INFORMATIVA SULLA PRIVACY

Con queste informazioni, vi rendiamo partecipi del trattamento dei vostri dati personali da parte di AXA XL e dei diritti che vi spettano in base alla legge sulla protezione dei dati.

Le informazioni contenute in questa comunicazione spiegano come AXA XL raccoglie, utilizza, condivide e protegge i vostri dati personali e spiega i diritti che avete di utilizzare, accedere e rettificare i vostri dati.

Le informazioni contenute in questa comunicazione sono destinate a tutte le persone fisiche i cui dati personali sono trattati da AXA XL. Se ciò non coincide con la parte contraente, quest'ultima provvederà a informare le persone affette trasmettendo il presente documento.

Titolare del trattamento ai sensi dell'art. 5 lett. j LPD e dell'art. 4 n. 7 RGPD

XL Insurance Company SE
XL Catlin Services SE
XL Re Europe SE

Wolfe Tone House
Wolfe Tone Street
Dublin 1
D01 HP90
Irlanda

XL Insurance Company SE (Succursale Zurich)
XL Catlin Services SE (Succursale Zurich)
XL Re Europe SE (Succursale Zurich)
XL Insurance Switzerland Ltd
Catlin Re Schweiz AG

Ernst-Nobs-Platz 7
8004 Zurich - Svizzera

Consulente per la Protezione dei Dati

In caso di domande sui propri diritti o dubbi sul modo in cui sono state utilizzate le informazioni personali, contattare il nostro Consulente per la Protezione dei Dati all’indirizzo ComplianceSwitzerland@axaxl.com.

Ci impegniamo a collaborare con voi per ottenere un'equa risoluzione di qualsiasi reclamo o preoccupazione sulla privacy. Se, tuttavia, ritieni che non siamo stati in grado di fornire assistenza con il tuo reclamo o preoccupazione, hai il diritto di presentare un reclamo all'autorità di protezione dei dati.

Dati e categorie di dati che possono essere trattati

Trattiamo i vostri dati personali in conformità con la Legge Federale sulla Protezione dei Dati (LPD), l'Ordinanza sulla Protezione dei Dati (OPDa), il Regolamento Generale sulla Protezione dei dati (RGDP), le disposizioni sulla protezione dei dati della Legge Federale sul contratto d’assicurazione (LCA) nonché ai disposizioni della normativa nazionale legale e generalmente applicabili. Questi dati vengono raccolti direttamente da voi o indirettamente tramite un intermediario che ha un rapporto contrattuale con AXA XL e che vi ha informato.

Trattiamo i dati personali che ci vengono forniti nell'ambito della richiesta e/o della sottoscrizione del contratto di assicurazione e che sono necessari per la corretta esecuzione del contratto (compresa la gestione dei reclami).

In caso di sinistro o di richiesta di risarcimento, i dati personali ci servono per verificare la nostra responsabilità e per determinare l'importo del risarcimento da pagare.

Al momento della stipula della polizza è necessario rispondere ad alcune domande. Senza queste informazioni non sarà possibile né la stipula né l'esecuzione del contratto, né la gestione dei sinistri.

In particolare, trattiamo i seguenti dati e categorie di dati::

• Dati contrattuali (ad es. Nome - Cognome, indirizzo, dati di contatto, stato civile, professione, durata del contratto, informazioni sul rischio da assicurare)
• Dati personali degni di particolare protezione (ad es. dati sanitari)
• Informazioni su situazioni personali (ad es., attività non monetarie)
• Informazioni sui vostri sinistri e altri dati relativi all'adempimento dei nostri obblighi legali
• Informazioni sulle procedure di contatto e di elaborazione
• Circostanze dell'inclinazione delle persone interessate (ad es. Contraente, assicurato, vittima, testimone)
• Poteri di procura
• Informazioni sulle parti interessate
• Riprese video in caso di videosorveglianza in loco

Il trattamento di categorie particolari di dati personali dipende dai requisiti della polizza assicurativa o da altre circostanze relative alle nostre prestazioni assicurative (ad es. In caso di liquidazione di un sinistro). I consensi richiesti a questo proposito, in particolare ai sensi dell'art. 6 par. 6 e 7 LPD o dell'art. 9 par. 2 lett. a e dell'art. 7 del RGPD, saranno ottenuti se necessario.

