come seconda guida contattato ha dato informazioni sulla mancata restituzione da parte del titolare del contratto di noleggio contrastanti con le evidenze tecniche (es: dati di ultima localizzazione del veicolo dotato di antifurto satellitare in contrasto con le affermazioni del soggetto indicato come seconda guida);
  4. la azienda locatrice ha presentato alle autorità competenti una denuncia per appropriazione indebita avverso il titolare del contratto di noleggio nella quale sia menzionato anche il soggetto indicato come seconda guida nel contratto;
  5. sono state espletate tutte le verifiche preventive e di ricerca del veicolo e le procedure di comunicazione e perdita di possesso del veicolo;
  6. sono trascorsi non meno di trenta giorni dalla mancata restituzione del veicolo.

Con riferimento alla verifica preventiva della sussistenza di tutti i presupposti per l’inserimento dei dati personali nel database antifrode come previsto dalla presente Linea Guida, ciascuna azienda associata deve mantenere idonea ed aggiornata documentazione giustificativa delle scelte atta a dimostrare e motivare, per ogni inserimento, l’avvenuta verifica preliminare dei presupposti.

Estremi identificativi e dati di contatto del Titolare del trattamento.

Come richiesto dalle Linee Guida in materia di trasparenza WP 260/2017, si forniscono in prima battuta gli estremi identificativi del Titolare del trattamento dei dati e tutte le informazioni per contattarlo rapidamente.

Associazione Nazionale Industria dell'Autonoleggio e Servizi Automobilistici

Sede legale: Via del Poggio Laurentino, 11 - 00144 Roma

Tel: 06 9969579 r.a. – Segreteria +39 06 99695713 (dir.)

Fax +39 06 5919955 –

Email: aniasa@aniasa.it

PEC: aniasa@pec.aniasa.it.

Sito web: www.aniasa.it

Si informa che Titolare del trattamento è ANIASA, limitatamente alle operazioni di coordinamento e gestione del database antifrode centralizzato, mentre le imprese di autonoleggio associate e partecipanti al sistema, per parte loro, agiscono come autonomi Titolari del trattamento per le operazioni connesse all´alimentazione e consultazione reciproca del database antifrode centralizzato di ANIASA. Ciascuna impresa associata è tenuta a rendere la propria specifica Informativa ai sensi dell’articolo 13 del Regolamento circa i trattamenti dei dati dei clienti che – verificandosi i presupposti indicati – sono censiti per scelta dell’impresa nel database antifrode centralizzato della ANIASA.

Estremi identificativi e dati di contatto del Responsabile del trattamento esterno nominato ai sensi dell’art. 28 del Regolamento 679/2016.

L’infrastruttura tecnologica sulla quale risiede il database centralizzato di ANIASA, nonché i servizi di gestione tecnica del database e l’implementazione delle misure di sicurezza richieste dall’articolo 32 del Regolamento 679/2016 sono forniti dalla società Interlogica S.r.l., contrattualizzata e nominata Responsabile esterno del trattamento, come previsto dall’articolo 28 del Regolamento.

I relativi dati di contatto del Responsabile esterno del trattamento sono i seguenti:

Interlogica S.r.l

Sede legale: Via Miranese, 91 - 30174 Mestre VE - Italia

Tel:   +39 041 53 54 800

Email: info@interlogica.it

PEC: interlogica@legalmail.it

Sito web: www.interlogica.it

Misure di sicurezza predisposte a tutela degli interessati nel trattamento dei dati personali nell’ambito del database antifrode ANIASA.

ANIASA, tramite il fornitore esterno sopra indicato,  ha adottato misure tecniche, logiche, informatiche, procedurali, fisiche ed organizzative secondo le modalità previste dall’articolo 32 del Regolamento n. 679/2016 idonee ad assicurare la sicurezza, l'integrità e la riservatezza dei dati personali e delle comunicazioni elettroniche interne in conformità alla disciplina in materia di protezione dei dati personali.

