La presente informativa si rivolge agli Interessati, così come definiti al paragrafo successivo, e illustra come e perché ASSIDIM, in qualità di titolare del trattamento, tratta i loro dati personali, quali dati tratta e quali sono i diritti garantiti agli Interessati dalla normativa vigente sulla protezione dei dati personali. Prima di illustrare tali aspetti, si ritiene utile fare una breve premessa su chi è ASSIDIM e sulle finalità dalla stessa perseguite.

ASSIDIM è una cassa di assistenza avente natura giuridica di associazione riconosciuta, non ha finalità di lucro ed è costituita per promuovere ed erogare prestazioni sanitarie e assistenziali integrative, complementari e/o sostitutive al Servizio Sanitario Nazionale e altre forme di assistenza (di seguito “Prestazioni”) in favore dei Beneficiari (di seguito anche “Interessati”), così come individuati nello Statuto di ASSIDIM, e rappresentati principalmente dai dipendenti delle aziende associate ad ASSIDIM e dai relativi familiari o soggetti equiparabili, ex dipendenti, soggetti titolari di pensione, pensionandi. La promozione e l’erogazione delle prestazioni può avvenire nelle seguenti modalità:

a) in forma diretta-autoassicurata (mediante il rimborso della spesa sanitaria sostenuta dagli Interessati o di parte di essa): possono essere erogate in tale modalità le assistenze Sanitarie;

b) in forma indiretta-assicurata, facendo dunque ricorso al mercato assicurativo, in particolare tramite la stipulazione, tra ASSIDIM e una o più compagnie di assicurazione, di polizze collettive in favore dei Beneficiari; sono erogate in tale modalità le assistenze diverse dalla Sanitaria, mentre l’assistenza Sanitaria può essere erogate in entrambe le forme.

ASSIDIM persegue altresì il fine di diffondere la cultura sanitaria e assistenziale nonché l’importanza di curare adeguatamente la salute, la prevenzione e il benessere in un’ottica di accessibilità, mutualità e sostenibilità.

ASSIDIM agisce secondo le regole e le procedure associative, disciplinate in particolare all’interno dello Statuto, del Regolamento e dell’ulteriore documentazione correlata al rapporto associativo. Per maggiori informazioni sull’attività svolta da ASSIDIM è possibile visitare il sito web https://www.assidim.it/ dove è anche pubblicata la presente informativa.

Titolare del trattamento è ASSIDIM, con sede legale in 20122 – Milano (MI), Via Pantano, 2, contattabile per qualsiasi questione legata al trattamento dei dati personali all'indirizzo e-mail privacy@assidim.it. Gli Interessati possono utilizzare questo canale anche per esercitare i diritti previsti dal GDPR, come meglio indicato nella sezione Diritti degli interessati e come esercitarli.

ASSIDIM ha designato un responsabile della protezione dei dati (“RPD” o, in inglese, “DPO”, da data protection officer), che può essere contattato al seguente indirizzo di posta elettronica: dpo@rbtlegal.it.

Per perseguire le proprie finalità, ASSIDIM può trattare diverse categorie di dati personali degli Interessati. Le operazioni di trattamento e le categorie di dati personali trattati possono variare a seconda delle fasi in cui avviene il trattamento, nonché in base ad altri fattori, tra i quali ci sono la tipologia di assistenza attivata (dunque la tipologia di Prestazioni erogate), la modalità di erogazione delle Prestazioni e (nel caso di Prestazioni erogate in forma indiretta-assicurata) la tipologia di polizza assicurativa sottoscritta e la compagnia di assicurazione di riferimento.

Fermo quanto sopra, generalmente ASSIDIM tratta i dati di seguito indicati.

