Tutela della Privacy

Le BCR del Gruppo AXA a protezione dei dati personali trasferiti fuori dall’Unione Europea

Il Gruppo AXA è da sempre impegnato a garantire la riservatezza dei dati ottenuti nel corso della sua attività ed a rispettare tutte le leggi e i regolamenti applicabili in relazione al trattamento di dati personali. 
A tale scopo, ha adottato una governance a livello globale, rappresentata da un Group Data Privacy Officer, un Group Data Privacy Steering Committee, un network mondiale di Data Privacy Officers coordinato dal Group Data Privacy Officer ed uno Standard per la protezione dei dati del Gruppo (Group Data Privacy Policy).

Per rafforzare la protezione dei dati personali trasferiti da una Società AXA con sede in uno Stato dello Spazio Economico Europeo (SEE) ad una Società AXA con sede fuori SEE, il Gruppo AXA ha deciso di adottare una serie di Binding Corporate Rules (“BCR”), regole aziendali vincolanti per tutte le società AXA che assicurano un adeguato livello di tutela della riservatezza dei dati personali e che sottoscrivono la formale adesione alle BCR del Gruppo AXA.

QUIXA Assicurazioni S.p.A. essendo in possesso di un adeguato livello di protezione dei dati personali di cui è titolare, ha aderito alle BCR del Gruppo AXA e, nel mese di Marzo 2016, ha ricevuto dal Garante per la protezione dei dati personale la formale autorizzazione al trasferimento dei dati mediante le BCR del Gruppo AXA.
Tutti gli interessati sono, pertanto, invitati a prendere visione della versione pubblica delle BCR del Gruppo AXA e della Dichiarazione di AXA sulla protezione dei dati.

Il Gruppo AXA Italia presta la massima attenzione alla riservatezza, alla tutela ed alla sicurezza dei dati personali dei propri clienti e dei propri collaboratori.

A tale scopo, ha definito un modello organizzativo per la protezione dei dati personali, che include la designazione di un Data Protection Officer (D.P.O.) e di una serie di Referenti Interni Privacy che operano per le singole società autonome titolari del trattamento dei dati personali.

Il D.P.O. è la figura prevista dal Regolamento UE n. 679/2016 con compiti di informazione e consulenza per il titolare del trattamento in merito agli obblighi in materia di protezione dei dati personali e di verifica dell’attuazione ed applicazione della normativa. Esso rappresenta, inoltre, il punto di contatto per gli interessati in merito a questioni di trattamento dei loro dati o all’esercizio dei loro diritti e per il Garante per la protezione dei dati personali. 

I Responsabili interni governano il trattamento dei dati personali necessari in relazione alle varie funzioni aziendali rappresentate da specifiche aree di trattamento.

Tecnica P&C

Gestione della linea di business dei rischi assicurativi connessi al ramo danni (analisi e valutazione della redditività del portafoglio danni; assistenza tecnica e assuntiva alle reti commerciali; gestione ed esecuzione della proposta assicurativa e del contratto di assicurazione per i rami danni; studi attuariali; gestione dei rapporti coi broker).

Distribuzione

Gestione della relazione e dell’attività dei canali distributivi (Coordinamento, controllo e gestione della rete agenziale; formazione della rete agenti e collaboratori di agenzia; gestione della Bancassurance e dei Grandi Clienti; reclutamento venditori di Agenzia; ricerca, selezione e formazione nuovi agenti e predisposizione dei mandati di agenzia e reclutamento venditori di Agenzia).

Studio e analisi delle soluzioni innovative in ambito distributivo e coordinamento dei piani operativi.

Sviluppo del business attraverso la ricerca e l’attivazione di nuove partnership commerciali.

Garantisce lo sviluppo del business attraverso la ricerca e l’attivazione di nuove partnership commerciali per il canale bankassurance.

Internal Audit

Valutazione del livello di adeguatezza ed efficacia del sistema di controllo interno, di gestione dei rischi e di corporate governance e monitoraggio dello stesso.

