Protezione dei dati relativi ai servizi della Zurich Compagnia di Assicurazioni SA

Per «dati personali» si intendono i dati che si riferiscono a una persona determinata o determinabile, vale a dire che sulla base dei dati stessi o con l’integrazione di corrispondenti dati aggiuntivi è possibile risalirne all’identità. Per «dati personali degni di particolare protezione» (anche «categorie particolari di dati personali») si intende una categoria di dati personali il cui trattamento può essere soggetto a particolari requisiti. Sono dati personali degni di particolare protezione, ad esempio, i dati dai quali si desume la provenienza etnica, oppure i dati sullo stato di salute, i dati sulle convinzioni religiose e ideologiche, i dati biometrici a scopo di identificazione e i dati sull’appartenenza a sindacati. Al punto 3 trovate informazioni sui dati che noi trattiamo nell’ambito della presente informativa sulla protezione dei dati. 

Per «trattare» (anche «elaborare») si intende la gestione dei dati personali, ad esempio la loro raccolta, archiviazione, utilizzo, divulgazione e cancellazione. 

Per ogni trattamento dei dati esistono una o più entità principalmente responsabili del fatto che il trattamento dei dati rispetti le disposizioni del diritto in materia di protezione dei dati. Questa entità è detta «responsabile». Essa ha ad esempio la competenza di rispondere alla richieste di informazioni (punto 10) o di garantire che i dati personali siano protetti e non vengano utilizzati in modo diverso da quello che vi comunichiamo o da quello consentito dalla legge. Ai punti 3 e 6 trovate dati di terzi con i quali collaboriamo e che a loro volta sono responsabili per il loro trattamento.

In primo luogo fanno parte dei dati di base informazioni come ad esempio nome, indirizzo, indirizzo di posta elettronica, numero di telefono e altri dati di contatto, data e luogo di nascita, età, sesso, nazionalità e luogo di attinenza, informazioni tratte dai documenti di identificazione (ad es. dal vostro passaporto o dal vostro documento d’identità), il vostro numero cliente e altre informazioni come ad esempio il vostro codice fiscale o il vostro Paese fiscale. 

Anche i dati sui rapporti con terze persone coinvolte nel trattamento dei dati rientrano fra questi dati, ad esempio su aventi diritto economico a valori patrimoniali, destinatari di corrispondenza e altre presone coinvolte nel contratto ed eventualmente su familiari.

Per clienti e altre imprese convenzionate, che sono aziende, trattiamo i dati sulle nostre persone di contatto, ad es. nome e indirizzo, informazioni sui titoli, sulla funzione in azienda, sulle qualifiche ed eventualmente informazioni su superiori e collaboratori. A seconda del campo d’attività siamo anche tenuti a verificare più dettagliatamente l’azienda corrispondente e i suoi collaboratori, ad es. mediante un controllo di sicurezza. In questo caso raccogliamo e trattiamo altri dati, eventualmente anche di operatori terzi. 

Spesso riceviamo dati di base da voi, ad esempio in documenti di proposta, tuttavia eventualmente consultiamo anche dati di terzi, ad esempio di operatori di aggiornamento degli indirizzi o dal registro di commercio. 

Tra questi rientrano le informazioni sulla conclusione del contratto, sui contratti, ad es. tipo e data della conclusione del contratto e informazioni sul processo di proposta e altre informazioni sul contratto in questione, nonché informazioni sulla gestione, l’esecuzione e l’implementazione dei contratti (ad es. informazioni relative a fatturazione, consulenza, servizio alla clientela, pagamenti, diffide, incasso ed esecuzione di crediti). Nei dati contrattuali sono comprese anche informazioni su reclami e adeguamenti di un contratto nonché informazioni sulla soddisfazione della clientela, da noi raccolte ad esempio mediante sondaggi.