Tali misure sono volte a garantire il corretto e regolare funzionamento del database antifrode e, nonchè il controllo degli accessi (questi ultimi sono registrati e memorizzati nel sistema informativo). In particolare:

  1. a) tutti gli accessi al database antifrode ed alla piattaforma web che lo ospita sono basati su una connessione sicura di tipo https criptata;
  2. b) qualsiasi accesso verso http è ridiretto al link principale su protocollo https, rendendo di fatto impossibile le connessioni non criptate;
  3. c) qualsiasi accesso alla piattaforma e al database è condizionato all’inserimento di una login di un pin/password e di una chiave RSA autenticata da un server RADIUS (RSA SecurID è un meccanismo per eseguire la cosiddetta two-factor authentication per un utente di un sistema informativo, basata sull’inserimento di userd ID, pin e One Time Password criptata generata da token);
  4. d) un firewall attivo su server dedicato disabilita tutte le porte d’accesso non consentite e permette una tracciabilità costante di tutti gli accessi autorizzati; nel caso di tentativi di accessi non consentiti, questi sono tracciati e di ciò sarà sempre informato il responsabile della sicurezza di ANIASA;
  5. e) non è possibile in alcun modo accedere dall’esterno al database antifrode;
  6. g) tutti i backup sono conservati in formato compresso e criptato in determinate aree del server non accessibili.

Finalità del trattamento dei dati personali.

Mediante il database anti-frode ed i relativi trattamenti di dati personali ANIASA persegue esclusivamente le seguenti finalità:

  1. a) tutelare le aziende associate ad ANIASA attraverso la costituzione di uno strumento informativo centralizzato e coordinato per difendere gli interessi aziendali di protezione del patrimonio e per prevenire e contrastare furti, frodi e appropriazioni indebite che colpiscono il parco veicoli delle aziende di autonoleggio;
  2. b) disporre di un patrimonio informativo affinchè le singole aziende associate possano autonomamente definire la pianificazione di opportune strategie complessive a livello nazionale e/o locale e di politiche operative sul proprio parco veicoli (non sulla clientela censita nel database o sui rapporti contrattuali con questa) in termini di sicurezza: la finalità principale del database antifrode è consentire alle aziende associate di operare scelte relative alla propria flotta (e non ai propri clienti censiti nel database) che consentano di ridurre al massimo il rischio dell’ evento criminoso (ad esempio, in aree dove le vetture risultano essere appetibili per le organizzazioni criminali, le risultanze del database possono consentire di destinare vetture di marche meno ricercate e meno soggette al tentativo fraudolento);
  3. c) impedire il fenomeno del “nomadismo delinquenziale” per cui 1) i medesimi soggetti o le organizzazioni criminali che si sono già resi responsabili di reati in danno di una delle compagnie associate possono “colpire” anche altre aziende di noleggio che, in assenza di uno strumento informativo preventivo come il database antifrode, non potrebbero conoscere l’avvenuta perpetrazione dei reati di furto o appropriazione indebita di veicoli; 2) i medesimi soggetti o le organizzazioni criminali che si sono già resi responsabili di reati in danno di una delle compagnie associate in un determinato territorio regionale possono “colpire” la medesima azienda associata semplicemente spostandosi e richiedendo altrove il noleggio di veicoli;
  4. d) perseguire finalità di natura statistica per la redazione di report interni o istituzionali (es: Rapporti Annuali della ANIASA) attraverso il trattamento dei dati archiviati nel database antifrode, purchè – prima dell’utilizzo a fini statistici – essi siano opportunamente anonimizzati in modo che il trattamento aggregato delle informazioni non consenta in alcun modo di risalire a interessati identificati o identificabili;
  5. e) far valere o difendere un diritto in sede giudiziaria attraverso l’utilizzo delle informazioni archiviate nel database antifrode, in conformità alla normativa applicabile;
  6. f) disporre di un patrimonio informativo ai fini di cooperazione – ove richiesta – con le autorità di pubblica sicurezza nei loro compiti istituzionali di prevenzione e contrasto di fenomeni criminali e terroristici ed in base al quadro normativo applicabile.

La ANIASA, per ulteriore trasparenza informativa, specifica che tutti i partecipanti al sistema non effettuato trattamenti finalizzati a prendere decisioni circa particolari politiche commerciali, condizioni contrattuali o tariffarie da applicare a tali soggetti censiti, né procedono a profilare la clientela o a perseguire scopi di marketing e/o comunque incompatibili con le finalità esclusive sopra elencate.

Natura dei dati personali oggetto di trattamento nel database antifrode ANIASA.

ANIASA e le singole imprese associate quali autonomi Titolari del trattamento, raccolgono e trattano nel database esclusivamente dati personali comuni. E’ escluso e vietato il trattamento di dati personali di particolare natura e di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Possono essere archiviati nel database antifrode – autonomamente da ciascuna singola azienda locatrice associata – i seguenti dati personali comuni.