Inoltre, AXA XL a volte potrebbe trattare dati personali relativi a condanne penali e reati. Questo vale in particolare per i dati penali trattati in caso di sinistro, se l'incidente che ha causato l'incidente è dovuto al comportamento illegale di terzi che potrebbero essere ritenuti responsabili. Altre attività di trattamento possono derivare dagli obblighi legali ai sensi della legge federale relativa alla lotta contro il riciclaggio di denaro e il finanziamento del terrorismo (legge sul riciclaggio di denaro, LRD).

Finalità del trattamento e base giuridica

Trattiamo i dati personali raccolti ai fini della gestione e dell'esecuzione dei contratti di assicurazione per i quali AXA XL è l'assicuratore. In particolare, i vostri dati saranno utilizzati per le seguenti finalità:

1. L'esecuzione del contratto di assicurazione stipulato con AXA XL e/o le relative richieste precontrattuali, compresi il trattamento e la profilazione richiesti per la valutazione del rischio, nonché le indagini qualitative o di opinione. Lo scopo è disciplinato dagli articoli 6 par. 1 e 31 par. 2 lett. a LPD e, nella misura in cui le attività di trattamento sono soggette anche al diritto dell'Unione Europea, dall'articolo 6 par. 1 lett. b RGPD. Si includono in particolare i seguenti obiettivi:

• Elaborazione, gestione (anche di natura commerciale) e l'esecuzione del vostro contratto di assicurazione anche, in caso di sinistro in cui voi stessi siete la parte lesa, la valutazione e la liquidazione dello stesso, nonché la gestione dei denuncia e delle reclami.
• Realizzazione di studi statistici e attuariali, nonché la preparazione di valutazioni del rischio, di selezioni, di test e di tariffe ai fini del calcolo del premio assicurativo.
• La raccolta e l'elaborazione di dati relativi a condanne penali e reati, nella misura in cui questi siano riconducibili al rischio assicurato e/o il cui trattamento è richiesto dalla normativa assicurativa vigente.
• Consulenza su eventuali adeguamenti o integrazioni contrattuali, evasione di richieste di informazioni nonché decisioni di compiacenza.

2. Inoltre, trattiamo i vostri dati personali per l'adempimento di obblighi legali a cui siamo soggetti in qualità di titolare del trattamento. Lo scopo è disciplinato dagli articoli 6 par. 1 e 31 par 1 LPD e dell'art. 6 par. 1 lett. c RGPD. Questi includono in particolare:

• la gestione dei sinistri in cui l'avente diritto non è parte del contratto di assicurazione, ad esempio come terzo beneficiario o parte lesa;
• effettuare controlli sulle sanzioni e sul riciclaggio di denaro - in particolare per quanto riguarda l'identificazione dei titolari effettivi - in conformità alle rispettive leggi sul riciclaggio di denaro e ai regimi sanzionatori applicabili;
• Realizzazione di studi statistici e attuariali, nonché la preparazione di valutazioni del rischio, di selezioni, di test e di tariffe nell'ambito degli obblighi giuridici ai sensi dell'art. 23 della legge legge federale sulla sorveglianza delle imprese di assicurazione (legge sulla sorveglianza degli assicuratori, LSA) e dell'articolo 4848 della Direttiva 138/2009/CE ("solvibilità II") nonché delle conseguenti norme attuative degli Stati membri dell'UE e del SEE;
• rispetto dei requisiti normativi, i requisiti di conservazione ai sensi delle leggi commerciale e fiscale anche dei nostri obblighi di consulenza;
• Videosorveglianza (CCTV) nei casi in cui costituiscano una misura tecnica e organizzativa ai sensi dell'art. 8 LPD in combinato disposto con l'art. 3 (1) (b) dell'ordinanza sulla protezione dei dati e con l'art. 32 (1) del RGDP.