I dati comportamentali sono dati su determinate azioni, ad es. su pagamenti, sul vostro utilizzo delle comunicazioni elettroniche (ad es. se e quando avete aperto un’e-mail), sul vostro utilizzo delle nostre pagine web (ad es. sulla vostra sede e altri dati su quando utilizzate una nostra pagina web; si tengano presenti in merito le corrispondenti informazioni separate sulla protezione dei dati), sull’acquisto di nostri prodotti e servizi, sulla vostra interazione con i nostri profili dei social media, sui vostri contatti con partner contrattuali e sulla vostra partecipazione a eventi, giochi a premi, concorsi e manifestazioni simili.

I dati di preferenza ci forniscono ad es. informazioni su quali siano probabilmente le vostre esigenze, quali prodotti o prestazioni potrebbero essere di vostro interesse o quando e come potreste reagire alle nostre notizie, in modo da potervi conoscere meglio, orientare su di voi con maggior precisione la nostra consulenza e le nostre offerte e in generale migliorare le nostre offerte. Acquisiamo queste informazioni dall’analisi dei dati esistenti, come ad es. i dati comportamentali. Per migliorare la qualità delle nostre analisi, possiamo collegare questi dati con ulteriori dati che acquisiamo anche da terzi, ad esempio agenzie di gestione di indirizzi, siti Internet e uffici, ad es. con dati sulle dimensioni della vostra economia domestica, su classe di reddito e potere di acquisto, comportamento di acquisto e dati di contatto di congiunti nonché informazioni anonime di uffici statistici.

I dati di comunicazione comprendono il vostro nome e i vostri dati di contatto, il modo, il luogo e il momento della comunicazione, nonché il suo contenuto, ad es. dati presenti in e-mail o lettere da parte vostra o spedite a voi oppure di terzi o spedite a terzi, se anche queste fanno riferimento a voi. Registriamo dati di comunicazione ad es. se avete un contatto con noi attraverso il servizio alla clientela o il consulente alla clientela, oppure attraverso una pagina web, un’app o un chatbot in Internet.

Ad esempio nel corso di procedure ufficiali di autorità o tribunali esistono anche dati (come ad es. atti e mezzi di prova) che possono far riferimento a voi. Possiamo anche rilevare dati per ragioni di tutela della salute (ad es. nell’ambito di piani di protezione). Possiamo ricevere o produrre foto, video e registrazioni audio in cui voi potete essere riconoscibili (ad es. in occasione di eventi, attraverso telecamere di sicurezza ecc.). Possiamo altresì rilevare dati su chi e quando accede a un determinato stabile o possiede corrispondenti diritti di accesso (ad es. per il controllo accessi, sulla base di dati di registrazione o liste di visitatori ecc.), su chi e quando partecipa a eventi o ad azioni (ad es. concorsi) oppure su chi e quando utilizza la nostra infrastruttura e i nostri sistemi.

Questi uffici sono ad es. altre imprese del Gruppo Zurich e partner di distribuzione, agenzie di informazione, imprese di osservazione dei media, fornitori di servizi finanziari e banche, dai/dalle quali voi trasferite a noi valori patrimoniali oppure effettuate versamenti a noi, agenzie di gestione di indirizzi, servizi di analisi Internet, autorità, assicuratori, parti in procedure e fonti pubblicamente accessibili, come ad es. registro di commercio, media e fonti in Internet, registri pubblici, ecc.

Determinate offerte, come ad es. l’utilizzo di un portale online di Zurich o di un nostro partner oppure la partecipazione a un evento virtuale vengono da noi messe a vostra disposizione solo se ci trasmettete dei dati di registrazione, perché noi o le nostre imprese convenzionate vogliamo sapere chi utilizza i nostri servizi oppure chi ha accettato un invito a un evento, perché è necessario dal punto di vista tecnico oppure perché vogliamo comunicare con voi. Se voi o una persona che rappresentate (ad es. il vostro datore di lavoro) volete stipulare o adempiere a un contratto con noi, dobbiamo rilevare da voi i corrispondenti dati anagrafici, contrattuali e di comunicazione, e noi trattiamo dati tecnici se voi utilizzate il nostro sito web o altre offerte elettroniche.  Se non ci fornite i dati necessari per la stipulazione e la gestione del contratto, dovete aspettarvi che noi rifiuteremo la stipulazione del contratto, che voi violerete un contratto o che noi non saremo in grado di adempiere a un contratto. Analogamente possiamo inviarvi una risposta a una vostra richiesta solo se trattiamo i corrispondenti dati di comunicazione e – se comunicate con noi in modalità online – se trattiamo anche dati tecnici. Se non riceviamo dati tecnici, non è nemmeno possibile utilizzare il nostro sito web. E nel momento in cui noi interagiamo con voi o viceversa, subentrano dati di comportamento.