Con riferimento ai soggetti destinatari di una denuncia di appropriazione indebita e ai soggetti che abbiano denunciato il furto del veicolo noleggiato, purchè legittimamente segnalati in base ai presupposti illustrati nella presente Informativa, sono archiviati nel database antifrode i seguenti dati personali comuni:

  • Cognome
  • Nome
  • Comune – provincia e Stato di nascita
  • Data di nascita
  • Sesso
  • Indirizzo/Residenza
  • Nazionalità
  • Codice Fiscale
  • Numero patente – data rilascio e scadenza
  • Noleggi effettuati in precedenza
  • Dati del contratto di noleggio
  • Luogo inizio del noleggio
  • Data inizio noleggio
  • Prenotato (SI/NO)
  • Luogo di riconsegna previsto dal contratto
  • Data prevista di riconsegna
  • Tipo di pagamento
  • Tipo di carta di credito
  • Numero della carta di credito utilizzata
  • Tipo di noleggio (giornaliero/settimanale)
  • Tipo di cliente (individuale/azienda)
  • Dati della denuncia di furto presentata dal cliente
  • Luogo della denuncia
  • Cognome del denunciante
  • Data della denuncia
  • Autorità che ha raccolto e verbalizzato la denuncia

Con riferimento:

  1. ai soggetti per i quali, successivamente  alla stipula del contratto di noleggio, sia documentata – attraverso esiti incontrovertibili  di controlli presso pubblici registri svolti dalla azienda locatrice o attraverso altri oggettivi riscontri documentali – la presentazione in sede di stipula del contratto di noleggio di documenti di circolazione e/o di riconoscimento falsi o falsificati;
  2. ai soggetti per i quali, successivamente  alla stipula del contratto di noleggio, sia documentato – attraverso esiti incontrovertibili  di controlli presso pubblici registri svolti dalla azienda locatrice o attraverso altri oggettivi riscontri documentali –  il furto di identità di terzi soggetti;
  3. ai soggetti eventualmente indicati dai soli soggetti di cui al precedente n. 1 in sede di stipula del contratto di noleggio quali eventuali seconde guide

sono archiviati nel database antifrode – autonomamente da ciascuna singola azienda locatrice associata e fermi restando gli obblighi procedurali e i presupposti illustrati nella presente Informativa – i seguenti dati personali comuni:

  • Cognome
  • Nome
  • Comune – provincia e Stato di nascita
  • Data di nascita
  • Sesso
  • Indirizzo/Residenza
  • Nazionalità
  • Codice Fiscale
  • Numero patente – data rilascio e scadenza
  • Dati del contratto di noleggio
  • Luogo inizio del noleggio
  • Data inizio noleggio
  • Prenotato (SI/NO)
  • Tipo di noleggio (giornaliero/settimanale)
  • Tipo di cliente (individuale/azienda)
  • Avvenuta  presentazione di  una denuncia di furto di identità e/o di falso presentata dall’azienda locatrice (SI/NO), con esclusione del caricamento della denuncia medesima nel sistema
  • Luogo della denuncia
  • Data della denuncia
  • Autorità che ha raccolto e verbalizzato la denuncia dell’azienda locatrice

Base di legittimità del trattamento dei dati personali nell’ambito del database antifrode ANIASA.

In tutti i casi sopra illustrati ai paragrafi sulle finalità del trattamento e sugli ambiti di comunicazione, viste le basi giuridiche di cui all’art. 6 del Regolamento, la ANIASA non ha l’obbligo di acquisire lo specifico consenso al trattamento dell’Interessato. Tutti i trattamenti sopra illustrati perseguono infatti finalità per le quali il Regolamento esclude la necessità di acquisire un consenso specifico, applicandosi in alternativa differenti basi giuridico-legali che legittimano e rendono lecito il trattamento in assenza di consenso.

Si tratta in particolare della base giuridica del legittimo interesse ai sensi ell’articolo 6, comma 1, lettera (f) del Regolamento 679/2016 come riconosciuto nel Provvedimento dell’Autorità Garante per la protezione dei dati personali che – pur emesso in base al Codice della privacy – è del tutto compatibile con i vigenti principi del Regolamento.