Finance

Gestione dei processi contabili, amministrativi e d’acquisto (controlli Reti; amministrazione, contabilità e bilancio; analisi e pianificazione finanziaria; contabilità assicurativa e gestione del portafoglio; contenzioso premi; controllo di gestione e reporting; coordinamento e supervisione delle iniziative di ingegnerizzazione dei processi finanziari; cost management; gestione della coassicurazione; gestione finanziaria; gestione fiscale e adempimenti tributari; procurement; studi attuariali e determinazione delle riserve matematiche ai fini di bilancio).

Governance

Gestione del sistema di governo societario, della riassicurazione e delle attività legali e fiscali (coordinamento e gestione dei rapporti con amministratori, soci, azionisti, società controllate e gestione dell’attività di verbalizzazione delle riunioni degli organi sociali; antifrode reti; gestione della riassicurazione; attività di supervisione e controllo dell’area affari legali e societari; consulenza e assistenza legale alle varie aree aziendali su problematiche specifiche; gestione del contenzioso ad esclusione del contenzioso premi).

Gestione delle attività di contrasto al antiriciclaggio e al finanziamento del terrorismo.

Gestione dei reclami.

Customer

Gestione delle attività di marketing (attività promozionali e pubblicitarie; marketing; organizzazione di azioni per acquisire nuovi clienti e mantenere e sviluppare i clienti esistenti; sviluppo e gestione dei segmenti target di clienti).

Gestione, promozione e vendita dei prodotti AXA attraverso i canali online (E-commerce, preventivatori e quotatori).

Supporto alla definizione delle strategie aziendali.

HR e Organizzazione

Gestione e selezione dei rapporti col personale (budgeting e costi del personale; gestione degli archivi generali cartacei e del magazzino stampati; gestione dei processi di amministrazione, formazione, selezione e retribuzione del personale; gestione del rapporto di lavoro e della mobilità del personale; gestione della sicurezza nei luoghi di lavoro; gestione dello smistamento posta e gestione tecnica centralino; gestione servizi di vigilanza notturna e diurna, portineria, controllo accessi, videosorveglianza e pulizia sede; gestione sinistri polizza malattia dipendenti Gruppo AXA; relazioni sindacali, gestione amministrativa dei rapporti sindacali, contenzioso giuslavoristico).

Operations

Gestione delle attività operative dei processi della compagnia e dei sistemi operativi (analisi ed ottimizzazione dei processi; gestione dell’architettura informatica; gestione del change management; coordinamento dell’utilizzo dei dati aziendali a supporto dell’attività di data analytics e sviluppo modelli predittivi; CRM, Customer Insight and Innovation; gestione delle IT Operations; project management; sicurezza informatica).

Gestione dello sviluppo del canale diretto (call center) e pagamento dei premi tramite strumenti elettronici.

Rischi & Funzione Attuariale

Gestione, monitoraggio e mitigazione dei rischi aziendali.

Calcolo delle riserve tecniche e consulenza sulle politiche di sottoscrizione e sull’adeguatezza degli accordi di riassicurazione e contribuisce all’effettiva implementazione del sistema di risk management con particolare riferimento ai modelli di rischio sottostanti il calcolo dei requisiti di capitale.

Sinistri

Gestione dei processi di liquidazione dei sinistri (antifrode, incluse le consultazioni delle Banche Dati IVASS e ANIA; audit su sinistri; gestione dei rapporti con i Periti, Medici, Legali e altri fiduciari della Società per l’area di sua competenza e relativo controllo; gestione dei sinistri inclusa la gestione della coassicurazione e valutazione delle riserve e gestione richiesta danni e citazioni; gestione e coordinamento dei centri territoriali di liquidazione dei danni; gestione risposte ai reclami IVASS in materia di sinistri; gestione Sinistri Internazionali; gestione sinistri polizza malattia dipendenti Gruppo AXA).

Communication, Corporate Responsibility & Public Affairs

Definisce e implementa la strategia di comunicazione integrata e di Corporate Responsibility per il Gruppo AXA Italia nelle varie dimensioni interne ed esterne.