Trattiamo i vostri dati personali in particolare per i seguenti scopi o scopi con essi compatibili:
Trattiamo i dati personali per adempiere a requisiti legislativi e normativi e per rispettare leggi, istruzioni e raccomandazioni delle autorità e regolamenti interni («Compliance»).

Nell’ambito dell’avvio e della conclusione del contratto si raccolgono dati personali – in particolare dati anagrafici, dati contrattuali e dati di comunicazione – di possibili clienti per la consulenza e l’esame dei rischi (ad es. in un formulario di proposta e in generale sulla nostra organizzazione di distribuzione). Rientrano ad es. tra i nostri partner di distribuzione agenti generali indipendenti, intermediari e broker. I dati raccolti durante l’avvio e la conclusione del contratto vengono sottoposti a una verifica in relazione al rispetto delle normative di legge (ad es. per il rispetto delle disposizioni finalizzate alla lotta al riciclaggio di denaro e alle frodi). Nell’ambito dell’avvio e della conclusione del contratto potremmo trattare anche dati degni di particolare protezione come ad es. dati sullo stato di salute per la consulenza, l’esame dei rischi e il calcolo del premio. 

Nell’ambito della gestione dei rapporti contrattuali trattiamo dati per la fornitura e ricezione di prestazioni, per la gestione del rapporto con il cliente e per la consulenza e l’assistenza alla clientela (incl. per il calcolo e la documentazione delle indennità dei partner di distribuzione). La gestione dei rapporti contrattuali comprende peraltro anche la rivendicazione di pretese giuridiche derivanti da contratti (incasso, procedure giudiziarie ecc.), la contabilità dei contratti, la loro conclusione e la comunicazione pubblica.

Per la conclusione di un contratto e la gestione dei rapporti contrattuali coinvolgiamo terzi, ad es. aziende IT e di logistica, operatori pubblicitari, banche, assicurazioni o agenzie di informazioni sui crediti, che a loro volta possono mettere a disposizione dei dati.

Nella collaborazione con imprese e partner di affari, ad es. partner in progetti, o con parti in controversie legali, trattiamo i dati anche per la stipulazione e la gestione di contratti, per la pianificazione, la contabilità e altri scopi connessi con il contratto.

A tali scopi trattiamo in particolare dati anagrafici, contrattuali e dati comportamentali e di comunicazione. A tali scopi, e per proteggere voi e noi da reati e abusi, possiamo anche creare ed elaborare profili (al riguardo si veda anche il punto 5).

Ci adoperiamo per migliorare costantemente i nostri prodotti e servizi e poter reagire tempestivamente a mutate esigenze. Analizziamo pertanto ad es. quali prodotti vengono utilizzati da quali gruppi di persone e in che modo, o come sia possibile configurare nuovi prodotti e prestazioni. Questo ci fornisce informazioni sull’accettazione da parte del mercato e sul potenziale di mercato di nuovi prodotti e servizi. A tale scopo trattiamo in particolare i vostri dati anagrafici, comportamentali e di preferenza, ma anche i dati di comunicazione e le informazioni tratte da questionari per la clientela, sondaggi e altre informazioni tratte ad es. da media, social media, Internet o altre fonti pubbliche. Laddove possibile, per tali scopi utilizziamo tuttavia informazioni pseudonimizzate e anonimizzate. Possiamo anche utilizzare servizi di osservazione dei media oppure eseguire in prima persona osservazioni dei media e in tale contesto trattare dati personali per gestire il lavoro con i media o comprendere e reagire a sviluppi e trend attuali.