Una ulteriore base di legittimità del trattamento potrebbe essere poi quella di adempiere ad un obbligo legale ai sensi dell’articolo 6, comma 1, lettera (c) del Regolamento 679/2016: ciò con particolare riferimento ad obblighi di comunicazione dei dati dei soggetti censiti ad Autorità di Pubblica Sicurezza in ottemperanza agli obblighi di collaborazione tra soggetti privati e autorità pubbliche cui fa ampio riferimento, sia pure in altro contesto, il d.l. 20 febbraio 2017, n. 14 (convertito nella l. 18 aprile 2017, n. 48).

Infine, ANIASA tratta i dati dei soggetti censiti anche per far valere o difendere nelle apposite sedi giudiziarie i propri diritti, ad esempio a seguito di costituzione di parte civile in giudizi penali o per la tutela delle imprese associate a seguito delle denunce presentate da queste ultime all’Autorità Giudiziaria.

Svolgimento della Valutazione di Impatto sulla protezione dei dati personali.

Quando un tipo di trattamento, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali che descrive sistematicamente i trattamenti previsti, le finalità del trattamento, l'interesse legittimo perseguito dal titolare del trattamento; una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; una valutazione dei rischi per i diritti e le libertà degli interessati e le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Come consentito dalle Linee Guida WP 248 sulla DPIA (“la DPIA non è obbligatoria se il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche”), la ANIASA non ha svolto alcuna Valutazione di Impatto poiché con il Provvedimento Prot. 0038953 del 30 Novembre 2017 l ‘Autorità Garante per la protezione dei dati personali ha prescritto ad ANIASA - all’esito della valutazione dei rischi per i diritti e le libertà degli interessati - le misure per affrontare i rischi connessi ai trattamenti nell’ambito del database antifrode, indicando le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali, tenuto conto dei diritti e degli interessi legittimi degli interessati e del legittimo interesse – che ha riconosciuto prevalente – della ANIASA.

Ambito di comunicazione e diffusione dei dati personali trattati nell’ambito del database antifrode.

La ANIASA non comunicherà i dati personali tratti nell’ambito del database antifrode soggetti esterni, fatta salva la loro eventuale messa a disposizione ai soggetti preposti ad averne cognizione in base alla legge (come l’Autorità di Pubblica Sicurezza o l’Autorità Giudiziaria).

Si specifica che non costituisce comunicazione all’esterno la messa a disposizione dei dati personali nei confronti del Responsabile esterno del trattamento, degli autonomi Titolari del trattamento (le imprese associate) e delle persone autorizzate al trattamento abilitate all’accesso al sistema.

I dati personali tratti nell’ambito del database antifrode non saranno oggetto di alcuna diffusione.

Tempi di conservazione dei dati personali e cancellazione delle informazioni dal database antifrode.

I dati personali comuni archiviati nel database antifrode gestito dalla ANIASA ed alimentato dalle segnalazioni delle singole aziende associate sono conservati:

  1. per il tempo strettamente necessario alla singola impresa di autonoleggio per chiarire la posizione degli interessati. Al termine di tale periodo, ogni singola società comunica immediatamente tale circostanza ad ANIASA, che provvede alla tempestiva cancellazione dei dati personali dal database, con possibilità di una loro ulteriore conservazione, previa trasposizione su diverso supporto e in forma opportunamente anonimizzata, per le sole finalità statistiche proprie dell´associazione;
  2. per il tempo necessario per far valere o difendere in giudizio i diritti della singola associata – e fino alla definizione dei relativi procedimenti giudiziari penali ed eventualmente civili – relativamente ai soggetti formalmente destinatari di una denuncia di appropriazione indebita, di furto di identità o di falso documentale presentata dall’azienda locatrice associata;
  3. fino alla definizione dei relativi procedimenti giudiziari attivati in seguito alla denuncia di furto presentata dai soggetti che al termine del periodo di noleggio non restituiscono la vettura, lamentandone il furto, che abbiano trasmesso la denuncia alla azienda locatrice del veicolo e che siano stati inseriti nel database antifrode in base agli specifici presupposti illustrati nella presente Informativa;
  4. fino alla definizione dei relativi procedimenti giudiziari attivati in seguito alla denuncia di furto di identità eventualmente presentata nei confronti dell’autore del furto di identità da un terzo estraneo che la ha subita (e i cui dati personali non possono essere oggetto di segnalazione e trattamento nel database antifrode);
  5. per un massimo di 180 giorni, con riferimento ai dati personali delle seconde guide (che si ricorda possono essere segnalati dall’azienda associata solo se seconde guide nell’ambito di contratti di noleggio aventi ad oggetto veicoli poi non restituiti ed oggetto di appropriazione indebita), a meno che tali soggetti non siano chiamati in correità e/o rinviati a giudizio, applicandosi in tal caso i diversi termini di conservazione che precedono.