• Nella fase di iscrizione dei Beneficiari:
  • per le assistenze di tipo Sanitaria: cognome, nome, data di nascita, data di iscrizione, indirizzo, codice fiscale, IBAN, quota contributo a carico, qualifica categoria professionale e altri dati relativi al rapporto di lavoro intercorrente con l’azienda di appartenenza tra cui la cessazione del rapporto di lavoro, e-mail (dati solitamente inviati ad ASSIDIM dall’azienda di appartenenza); codice nucleo, associato da ASSIDIM e comunicato al Beneficiario; già in tale fase possono essere raccolti anche i seguenti dati relativi ai familiari del Beneficiario c.d. caponucleo: cognome, nome, rapporto di parentela intercorrente con il caponucleo, data di nascita, codice fiscale, data iscrizione;
  • per le altre tipologie di assistenza, a seconda dei casi: cognome, nome, data nascita, codice fiscale, sesso, capitale assicurati, quota contributo a carico, qualifica categoria professionale e altri dati relativi al rapporto di lavoro intercorrente con l’azienda di appartenenza tra cui la cessazione del rapporto di lavoro, tipologia di rischio assicurato (es. professionale, extra professionale), tipologia di capitale (es. morte, invalidità permanente), RAL (tale dato talvolta è indicato solo in forma aggregata); ai fini della normativa antiriciclaggio, possono essere raccolti i seguenti ulteriori dati: tipologia di contratto, capitale azienda, capitale dipendente, cittadinanza, tipologia numero data emissione data scadenza ente rilascio di documento di identità/riconoscimento, e-mail (e-mail obbligatoria in alcuni casi).
• Nella fase di attivazione del piano assistenziale: sono trattati, oltre ai dati raccolti in fase di iscrizione, gli eventuali ulteriori dati comunicati dal Beneficiario caponucleo tramite la propria area riservata MyMarsh (area riservata che può essere attivata nell’ambito delle assistenze Sanitarie). Per esempio, possono essere comunicati i nominativi e gli altri dati richiesti dei propri familiari. Per alcune tipologie di assistenze possono essere raccolti ulteriori dati, compresi dati relativi alla salute (es. tramite questionario anamnestico o tramite altra documentazione sanitaria), richiesti dalle compagnie di assicurazione.
• Nella fase di erogazione delle Prestazioni in forma diretta-autoassicurata: oltre ai dati trattati nelle fasi precedenti, sono trattati gli ulteriori dati trasmessi dal Beneficiario caponucleo tramite la propria area riservata e relativi alle spese sanitarie per le quali si chiede il rimborso. Possono dunque essere tratti anche i seguenti dati: IBAN, tipologia di prestazione sanitaria di cui ha beneficiato l’Interessato, copia della fattura e/o della quietanza di pagamento da cui si evince la spesa sanitaria sostenuta, numero di fattura, data della fattura, importo della fattura, prescrizione medica con quesito diagnostico e ulteriore documentazione giustificativa (ove richiesta), somma rimborsata e dati correlati. Dalla fattura o documentazione giustificativa possono evincersi ulteriori dati dell’Interessato, quali ad esempio dati relativi alla salute e professionista sanitario/struttura sanitaria di cui si è avvalso.
  
  In tale fase, inoltre, il trattamento dei dati personali, ivi compresi quelli relativi alla salute, può essere effettuato anche mediante tecnologia OCR per finalità strettamente connesse alla sola erogazione delle prestazioni sanitarie e più precisamente nelle attività che rientrano nel c.d. servizio di liquidazione, in particolare per rendere più efficiente l’erogazione di dette prestazioni, e senza che ciò comporti alcuna ulteriore conservazione dei dati personali da parte di soggetti terzi. Tale metodologia viene utilizzata con il solo scopo di facilitare il processo di lettura di alcune tipologie di richieste di rimborso presentate dagli Interessati senza che ciò faccia venir meno il coinvolgimento umano nel servizio di liquidazione.

• Nella fase di invio dei dati all’Agenzia delle Entrate, con riferimento ai Beneficiari che hanno ricevuto il rimborso (anche se liquidato dalle compagnie di assicurazione): codici fiscali che nell’anno solare di riferimento hanno ricevuto il rimborso, con indicazione, per ogni codice fiscale, dell’importo della spesa rimborsata, dell’anno in cui è stata sostenuta la spesa sanitaria da parte del Beneficiario, dell’anno in cui è stato effettuato il rimborso della spesa sanitaria.

Ulteriori tipologie di dati personali possono essere raccolte e trattate durante il rapporto associativo, a seconda delle specifiche esigenze del caso concreto (ad esempio in virtù della peculiarità del piano assistenziale attivato) e delle specifiche richieste che ASSIDIM dovesse ricevere.