Ad esempio possiamo trasmettervi informazioni, pubblicità e offerte di prodotti nostri e di terzi in ambito assicurativo e in altri settori nonché newsletter e altri comunicati periodici, in formato stampato o telefonicamente. Queste comunicazioni avvengono anche nell’ambito di singole azioni di marketing (ad es. eventi, concorsi ecc.). Personalizziamo alcune di queste comunicazioni in modo da potervi trasmettere informazioni individuali e sottoporre offerte che corrispondano alle vostre esigenze e ai vostri interessi. A tale scopo colleghiamo dati che trattiamo su di voi, rileviamo dati di preferenza e utilizziamo questi dati come base per la personalizzazione (al riguardo vedere punto 3). A scopo di marketing possiamo anche eseguire profilazioni (al riguardo vedere punto 5). Trattiamo dati anche nell’ambito di concorsi, giochi a premi e manifestazioni simili. Nella gestione della clientela rientra inoltre il contatto – all’occorrenza personalizzato sulla base di dati comportamentali e di preferenza o di dati rilevati tramite sondaggi tra la clientela – con clienti esistenti e lo svolgimento di eventi per la clientela (ad es. sponsoring, eventi sportivi e culturali, iniziative pubblicitarie).  Nel caso di eventi per la clientela trattiamo dati personali per l’attuazione degli eventi stessi, ma anche per informare i partecipanti e per trasmettere loro informazioni e pubblicità prima, dopo e durante l’esecuzione.

Tutti questi trattamenti sono per noi importanti in quanto ci consentono di pubblicizzare le nostre offerte nel modo più conforme possibile alle vostre esigenze, di personalizzare i nostri rapporti con clienti e terzi e di utilizzare in modo efficiente le nostre risorse.

Verifichiamo e miglioriamo costantemente l’adeguatezza della sicurezza di impianti e stabili e del nostro sistema IT. A tale scopo trattiamo dati ad es. in relazione alla sorveglianza degli stabili e degli ambienti pubblicamente accessibili. Anche la garanzia di una sicurezza adeguata ha un’importanza rilevante, in particolare per i prodotti digitalizzati. Come tutte le imprese, non possiamo escludere con certezza assoluta che vi siano violazioni della sicurezza dei dati, tuttavia facciamo quanto possibile per ridurre i rischi. Pertanto trattiamo i dati ad es. per sorvegliare, controllare, analizzare e testare le nostre reti e infrastrutture IT, per esami dei sistemi e degli errori, a scopo di documentazione e nell’ambito dei backup di sicurezza.

Tra questi ulteriori scopi rientrano ad es. scopi di educazione e formazione, scopi amministrativi (precisamente per la gestione di dati anagrafici, contabilità, archiviazione dei dati o gestione di immobili e per l’esame, la gestione e il costante miglioramento dell’infrastruttura IT), la tutela dei nostri diritti (ad es. per rivendicare i nostri diritti in sede giudiziaria, in fase precontenziosa o in sede extragiudiziale, nonché davanti ad autorità nazionali ed estere oppure per difenderci da rivendicazioni, ad es. mediante assunzione di prove, chiarimenti giuridici e mediante la partecipazione a procedure giudiziarie o ufficiali), la valutazione e il miglioramento delle procedure interne e in generale la creazione di statistiche e valutazioni anonime. Nell’ambito dello sviluppo aziendale possiamo anche vendere attività aziendali, parti di azienda o imprese ad altre aziende ovvero acquistarli da essi, oppure avviare partnership, il che può anche comportare lo scambio e il trattamento di dati (anche vostri, ad es. in qualità di cliente o fornitore oppure di rappresentante del fornitore). Rientra in tale ambito anche la tutela di legittimi interessi, che non è possibile elencare in modo esaustivo.

