Privacy e assicurazioni: l'accesso ai
dati - 2
di Paolo Ricchiuto* - 13.02.03
Richieste di accesso generiche
La appena ipotizzata ricostruzione, rischia di esser messa in crisi ove il
richiedente non faccia specifico riferimento all’una o all’altra norma. Il
problema, a ben vedere, nasce non tanto dalla mancata imputazione normativa
della richiesta di accesso, bensì dal fatto che anche gli atti del procedimento
di liquidazione contengono dati personali (primi fra tutti, ovviamente, le
perizie medico-legali). C’è quindi un problema di potenziale sovrapposizione
di due strumenti (l’art. 3 L. 57/01 e l’art.
13 L. 675/96) che potrebbe ingenerare qualche confusione. E’ chiaro che la
situazione deve esser valutata caso per caso.
In linea generale si deve però considerare quanto segue:
per quanto generica, la richiesta deve necessariamente contenere un oggetto. Il
contraente o il danneggiato, cioè, seppur non richiamando alcuna norma di
legge, non potrà non circoscrivere la sua istanza di accesso specificando a
cosa voglia accedere.
Alla luce di quanto sopra evidenziato, la Compagnia dovrà quindi, innanzitutto
qualificare la istanza: se la stessa ha ad oggetto dati personali (anche in
mancanza di uno specifico riferimento all’art. 13 – cfr. provved. Garante
29.09.00), dovrà applicare la l. 675/96; se la stessa ha, invece, ad oggetto
specificatamente gli atti della liquidazione (senza alcun riferimento
particolare ai dati personali), allora si dovrà seguire la strada dettata dalla
l. 57/01.
Non c’è dunque un problema di prevalenza di una normativa sull’altra,
bensì, stante la diversità dell’oggetto sul quale incidono le richieste di
accesso, vi è un problema di qualificazione della richiesta.
Richiesta di accesso ex art. 3 L. 57/01
Proviamo a questo punto, sulla base della incompleta formulazione dell’art. 3, a tracciare delle linee guida per la
gestione dell’immediato:
Conclusione del procedimento di liquidazione. Il riferimento della legge
alla conclusione dei procedimenti di valutazione, constatazione e liquidazione
deve esser letto con riguardo alla ultimazione della pratica di liquidazione del
sinistro. Tanto emerge (seppur implicitamente) anche dalla sopra citata
pronuncia del Garante 08.05.01 (che esclude la possibilità di motivare un
differimento rispetto all’esercizio del diritto ex art. 13 mediante la norma
dell’art. 3 L. 57/01, ma indirettamente conferma che quella norma deve essere
interpretata come garanzia di accesso agli atti esclusivamente dopo la
conclusione del procedimento di liquidazione). Esiste dunque un limite temporale
al diritto di accesso, che non può esser esercitato in pendenza della
istruttoria che porterà all’eventuale liquidazione del danno.
Ma cosa accade in ipotesi di contestazione circa la fondatezza della richiesta
risarcitoria ? E’ certamente vero che, dal punto di vista…sintattico, il
riferimento alla conclusione del procedimento di liquidazione possa essere
interpretato in modo restrittivo, rendendo quindi sostenibile la tesi che il
diritto di accesso sia limitato alla sola ipotesi in cui alla liquidazione si
dia effettivamente seguito. Da una più approfondita analisi della ratio
della norma, però, ritengo si debba giungere alla conclusione opposta: come ho
chiarito nelle pagine precedenti, lo strumento previsto dall’art. 3 consiste
nel garantire a contraenti e danneggiati la possibilità di verificare i singoli
passaggi del procedimento di liquidazione. Il bene giuridico tutelato è la
trasparenza nella gestione del sinistro da parte delle imprese assicurative. Se
ciò è vero, non credo vi siano argomenti validi per sostenere che, in caso di
sinistro eccepito o contestato venga meno il diritto di accesso: anche in tali
ipotesi, infatti, permangono le ragioni di tutela del contraente e del
danneggiato, che, ripeto, originano dalla volontà del legislatore di mettere
gli stessi in condizione di verificare come sia stata gestita la procedura di
liquidazione.