ASSIDIM tratta i dati personali degli Interessati per assolvere le proprie finalità statutarie, come indicate in premessa, e svolgere tutte le attività a ciò funzionali e/o connesse. Vi rientrano le attività finalizzate a: gestire il rapporto associativo e il rapporto derivante dall’iscrizione, in tutte le loro fasi, anche propedeutiche al perfezionamento dell’iscrizione; calcolare gli importi dei contributi da versare ad ASSIDIM; consentire l’attivazione dell’Area riservata MyMarsh; attivare i piani assistenziali e mettere in condizione i Beneficiari aventi diritto di usufruire dei benefici derivanti dalla convenzione sottoscritta tra ASSIDIM e altri soggetti operanti nel settore assistenziale; gestire le richieste di rimborso (ove di competenza di ASSIDIM) ed erogare le Prestazioni; fornire supporto e assistenza; adempiere agli obblighi normativi, amministrativi e fiscali; informare gli Interessati e diffondere la cultura sanitaria e assistenziale nonché l’importanza di curare adeguatamente la salute, la prevenzione e il benessere in un’ottica di accessibilità, mutualità e sostenibilità. ASSIDIM si riserva di trattare i dati anche per verificare la legittimità delle richieste degli Interessati e la sussistenza dei requisiti e condizioni eventualmente previsti per accedere ai benefici e alle Prestazioni.

Il trattamento dei dati personali viene effettuato, dunque, in virtù dell’associazione e dell’iscrizione ad ASSIDIM, nonché per riscontrare specifiche richieste degli Interessati, oltre che per adempiere a obblighi imposti dalla normativa legislativa e regolamentare via via vigente, tra cui la normativa di settore, quella in materia di antiriciclaggio e quella di natura fiscale, tra cui si segnala l’art. 78, comma 25-bis, della legge 30 dicembre 1991, n. 413, e i connessi provvedimenti emanati dall’autorità tributaria, che prevedono l’invio da parte di ASSIDIM all’Agenzia delle Entrate di alcuni dati riferibili ai rimborsi delle spese sanitarie sostenute dai Beneficiari.

ASSIDIM può usare gli indirizzi e-mail degli Interessati per inviare comunicazioni che rientrano in due macro tipologie:

• comunicazioni operative o comunque strettamente inerenti/necessarie/funzionali al rapporto intercorrente con i Beneficiari;
• comunicazioni non rientranti tra le prime, ma finalizzate a diffondere la cultura sanitaria e assistenziale nonché l’importanza di curare adeguatamente la salute, la prevenzione e il benessere in un’ottica di accessibilità, mutualità e sostenibilità. L’interessato può opporsi in qualsiasi momento al ricevimento di tali comunicazioni.

Le comunicazioni di cui sopra possono essere inviate anche da Marsh per conto di ASSIDIM (è il caso, per esempio, di alcune comunicazioni relative all’operatività e al funzionamento dell’area riservata MyMarsh). I dati personali possono essere trattati al fine di migliorare i piani assistenziali in maniera sostenibile, migliorare le prestazioni erogate e le relative modalità di erogazione; dunque, a beneficio della popolazione presente e futura dei Beneficiari e delle aziende associate o che decideranno di associarsi. Tale trattamento si basa sulla necessità di perseguire un legittimo interesse di ASSIDIM.

Al fine di gestire e gestire le richieste di rimborso (per quanto di propria competenza, in particolare nei casi di erogazione delle Prestazioni in forma diretta-autoassicurata) e dunque al fine di erogare le Prestazioni, nonché al fine di attivare determinate tipologie di piani assistenziali, ASSIDIM tratta dati relativi alla salute dei propri Beneficiari e lo fa sulla base del consenso esplicito prestato dall’Interessato, o dal capo nucleo per conto dell’Interessato.

Ove prestato, il consenso può essere revocato in ogni momento dall’Interessato senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca, tramite appositi form e procedure, ove previsti, o in ogni caso scrivendo a: privacy@assidim.it.