Le profilazioni sono trattamenti automatizzati di dati con scopo di analisi e previsione. I principali esempi sono le profilazioni ai fini della lotta al riciclaggio di denaro e al finanziamento del terrorismo, agli abusi, per il controllo della solvibilità, ai fini della gestione dei clienti ed eventualmente per finalità di marketing. Per gli stessi scopi possiamo anche creare profili, ovvero possiamo combinare dati comportamentali e di preferenza, ma anche dati anagrafici e contrattuali, con dati tecnici a voi attribuiti, al fine di comprendervi meglio in quanto persone con i vostri diversi interessi ed esigenze personali. In entrambi i casi teniamo conto della proporzionalità e dell’affidabilità dei risultati e adottiamo misure contro un utilizzo fraudolento di questi profili o di un profiling.

Noi vi informeremo in ogni singolo caso in cui una decisione automatizzata possa comportare conseguenze giuridiche negative o una simile notevole compromissione. In questo caso, se non siete d’accordo con il risultato della decisione, disponete dei diritti citati al punto 10.

Oltre ai dati anagrafici, vi rientrano ad es. le informazioni sulla durata dei contratti, sull’adempimento contrattuale e sul termine dei contratti, altre informazioni sulla misurazione e documentazione dell’indennità e dati per la commercializzazione, anche personalizzata, dei nostri prodotti.  I partner di distribuzione sono tenuti per legge e per contratto a rispettare le disposizioni della Legge sulla protezione dei dati.

Possiamo incaricare soggetti terzi per il controllo degli indirizzi, della solvibilità e per l’incasso di crediti e in questo contesto rendere noti i dati, ad es. sui crediti in sospeso e sul vostro comportamento di pagamento.

Se necessario, possiamo inoltrare i vostri dati ad altre società appartenenti al Gruppo Zurich. Per potervi offrire ad esempio soluzioni finanziarie personalizzate, possiamo inoltrare i vostri dati – in particolare i vostri dati anagrafici, contrattuali e di registrazione nonché i vostri dati comportamentali e di preferenza – ad altre società appartenenti al Gruppo Zurich per l’offerta di prodotti strutturati su misura per voi.

In relazione alla tutela dei diritti, alla difesa da pretese e all’adempimento di requisiti di legge, inoltriamo dati personali eventualmente ad autorità, uffici pubblici, tribunali e altri servizi pubblici, ad es. nell’ambito di procedure di autorità, tribunali e in fase pregiudiziale ed extragiudiziale come pure nell’ambito degli obblighi di legge di informazione e collaborazione. Una comunicazione dei dati avviene anche quando acquisiamo informazioni da servizi pubblici. Le autorità trattano i dati che vi riguardano, e che esse ricevono da noi, nell’ambito della propria responsabilità.

Possiamo ad esempio comunicare dati a persone che sono coinvolte in procedure di tribunali o autorità, ma anche a potenziali acquirenti di imprese, crediti e altri valori patrimoniali e a società finanziarie in caso di cartolarizzazioni e a ulteriori terzi, sui quali noi, se possibile, vi informiamo separatamente, ad es. nelle dichiarazioni di consenso o nelle istruzioni speciali sulla protezione dei dati. Per altre persone si intendono in particolare i destinatari di un pagamento, procuratori, banche corrispondenti, altri istituti finanziari e altri servizi coinvolti in un negozio giuridico.

Per poter realizzare prodotti e prestazioni in modo sicuro ed efficiente in termini di costo, e conseguentemente per poterci concentrare sulle nostre competenze chiave, ci serviamo di servizi di terzi. Questi servizi riguardano ad es. la vendita tramite determinati partner di distribuzione (al riguardo punto 4), servizi IT, l’invio di informazioni, prestazioni di marketing, distribuzione, comunicazione o stampa, gestione, sicurezza e pulizia degli stabili, organizzazione e svolgimento di eventi e ricevimenti, incasso, agenzie di gestione di informazioni economiche, misure antifrode e prestazioni di società di consulenza e società di revisione. Comunichiamo ai fornitori i dati di cui hanno bisogno per le loro prestazioni. Un esempio sono i fornitori di servizi di hosting, che conservano i dati elettronici per noi, eventualmente anche dati degni di particolare protezione, come ad es. dati sanitari. I nostri fornitori devono attenersi ai pertinenti obblighi contrattuali e/o giuridici di segretezza e di protezione dei dati. Eccezionalmente, in casi motivati, potete utilizzare tali dati anche per i vostri scopi, ad es. dati su crediti in sospeso e sulle vostre abitudini di pagamento in caso di agenzie di informazioni sui crediti o dati anonimizzati per il miglioramento dei servizi.