Con cadenza almeno mensile ciascuna azienda associata procede alla verifica dei dati personali da essa precedentemente comunicati e inseriti nel database antifrode al fine di garantire un continuo aggiornamento e l’esattezza e pertinenza dei dati personali precedentemente oggetto di segnalazione. All’esito di ogni verifica mensile, l’azienda associata trasmette ad ANIASA una comunicazione via PEC nella quale dichiara se i dati personali oggetto di precedente segnalazione sono aggiornati, esatti e pertinenti (indicando ad ANIASA  – in caso contrario – le integrazioni, correzioni, rettifiche o cancellazioni da effettuare) e se sono scaduti o meno i termini di conservazione.

Nel caso in cui i relativi procedimenti giudiziari siano stati definiti con la condanna definitiva – in sede civile o penale (per appropriazione indebita, furto, falso documentale, furto di identità o altri reati come qualificati dall’Autorità Giudiziaria) – dei soggetti segnalati nel database antifrode, i dati personali comuni già censiti nel database sono ulteriormente conservati per cinque anni, salvo estinzione dell’illecito o riabilitazione in più breve periodo.

 Nei casi in cui si verifichino i seguenti eventi (che comunque non riguardano trattamenti di dati personali svolti nel database antifrode):

  1. a) i relativi procedimenti giudiziari penali nei confronti dei soggetti precedentemente censiti nel database antifrode siano stati definiti con la richiesta di archiviazione da parte del PM, o con assoluzione definitiva perché il fatto non sussiste o perché il fatto non costituisce reato o si siano estinti per prescrizione;
  2. b) i relativi ed eventuali procedimenti giudiziari civili nei confronti dei soggetti precedentemente censiti nel database antifrode siano stati definiti con rigetto definitivo della domanda avanzata dall’azienda locatrice e/o da terzi;
  3. c) sia trascorso il termine quinquennale in caso di sentenza definitiva di condanna, salvo estinzione dell’illecito o riabilitazione in più breve periodo;
  4. d) siano scaduti i termini di conservazione dei dati personali delle seconde guide;
  5. e) a seguito della presentazione di una denuncia per appropriazione indebita da parte dell’azienda associata locatrice, il soggetto denunciato – precedentemente irreperibile o che non abbia risposto alle richieste dell’azienda – contatti l’azienda chiarendo la sua posizione e restituendo il veicolo e l’azienda locatrice proceda al ritiro della denuncia;
  6. f) a seguito della presentazione di una denuncia per furto presentata dall’intestatario del contratto di noleggio, venga individuato l’effettivo autore del reato (i cui dati personali comuni potranno essere censiti nel database antifrode) e sia acclarata l’estraneità del denunciante;
  7. g) si verifichi ogni altro evento che rende non più necessario – rispetto alle finalità del database antifrode – il trattamento dei dati personali dei soggetti censiti o comunque perseguiti definitivamente gli scopi del trattamento;

in tali casi ANIASA, di intesa con l’azienda associata interessata, procede alla cancellazione dei dati personali degli interessati dal database antifrode entro al massimo 15 giorni dal verificarsi di uno degli eventi sopra elencati. Prima dell'eliminazione dei dati dal sistema nei termini indicati ANIASA può trasporre i dati su altro supporto, ai fini della conservazione esclusivamente in relazione alla loro elaborazione statistica in forma anonima per la redazione dei Rapporti Annuali dell’associazione.

Esercizio dei diritti da parte dell’interessato.

Ai sensi degli articoli 13, comma 2, lettere (b) e (d), da 15 a 22 del Regolamento, si informa l’interessato che:

  1. ha il diritto di chiedere alla ANIASA l'accesso ai dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, nei casi previsti;
  2. ha il diritto di proporre – in Italia - un reclamo al Garante per la protezione dei dati personali, se Autorità competente, seguendo le procedure e le indicazioni pubblicate sul sito web ufficiale dell’Autorità su garanteprivacy.it;
  3. in alternativa, ha diritto di proporre un reclamo ad altra competente Autorità privacy europea ubicata nel luogo di abituale residenza o domicilio in Europa di chi contesta una violazione dei propri diritti, seguendo le procedure e le indicazioni del caso.