Alla luce di ciò (e salve diverse indicazioni che dovessero emergere dopo la
pubblicazione del decreto ministeriale), ritengo che anche nel caso in cui la
compagnia dovesse addivenire alla conclusione di non procedere ad alcuna
liquidazione stragiudiziale (contestando la sussistenza della responsabilità
del proprio assicurato, eccependo la mancanza di nesso causale tra condotta e
danno, etc.etc.), il contraente ed il danneggiato potrebbero comunque esercitare
il diritto di accesso, e la compagnia sarebbe comunque vincolata a mettere a
disposizione degli stessi gli atti del procedimento.
Diritto a prendere visione degli atti. Il comma 2 dell’art. 3 recita
testualmente: Se entro sessanta giorni dalla richiesta l’assicurato o il
danneggiato non è messo in condizione di prendere visione degli atti richiesti,
egli può rivolgersi all’ISVAP al fine di veder garantito il proprio diritto. La
norma, dunque, esplicitamente vincola la compagnia a far prendere visione degli
atti al richiedente. Non è quindi in nessun modo riprodotto il sistema previsto
dall’art. 17 co. 6 DPR 510/98 in materia di accesso ai dati personali (secondo
il quale il titolare del trattamento deve provvedere alla estrazione dei dati ed
alla trasposizione degli stessi su supporti cartacei o informatici). La domanda
da porsi è la seguente: a fronte della richiesta di accesso ex art. 3 L. 57/01,
l’impresa assicurativa è semplicemente tenuta a tenere a disposizione del
richiedente gli atti, ovvero deve fornirne una copia integrale? La formulazione
del comma in esame è certamente dubbia.
Un elemento interpretativo potrebbe esser costituito dall’esame di altre
norme che, nell’affrontare i problemi del diritto di accesso, laddove hanno
inteso garantire all’interessato il diritto di avere una copia degli atti, lo
hanno previsto apertamente (ciò che porterebbe ad affermare che, in mancanza di
una previsione esplicita, dovrebbe esser negato il diritto ad avere copia degli
atti). C’è però da evidenziare come una interpretazione troppo restrittiva
del concetto di presa visione mal si concilierebbe, a mio avviso, con il nuovo
regime di tutela dettato dalla L. 57/01: consentire al richiedente
esclusivamente di prendere visione degli atti, inibendo poi allo stesso di
averne in mano una copia, limiterebbe infatti pesantemente la possibilità della
adozione delle iniziative a propria tutela da parte del contraente e del
danneggiato. E’ proprio questo, peraltro, uno degli aspetti sui quali una
parola certa non potrà che venire dal decreto ministeriale, trattandosi di un
profilo squisitamente pratico cui quel decreto dovrebbe dare concretezza
operativa.
Atti contenenti dati personali di terzi. L’art. 3 si riferisce
genericamente a tutti gli atti del procedimento di liquidazione. Guardando alla
norma esclusivamente sotto il profilo del rispetto della L. 57/01, non esistono
dunque argomenti per ritenere esclusi dall’ambito del diritto
di accesso, atti contenenti dati di terzi.
Questo, ovviamente, non significa che i dettami della L. 675/96 possano esser
bypassati: come già chiarito, l’una normativa non esclude e non assorbe l’altra,
ed il problema si sposta sulla verifica della legittimità della comunicazione,
sotto lo specifico profilo della tutela della riservatezza degli interessati.
Anche questo aspetto dovrebbe trovare idonea regolamentazione nel famigerato
decreto ministeriale.
Ad oggi, è possibile sviluppare le seguenti considerazioni:
Dati comuni: a norma dell’art. 12
lett. c) L. 675 la comunicazione dei dati comuni è ammessa, anche in assenza
del consenso dell’interessato, in adempimento di un obbligo previsto dalla
legge, da un regolamento o dalla normativa comunitaria. Se dunque, in
ipotesi di accesso ex art. 3 l. 57/01, la compagnia comunica al richiedente
anche dati personali comuni di un terzo, tale condotta non può esser in nessun
modo censurata, atteso che la stessa integra l’adempimento di un obbligo che
deriva direttamente da una norma di legge, e che la vincola (e la abilita) a
comunicare i dati.