In molti casi è necessaria anche la comunicazione di dati riservati per poter gestire contratti o fornire altre prestazioni. In genere nemmeno gli accordi di riservatezza escludono queste comunicazioni di dati, nemmeno a fornitori. In base alla sensibilità dei dati e ad altre circostanze facciamo tuttavia attenzione affinché questi terzi gestiscano i dati in modo adeguato.

Molti Stati al di fuori della Svizzera o dell’UE o dello SEE attualmente non dispongono di leggi che garantiscano un livello di protezione dei dati adeguato dal punto di vista della LPD o del RGPD. Con le misure precauzionali contrattuali citate è possibile compensare parzialmente questa minore o assente protezione giuridica. Le misure precauzionali contrattuali non sono tuttavia in grado di eliminare tutti i rischi (precisamente di accessi di enti statali all’estero). Dovreste essere consapevoli di questi rischi residui, anche se nel singolo caso il rischio può essere inferiore e noi adottiamo ulteriori misure (ad es. pseudonimizzazione o anonimizzazione) per ridurlo al minimo.

La durata della nostra conservazione dei dati varia pertanto in base alle norme interne e di legge e agli obiettivi del trattamento (al riguardo ved. 4), nei quali rientra anche la tutela dei nostri interessi (ad es. per l’imposizione o la difesa di rivendicazioni, per scopi di archiviazione e per la garanzia della sicurezza IT).4 

Gli obiettivi di documentazione e di prova comprendono il nostro interesse a documentare processi, interazioni e altri fatti nell’evenienza di rivendicazioni giuridiche, incongruenze, obiettivi della sicurezza IT e delle infrastrutture e certificazione di una buona Corporate Governance e Compliance. La conservazione può essere necessaria per motivi tecnici nei casi in cui non sia possibile separare determinati dati da altri dati e noi pertanto dobbiamo conservarli insieme (ad es. in caso di backup o sistemi di gestione dei documenti). 

Tra le nostre precauzioni di sicurezza rientrano misure quali la cifratura e la pseudonimizzazione dei dati, la verbalizzazione, le restrizioni di accesso, l’archiviazione di copie di backup, istruzioni ai nostri collaboratori, accordi di riservatezza, verifiche ecc. Richiediamo anche ai nostri incaricati di impegnarsi ad adottare misure di sicurezza adeguate. Tuttavia in generale non è possibile escludere totalmente rischi per la sicurezza; determinati rischi residui sono inevitabili. 
Proteggiamo mediante meccanismi di cifratura i dati che trasmettete attraverso le nostre pagine web lungo il percorso di trasferimento. Tuttavia possiamo garantire solo la sicurezza dei settori che controlliamo. 
Se vi mettete in contatto con noi tramite e-mail, agite a vostro rischio e acconsentite che noi vi rispondiamo all’indirizzo del mittente attraverso lo stesso canale. Se ci inviate e-mail non cifrate attraverso Internet, queste possono essere accessibili, visualizzabili e manipolabili da terzi. 

In particolare noi potremmo dover trattare ulteriormente e archiviare i vostri dati personali per adempiere a un contratto con voi, per tutelare i nostri interessi degni di protezione, quali ad esempio la rivendicazione, l’esercizio o la difesa di pretese giuridiche, oppure per rispettare obblighi di legge. Ove ammesso dalla legge, in particolare per la protezione dei diritti e delle libertà di altre persone coinvolte nonché per la tutela di interessi degni di protezione, possiamo pertanto rigettare integralmente o parzialmente la richiesta di un interessato (ad es. annerendo determinati contenuti che riguardano terzi o nostri segreti commerciali).