Cos’è il legittimo interesse?

Il legittimo interesse è una delle basi giuridiche (come ad esempio il consenso o l’esecuzione di un contratto o l’adempimento di un obbligo di legge), indicate dalla vigente normativa in materia di protezione dei dati personali (GDPR), per trattare lecitamente i dati personali.

Esso si concretizza nella possibilità – da parte del titolare del trattamento – di trattare i dati personali senza la necessità di ottenere un consenso, a condizione che:

• gli interessati siano informati in maniera chiara e trasparente;
• il titolare abbia eseguito un bilanciamento dei propri interessi con i diritti e le libertà dell’interessato e valutato che questi ultimi non prevalgano sui primi.

Il legittimo interesse può giustificare un trattamento di dati quando:

• il trattamento non è richiesto dalla legge, ma è di chiaro vantaggio per l’interessato o per altri;
• c’è un impatto limitato sui diritti dell’interessato;
• l’uso dei dati è ragionevole, rientrando nelle aspettative dell’interessato, ed è improbabile che se gli venisse chiesto il consenso si opporrebbe al trattamento.
• Il rischio per eventuali utilizzi impropri dei dati dell’interessato è minimo, oppure quando la lavorazione è giustificata da una ragione valida e circostanziata.

In alcuni casi, è lo stesso legislatore a ricorrere a tale base giuridica, come ad esempio quando prevede, a condizioni ben precise, la possibilità per un venditore di usare l’indirizzo di posta elettronica che un cliente ha fornito in occasione di un acquisto eseguito on line, per proporgli nuovi prodotti, servizi, sconti legati a beni o servizi simili a quelli acquistati, senza dover chiedere il consenso al cliente stesso ma semplicemente dandogli la possibilità di opporsi e di chiedere di non ricevere futuri messaggi. Altro caso nel quale si può ricorrere al legittimo interesse è la necessitò di trattare dati per lo scopi di dare esecuzione ad attività di studio statistico.

A tutela degli interessati, il ricorso al legittimo interesse va limitato a casi ben definiti, non si può applicare a tutti i trattamenti e non è possibile utilizzarlo come base predefinita per tutte le elaborazioni di dati.  Per buona regola nessuna delle basi legittime ha la precedenza sulle altre, e si dovrebbe sempre utilizzare quella più appropriata alle circostanze, avendo considerato lo scopo dell’elaborazione.

Quindi occorre considerare attentamente se il legittimo interesse è la base legale appropriata per una particolare ipotesi di trattamento dei dati. Non è corretto fare affidamento su di essa semplicemente perché inizialmente può sembrare più facile da applicare rispetto ad altre basiche giustificano il trattamento. Non è sempre l’opzione più semplice e, di fatto, comporta una maggiore responsabilità per il Titolare del trattamento nel giustificare perché ha fatto ricorso al legittimo interesse e non, per esempio al consenso dell’interessato. Se si ricorre al legittimo interesse occorre condurre un accurata valutazione dell’eventuale impatto che questa scelta ha sui diritti delle persone. Occorre quindi una valutazione dei rischi basata sul contesto e sulle circostanze specifiche per dimostrare che il trattamento è appropriato.

quixa e il Legittimo Interesse

QUIXA Assicurazioni S.p.A., in qualità di Titolare del Trattamento dei Dati Personali, ricorre al legittimo interesse solo a seguito di un’accurata analisi sulla presenza del bilanciamento dei propri interessi con i diritti e le libertà dei propri clienti. Tutte le valutazioni condotte sono documentate e motivate.

Generalmente, quixa utilizza il legittimo interesse solo per l’esecuzione di alcune attività legate alla gestione del contratto assicurativo e per il miglioramento del rapporto con ogni cliente.

Nell’Informativa Privacy sono dettagliati i trattamenti basati sul legittimo interesse ed elencati i diritti degli interessati e le modalità di esercizio per avere sempre il controllo sui propri dati personali.