Inoltre, il trattamento dei dati relativi alla salute (anche nei casi in cui le Prestazioni sono erogate in forma indiretta-assicurata) può essere fatto in virtù dell’obbligo legale, in capo ad ASSIDIM, di comunicazione all’anagrafe tributaria ai sensi dell’art. 78, comma 25-bis, della legge 30 dicembre 1991, n. 413, e dei connessi provvedimenti emanati dall’autorità tributaria.

La conservazione dei dati relativi alla salute dopo l’erogazione delle Prestazioni e/o dopo le valutazioni svolte al fine di erogare le Prestazioni, potrebbe fondarsi anche sulla necessità di ASSIDIM di dover rendicontare la propria attività nei confronti delle Autorità competenti, ove richiesto, e sulla necessità di dover valutare l’accoglibilità di successive richieste di rimborso da parte del medesimo interessato, conformemente alle regole statutarie, regolamentari e dei piani assistenziali di riferimento.

In virtù del ruolo di contraente collettivo di polizze assicurative in favore dei beneficiari, ASSIDIM potrebbe essere coinvolta in attività/verifiche che comportano un trattamento di dati relativi alla salute anche quando l’erogazione delle Prestazioni avviene in forma indiretta-assicurata.

Il trattamento dei dati personali può inoltre basarsi sulla necessità di accertare, esercitare o difendere un diritto in sede giudiziaria o per dare seguito ad eventuali richieste delle autorità competenti nell’esercizio delle loro funzioni.

I dati dei Beneficiari possono essere inviati ad ASSIDIM:

• dalle relative aziende di appartenenza: ciò avviene tipicamente in fase di richiesta di iscrizione;
• dal Beneficiario capo nucleo, il quale può comunicare ad ASSIDIM i dati dei propri familiari, ove pertinente;
• dal diretto Interessato, quando interagisce direttamente con ASSIDIM, anche tramite Marsh o MyMarsh;
• da Marsh, con la quale intercorre un consolidato rapporto, e alla quale ASSIDIM affida lo svolgimento di diversi servizi, compresi servizi di natura amministrativa e (con riferimento alle Prestazioni erogate in forma diretta-autoassicurata) liquidativa;
• dalle compagnie di assicurazione di riferimento: è il caso, per esempio, dei dati relativi ai rimborsi delle spese sanitarie che poi ASSIDIM invia all’Agenzia delle Entrate;
• da ulteriori soggetti coinvolti nella gestione del rapporto associativo e nell’erogazione delle Prestazioni, quali ad esempio strutture e professionisti sanitari convenzionati.

L’Interessato non ha un obbligo legale di fornire i propri dati ad ASSIDIM, ma il mancato conferimento dei dati può compromettere o impedire la corretta gestione del rapporto e l’erogazione delle Prestazioni.

Quale regola generale, ASSIDIM conserva i dati personali degli Interessati, anche successivamente all’erogazione delle Prestazioni, per dieci anni decorrenti dalla cessazione del rapporto associativo/di iscrizione o dall’erogazione delle Prestazioni, o dal ricevimento di richieste specifiche, salvo che la legge disponga diversamente o salvo il caso in cui la consrvazione per un periodo di tempo maggiore risulti necessaria per consentire ad ASSIDIM di accertare, esercitare o difendere un diritto in sede giudiziale. Tale termine è necessario ad ottemperare agli obblighi contrattuali e associativi nonché a soddisfare gli obblighi di legge, compresi quelli di natura fiscale, in capo a ASSIDIM. Trascorso tale periodo, ASSIDIM cancella i dati personali oppure li rende anonimi.

Qualora ASSIDIM riceva dati superflui (es. vengono comunicati ad ASSIDIM dati dei familiari del Beneficiario caponucleo nonostante il piano assistenziale non prevede i familiari tra i beneficiari delle Prestazioni) ASSIDIM può procedere direttamente alla cancellazione di tali dati.