Dati sensibili: Com’è noto, secondo l’art. 22 co. 1 l. 675/96 il trattamento dei
dati sensibili (e quindi anche la comunicazione degli stessi) è legittimo
esclusivamente in presenza di due presupposti: l’autorizzazione del Garante ed
il consenso scritto dell’interessato.
Teniamo staccati i due profili:
Autorizzazione: In virtù della nota autorizzazione generalizzata
(rinnovata per l’anno in corso – Aut.ne 5/02), per il combinato disposto dei
punti 1, 2 e 4: i dati sensibili possono esser comunicati nei limiti
strettamente pertinenti al perseguimento delle finalità di cui al punto 2), a
soggetti pubblici o privati…..(punto 4); La autorizzazione è
rilasciata, anche senza richiesta, limitatamente ai dati ed alle operazioni
indispensabili per adempiere agli obblighi anche precontrattuali che i soggetti
di cui al punto 1 (tra cui le Imprese assicurative) assumono nel proprio
settore di attività, al fine di fornire specifici beni, prestazioni o servizi
richiesti dall’interessato. L’autorizzazione è rilasciata anche per
adempiere o per esigere l’adempimento ad obblighi previsti, anche in materia
fiscale, dalla normativa comunitaria, dalla legge, dai regolamenti o dai
contratti collettivi, o prescritti da autorità o organi di vigilanza o di
controllo nei casi indicati dalla legge o dai regolamenti(punto 2).
In virtù di tale assetto, ai fini del requisito della autorizzazione, la
comunicazione dei dati sensibili a colui che abbia esercitato il diritto di
accesso ex art. 3 L. 57/01, dovrebbe considerarsi coperta dal fatto che la
comunicazione stessa è prevista da un obbligo di legge.
Ma questo non basta.
Consenso: Deve risultare per iscritto, e deve essere informato. Lo stesso
postula, cioè, l’avvenuta informativa all’interessato a norma dell’art. 10 L. 675/96.
Il problema, nel rapporto con il contraente, può essere risolto intervenendo
sulla struttura della informativa: nel prevedere il consenso del contraente al
trattamento dei dati sensibili ed alla comunicazione a vari soggetti, si
potrebbe indicare esplicitamente, tra i possibili destinatari della
comunicazione, anche i terzi danneggiati che abbiano esercitato i diritti di cui
all’art. 3.
Nell’ipotesi, invece, in cui sia il contraente a richiedere l’accesso ad
atti che contengano dati sensibili del danneggiato (esempio classico, le perizie
medico-legali), il dilemma, a ben guardare, si sposta in termini generali sul
profilo del rapporto con il danneggiato ai fini del rispetto della L. 675/96, e
costituisce quindi un aspetto della più ampia questione della legittimità del
trattamento (e della comunicazione) dei dati sensibili del danneggiato da parte
della compagnia che istruisce il sinistro. Sotto questo profilo è chiara la
opportunità di una informativa da consegnare al danneggiato, contenente anche l’acquisizione
del consenso alla comunicazione dei dati. In quella sede, può esser risolto
anche il problema de quo, mediante l’inserimento tra i terzi possibili
destinatari della comunicazione, del contraente che abbia esercitato i diritti
di cui all’art. 3.
Accesso a dati sanitari. Come evidenziato in precedenza, l’art. 23 co. 4 L. 675/96 prevede che i dati
sanitari debbano essere resi noti all’interessato solo per il tramite del
medico designato dall’interessato o dal titolare.
Nulla di tutto ciò è previsto dall’art. 3 L. 57/01, e presumibilmente la
questione sarà fatta oggetto di regolamentazione da parte del decreto di
attuazione.
Nell’immediato, ove gli atti contengano dati idonei a rivelare lo stato di
salute dell’interessato, è a mio parere preferibile invitare il richiedente
ad indicare comunque un medico cui comunicare gli stessi: è in altri termini
consigliabile, sempre nella prospettiva di non "bypassare" la L.
675/96, dedurre la necessità di rispettare detta normativa, in tutte le ipotesi
in cui vi siano questioni che riguardano la comunicazione ed il trattamento di
dati personali.
(Testo tratto dalla relazione al convegno "Privacy nelle aziende -
l'evoluzione normativa, giurisprudenziale e gli ultimi orientamenti del Garante
- Paradigma s.r.l. - Milano, 19-20.11.2002)
|