L’esercizio dei diritti non è soggetto ad alcun vincolo di forma ed è gratuito. Solo in caso di richiesta di ulteriori copie dei dati richieste dall'interessato, la ANIASA potrà addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune. Lo specifico indirizzo della ANIASA per trasmettere istanze di esercizio dei diritti come riconosciuti dal Regolamento è il seguente: aniasa@aniasa.it. Non sono richieste altre formalità. Il riscontro verrà dato nei termini previsti dall’articolo 12, comma 3 del Regolamento (“Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato”)

In base a quanto previsto dalle Linee Guida in materia di trasparenza WP 260/2017 emanate dal Gruppo dei Garanti UE, nella indicazione dei diritti dell’interessato il titolare del trattamento deve specificare un sommario/sintesi di ciascun diritto in questione e deve fornire separate indicazioni sul diritto alla portabilità.

Informazioni specifiche sul diritto alla portabilità dei dati personali.

La ANIASA informa l’interessato circa lo specifico diritto alla portabilità. L’articolo 20 del Regolamento generale sulla protezione dei dati introduce il nuovo diritto alla portabilità dei dati. Tale diritto consente all’interessato di ricevere i dati personali forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e a certe condizioni - di trasmetterli a un altro titolare del trattamento senza impedimenti.

Sono portabili i soli dati personali che (a) riguardano l’interessato, e (b) sono stati forniti dall’interessato alla ANIASA; (c) sono trattati elettronicamente nell’ambito della stipula di un contratto o sulla base del consenso dell’interessato.

Di conseguenza, essendo diversa dal contratto e dal consenso dell’interessato la base giuridica del trattamento dei dati personali dell’interessato nell’ambito del database antifrode della ANIASA, il diritto alla portabilità non si applica e non è esercitabile.

Informazioni di sintesi sugli altri diritti dell’interessato.

Il Regolamento conferisce all’interessato una serie di diritti che ai sensi delle Linee Guida sulla Trasparenza WP 260 è obbligatorio riassumere nel loro contenuto principale all’interno dell’informativa. Di seguito tali diritti si riassumono e sintetizzano:

Diritto di accesso (ai soli propri dati personali): diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che riguardano l’interessato e in tal caso, di ottenere l'accesso ai dati personal e di essere informato sulle finalità del trattamento; sulle categorie di dati personali in questione; sui  destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; quando possibile, sul periodo di conservazione dei dati personali previsto oppure, se non è possibile, sui criteri utilizzati per determinare tale periodo; qualora i dati non siano stati raccolti presso l'interessato, diritto a ricevere tutte le informazioni disponibili sulla loro origine; diritto a ricevere l’informazione sulla esistenza di un processo decisionale automatizzato, compresa la profilazione e le informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Diritto di rettifica e integrazione: L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa. ll titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.

Diritto alla cancellazione:  l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo (e ove non sussistano le specifiche ragioni dell’art. 17 comma 3 del Regolamento che al contrario sollevano il titolare dall’obbligo di cancellazione) se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; oppure se l'interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento; oppure se l'interessato si oppone al trattamento a scopi marketing o profilazione, anche revocando il consenso ; se i dati personali sono stati trattati illecitamente o riguardano informazioni raccolte presso minori, in violazione dell’art. 8 del Regolamento. ll titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali cancellazioni salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.

Diritto alla limitazione del trattamento: l'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento (cioè, ai sensi della definizione di “limitazione del trattamento” fornita dall’articolo 4 del Regolamento: “il il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro”)  quando ricorre una delle seguenti ipotesi: l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali; il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; l'interessato si è opposto al trattamento  marketing, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato. Se il trattamento è limitato tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante L'interessato che ha ottenuto la limitazione del trattamento è informato dal titolare del trattamento prima che detta limitazione sia revocata. ll titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali limitazioni, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.

Diritto di opposizione: l'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano svolto dal titolare o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento o svolto per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (ivi inclusa la profilazione). Inoltre l'interessato, qualora i dati personali siano trattati per finalità di marketing diretto o di profilazione commercial, ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità.

Diritto di non essere sottoposto a decisioni automatizzate, compresa la profilazione: l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salvo nei casi in cui la decisione automatizzata sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento; sia prevista dalla legge, nel rispetto di misure e cautele; si basi sul consenso esplicito dell'interessato.

Per utilità è comunque di seguito riportato il link agli articoli da 15 a 23 del Regolamento sui diritti dell’interessato.