3. Inoltre, trattiamo i vostri dati anche ai fini degli interessi legittimi perseguiti da noi o da terzi. Tale trattamento viene effettuato sulla base degli articoli 6 par. 2 e 31 par. 1 LPD e dell'art. 6 par. 1 lett. f GDPR e riguarda, tra gli altri, i seguenti casi:

• per garantire la sicurezza e il funzionamento della tecnologia informatica, compresi i test (a meno che non sia già richiesto per l'esecuzione del contratto o per adempiere a un obbligo legale);
• soggetto alla vostra opposizione, la promozione dei nostri prodotti assicurativi e dei prodotti del gruppo AXA e dei loro partner di cooperazione, nonché per indagini di mercato e di opinione;
• la prevenzione e l'accertamento di reati, nella misura in cui non siano già oggetto del suddetto obbligo normativo; a tal fine, in particolare, utilizziamo analisi e ricerche (anche da informazioni disponibili pubblicamente) per determinare indizi di frode assicurativa;
• per la gestione del rischio all'interno di AXA XL e del Gruppo AXA del Gruppo AXA nel suo complesso;
• la gestione aziendale e l'ulteriore sviluppo di processi, servizi e prodotti.
• Videosorveglianza/CCTV in quei casi in cui non servono come misura tecnica e organizzativa.

4. Inoltre, potremmo trattare i vostri dati personali nell'ambito dello sviluppo e/o del miglioramento di modelli statistici arricchiti da tecniche di apprendimento automatico e altre tecnologie di intelligenza artificiale (AI). Questi modelli sono utilizzati in modo produttivo nelle nostre diverse operazioni di trattamento automatizzato, in particolare nell'ambito della categorizzazione automatica di dati non strutturati, della gestione dei nostri processi aziendali (ad esempio, attribuzione automatica della posta in arrivo) e dell'esecuzione di calcoli, statistiche attuariali e modelli di pricing.

• In questo contesto, il trattamento dei vostri dati personali per lo sviluppo e/o il miglioramento dei nostri modelli di apprendimento statistico si basa sul nostro legittimo interesse all'ottimizzazione dei nostri processi operativi interni. In particolare, ci impegniamo a rendere anonimi e/o pseudonimi i vostri dati, in tutto o in parte, nell'ambito delle nostre possibilità tecniche. Ciò vale in particolare per il trattamento dei dati sensibili, che richiede anche l'esistenza di un'autorizzazione legale ai sensi dell'art. 9 par. 2 lett. a. - j. RGPD e per i quali devono essere osservati particolari requisiti di proporzionalità e trasparenza ai sensi dell'articolo 21 LPD.
• Nella misura in cui trattiamo i vostri dati personali nei nostri sistemi di intelligenza artificiale esistenti (ad esempio per assegnare correttamente la posta in arrivo in un caso di sinistro), tale trattamento si basa sulla rispettiva base giuridica relativa allo scopo di questa attività.

Al fine di assicurare la liceità e la bona fide del trattamento dei dati e l'esistenza di un interesse legittimo, ci assicuriamo, attraverso procedure di controllo e valutazione interne, che siano conformi alla legislazione e ai regolamenti in vigore e che gli interessi o i diritti e le libertà fondamentali degli interessati non prevalgano su di essi.

Comunicazione e destinatari dei dati personali

I dati personali raccolti possono essere comunicati ai partner contrattuali di AXA XL coinvolti nella conclusione, gestione ed esecuzione del contratto e nelle altre attività di trattamento sopra menzionate. Ciò include in particolare:

• altre compagnie di assicurazione e riassicurazione;
• intermediari assicurativi (ad es. broker assicurativi, agenti, ecc.);
• medici, esperti e periti (ad es. per la liquidazione dei sinistri o la valutazione dei rischi e degli obblighi di prestazione);
• agenzie di intelligence e investigatori (per verificare la solvibilità e/o prevenire e scoprire frodi assicurative);
• avvocati (a titolo consultivo e in caso di rappresentanza in un contenzioso) e
• altri fornitori di servizi (ad es. consulenti esterni, amministratori, fornitori di servizi informatici, ecc.)

Trattamento dei dati all'interno del Gruppo AXA:

Inoltre, alcuni compiti e funzioni di trattamento all'interno del nostro gruppo sono svolti a livello centrale da società o dipartimenti specializzati. Nella misura in cui esista un contratto di assicurazione tra voi e una o più società del nostro gruppo, i vostri dati possono essere trattati centralmente da una società del nostro gruppo, ad esempio per l'amministrazione centrale dei vostri indirizzi, per il servizio clienti telefonico, per il trattamento dei contratti, comprese le prestazioni e i sinistri, per la riscossione e il pagamento o per il trattamento della posta.