Destinatari esterni all’organizzazione

Per il perseguimento delle proprie finalità, ASSIDIM può comunicare i dati personali degli Interessati a soggetti a vario titolo coinvolti nella gestione dell’Ente e nell’erogazione delle Prestazioni, nella misura in cui la comunicazione si renda necessaria. Tra questi vi sono: le compagnie di assicurazione, alle quali ASSIDIM invia i dati dei Beneficiari per l’attivazione dei piani assistenziali (in casi eccezionali i dati possono essere inviati anche direttamente dall’azienda di appartenenza alla compagnia dia assicurazione); distributori assicurativi e in particolare Marsh (società del Gruppo Marsh), con la quale intercorre un consolidato rapporto, e alla quale ASSIDIM affida lo svolgimento di diversi servizi, compresi servizi di natura amministrativa e (con riferimento alle Prestazioni erogate in forma diretta-autoassicurata) liquidativa; società specializzate nella gestione delle attività relative all’analisi e liquidazione dei sinistri; i soggetti che si occupano dello sviluppo e manutenzione dell’infrastruttura informatica di ASSIDIM; cloud service providers e fornitori di altri servizi digitali strumentali allo svolgimento di una o più attività; il professionista di cui eventualmente ASSIDIM si avvale per la comunicazione dei dati all’Agenzia delle Entrate; consulenti professionisti e altre società di servizi coinvolti nella gestione dell’Ente; istituti di credito; strutture e professionisti sanitari convenzionati; enti che offrono prestazioni assistenziali e di varia natura a condizioni agevolate in favore dei Beneficiari in virtù di apposite convenzioni sottoscritte da ASSIDIM; Agenzia delle Entrate (in particolare per la comunicazione dei dati riferibili ai rimborsi delle spese sanitarie sostenute dai Beneficiari).

Destinatari interni all’organizzazione

Internamente, il personale di ASSIDIM può accedere ai dati personali degli Interessati in base al proprio profilo di autorizzazione, stabilito in base alle mansioni svolte.

Qualora il Beneficiario utilizzi GAIA (l’assistente telefonico virtuale, che risponde in fasce d’orario prestabilite in sostituzione e a supporto degli operatori telefonici di ASSIDIM, i quali restano comunque direttamente contattabili negli orari indicati sul Sito), si informa di quanto segue.

Oltre alle informazioni fornite telefonicamente dal chiamante, GAIA acquisisce, rendendoli disponibili agli operatori autorizzati di ASSIDIM, il numero di telefono del chiamante e alcuni dati relativi alla chiamata (data e durata della chiamata, contesto individuato tra quelli eventualmente opzionabili). Le informazioni fornite telefonicamente dal chiamante sono messe a disposizione degli operatori sottoforma di testo, per poter consentire ad ASSIDIM di fornire ulteriore assistenza e chiarimenti ove necessario.

I dati acquisiti vengono dunque trattati per fornire assistenza ai chiamanti e per rispondere alle loro richieste, nelle seguenti modalità:

• in forma automatizzata, durante la telefonata o al termine della stessa tramite SMS su richiesta del chiamante al numero da questi indicato;
• eventualmente, in una fase successiva, da parte degli operatori di ASSIDIM, che possono ricontattare il chiamante ove lo ritengano opportuno.

I dati acquisiti tramite GAIA sono resi disponibili agli operatori di ASSIDIM per il tempo necessario a fornire l’assistenza richiesta (due mesi dall’acquisizione dei dati, salvo esigenze specifiche che giustifichino un periodo maggiore), dopodiché vengono cancellati oppure anonimizzati. I dati anonimizzati, e cioè non riconducibili ad un determinato chiamante, possono essere trattati da ASSIDIM per fare valutazioni ed elaborare statistiche finalizzate a migliorare i servizi (nel senso più ampio del termine) e le attività svolti da ASSIDIM.

I dati acquisiti tramite GAIA possono essere trattati, sia in fase di acquisizione sia successivamente, comunque per le sole finalità riconducibili al servizio, dalla società esterna specializzata che si occupa dello sviluppo, gestione e manutenzione di GAIA.

Non è obbligatorio fornire informazioni tramite GAIA, anzi, il chiamante è invitato a non fornire informazioni di carattere personale diverse da quelle richieste dall’assistente virtuale, in particolare a non fornire informazioni relative alla salute o informazioni relative ad altre persone. Inoltre, è sempre possibile contattare direttamente un operatore di ASSIDIM agli orari indicati sul Sito.