Altri destinatari:

In aggiunta, potremmo comunicare i vostri dati ad altri destinatari nell'ambito dei nostri obblighi legali, in particolare ad autorità pubbliche (ad esempio istituti di previdenza sociale, autorità finanziarie e autorità di vigilanza o giudiziarie), istituti di credito, consulenti fiscali e revisori autorizzati.

Per ultimo, potremmo anche essere tenuti a condividere i vostri dati personali con potenziali acquirenti o partner selezionati in relazione a operazioni commerciali straordinarie (compresa l'analisi delle circostanze economiche, legali, fiscali e finanziarie – “due diligence”), come fusioni, vendite di imprese e altre transazioni.

Comunicazione di dati personali all’estero

Nella misura in cui i dati personali vengono trasferiti a destinatari al di fuori del territorio della Confederazione Svizzera, ci assicuriamo che ciò avvenga esclusivamente in conformità alla legge applicabili:

Le comunicazioni a paesi terzi per i quali il Consiglio federale (art. 16 par. 1 LPD in combinato disposto con l'allegato 1 OPDa) nonché la Commissione UE (art. 45 GDPR) hanno constatato che dispongono di un livello di protezione adeguato, non richiedono un'autorizzazione speciale. Ciò attualmente include Andorra, Argentina, Canada (solo società commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Corea del Sud, Uruguay e Regno Unito (fino a nuovo avviso solo fino al 27/06/ 2025) nonché, ai sensi dell'allegato I dell'OPDo, gli Stati membri dell'Unione europea (Germania, Austria, Belgio, Bulgaria, Cipro, Croazia, Danimarca, Spagna, Estonia, Finlandia, Francia, Grecia, Ungheria, Irlanda , Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Repubblica Ceca, Romania, Slovacchia, Slovenia e Svezia), Islanda, Liechtenstein e Norvegia.

I trasferimenti a società del Gruppo AXA sono effettuati sulla base di norme vincolanti d'impresa Binding Corporate Rules“ – BCR) ai sensi ai sensi dell'art. 16 par. 2 lett. e LPD e dell'art. 47 RGPD.

Nella misura in in cui le comunicazioni non sono coperti da uno dei suddetti strumenti, AXA XL garantirà, in conformità con gli articolo 16 par. 1 lett. d LPD, che l'adeguatezza del livello di protezione dei dati sia assicurata dalla conclusione di clausole tipo di protezione dei dati previamente approvate, stabilite o riconosciute dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). AXA XL utilizza clausole contrattuali tipo secondo il modello UE (art. 46 GDPR) riconosciute ai sensi della decisione dell’IFPDT del 27 agosto 2021.

Inoltre, AXA XL ha implementato ulteriori misure contrattuali, organizzative e tecniche per garantire che i destinatari rispettino gli obblighi previsti dalle norme vincolanti d'impresa e dalle clausole contrattuali tipo, che comprende anche la loro esecutività.

Queste misure comprendono la crittografia moderna dei dati personali (in transito e in stoccaggio), la pseudonimizzazione dei dati, la restrizione dell'accesso e gli obblighi contrattuali e organizzativi di trasparenza e informazione.

Per tutti i destinatari, AXA XL ha valutato i rischi associati al trasferimento verso i rispettivi paesi terzi e li ha documentati in un rapporto corrispondente (“Transfer Risk Assessment” - TIA).

Per tutte le altre domande, informazioni e documentazione relative ai nostri trasferimenti internazionali, si prega di contattare il nostro consulente per la protezione dei dati.

Periodi di ritenzione

In principio, conserviamo e trattiamo i vostri dati personali per un periodo di tempo non superiore a quello necessario per le finalità per cui vengono trattate.

Nella misura in cui conserviamo i vostri dati oltre tale periodo, ciò avviene nell'ambito dell'osservanza dei periodi di conservazione previsti dalla legge (ad esempio a causa di norme fiscali, commerciali o di diritto sociale) o perché i vostri dati possono essere necessari per l'accertamento, l'esercizio o la difesa di un diritto. In quest'ultimo caso, il periodo di conservazione si baserà sui termini di prescrizione applicabili.

In Svizzera, i periodi di conservazione previsti dal diritto tributario, commerciale e sociale sono generalmente di 10 anni. Il periodo di prescrizione ordinario per le cause civili è di 10 anni; tuttavia le richieste di risarcimento possono eventualmente essere soggette a termini più brevi (in particolare dalla conoscenza del danno e dall'obbligo di riparazione) o più lunghi (ad esempio in caso di atto illecito).

Le registrazioni di videosorveglianza non sono generalmente conservate per più di 30 giorni, a meno che un incidente di sicurezza non renda necessario trattarle oltre questo periodo.

Poiché i periodi di ritenzione possono variare a dipendenza del trattamento e della situazione particolare, chiediamo che le richieste specifiche siano indirizzate al nostro consulente per la protezione dei dati.

Diritti dell'interessato

Potete far valere i seguenti diritti nei nostri confronti agli indirizzi precedentemente indicati:

• Conferma e accesso ai vostri dati trattati (art. 25 LPD, art. 15 RGDP);
• Rettifica o integrazione di dati inesatti o incompleti (art. 32 par. 1, art. 16 RGPD);
• La distruzione immediata dei vostri dati (art. 6 par. 4 e 30 par. 2 lett. a. & b. LPD, art. 17 RGPD) o la limitazione del trattamento ai sensi dell'art. 18 RGPD, nel caso in cui il trattamento dei vostri dati personali è soggetto anche al diritto dell'Unione Europea e la distruzione non sia ancora prevista per i motivi di cui all'art. 17 par. 3 RGPD;
• Ricezione dei dati personali da voi forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico nonché trasmetterli di tali dati ad altri titolari del trattamento (art. 28 LPD, art. 20 RGPD);

Nel caso in cui dovessimo trattare i vostri dati sulla base del consenso ai sensi dell'art. 6 par. 6 & 7 LPD o dell'art. 7 RGPD, avete anche il diritto di revocare tale consenso in qualsiasi momento e senza fornire alcuna giustificazione. Il consenso viene generalmente ottenuto mediante una dichiarazione scritta separata, in cui siete nuovamente informati espressamente del vostro diritto di revoca e delle attività di trattamento effettuate sulla base di tale consenso.

Avete inoltre il diritto di proporre reclamo alle autorità di controllo di seguito indicate, qualora riteniate che il trattamento dei vostri dati avvenga in violazione delle norme sulla protezione dei dati (art. 49 par. 1, 58 par. 1 lett. d. LPD, art. 77 RGPD).

In conclusione, desideriamo informarvi che nessuno dei processi utilizzati per il trattamento dei vostri dati personali vi sottoporrà a una decisione individuale esclusivamente automatizzata. Nella misura in cui vengono adottate decisioni automatizzate nell'ambito dei nostri processi - in particolare nei casi in cui vengono utilizzate tecnologie AI - si tratta esclusivamente di processi amministrativi preliminari che servono a preparare una decisione da parte di una persona fisica. In tale contesto, mediante adeguate procedure di controllo interno, nonché formazione e istruzioni, ci assicuriamo che le decisioni finali non siano influenzate negativamente dal precedente trattamento automatizzato e mantengano la trasparenza e la possibilità di revisione in ogni momento.

Autorità di controllo per le attività di AXA XL sul territorio della Confederazione Svizzera (art. 49 LPD, art. 55 RGPD):

Incaricato federale della protezione dei dati e della trasparenza (IFPDT)
Feldeggweg 1
3003 Bern

Autorità di controllo capofila delle attività di AXA XL nel territorio dello Spazio Economico Europeo (art. 55 LPD, art. 56 par. 1 RGPD):

Data Protection Commission
(An Coimisiún um Chosaint Sonraí)

21 Fitzwilliam Square South
Dublin 2
D02 RD28
Irlanda

Per quanto riguarda le attività di XL Insurance Company SE, XL Catlin Services SE o XL RE Europe SE, un reclamo può essere presentato a una delle due autorità. Si noti tuttavia che i reclami in tedesco, francese, italiano o romancio devono essere indirizzati all'IFPDT. A seconda dell'argomento del reclamo, è anche possibile che queste celle vengano scambiate tra le due autorità sulla base di competenze diverse ai sensi degli articoli 55 e 56 del GDPR e degli articoli 49, 55 del LPD.

Febbraio 2025