Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Procedimento relativo ai ricorsi - Richiesta di cartella clinica da parte di una compagnia di assicurazioni - 12 aprile 1999 [39921]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
39921
Data:
12/04/99
Tipologia:
Decisione su ricorso

[doc. web n. 39921]

Ricorsi - Richiesta di cartella clinica da parte di una compagnia di assicurazioni - 12 aprile 1999

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello vice presidente e relatore, del prof. Ugo De Siervo e dell´ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale;

esaminato il ricorso presentato dall´interessata, nella persona del segretario generale, rappresentati e difesi dall´avv. ..., ed elettivamente domiciliati presso lo studio di quest´ultimo, sito in Roma, Via G. Spontini, 11;

nei confronti di

un titolare di trattamento;

VISTE le osservazioni dell´Ufficio formulate dal Segretario generale ai sensi dell´art. 7, comma 2, lettera a) del regolamento;

VISTA la documentazione in atti;

PREMESSO:

1. I ricorrenti hanno fatto presente che il Fondo x ha stipulato con l´istituto assicurativo y un contratto di assicurazione per il rimborso delle spese sostenute per infortuni e malattia dai dipendenti iscritti a tale Fondo.

A seguito di ricovero presso un istituto di cura nel & ., la ricorrente, iscritta al Fondo ed assicurata con polizza avente effetto dal ..., ha presentato richiesta di rimborso delle spese sostenute, allegando "impegnativa del medico curante ed i certificati di degenza e di diagnosi rilasciati dall´istituto" stesso.

Il ... .. l´istituto d´assicurazioni ha richiesto all´interessata di produrre "copia integrale della cartella clinica, autenticata in originale" ai fini della definizione e del pagamento del sinistro dalla stessa denunciato. Tale richiesta "si fonderebbe sull´art. 21 delle condizioni generali dell´assicurazione, che prevedono l´autorizzazione a favore della società ... "a prendere visione ed a chiedere copia dei certificati medici, delle cartelle cliniche e di ogni altro documento attinente al caso denunciato nonché ad assumere qualsiasi informazione relativa".

Con lettera raccomandata indirizzata al responsabile del trattamento, inviata all´... e ricevuta il successivo ..., la ricorrente si sarebbe opposta alla raccolta dei propri dati sanitari ai sensi dell´art. 13, comma 1, lett. d), della legge n. 675/1996, chiedendo alla società di provvedere alla cessazione del comportamento illegittimo ed al pagamento dell´indennizzo. La compagnia di assicurazioni non avrebbe però fornito alcun riscontro all´interessata.

L´interessata e l´organizzazione sindacale ... .. (cui la ricorrente è iscritta), nell interesse anche degli altri beneficiari della polizza, hanno presentato poi il ricorso in esame chiedendo a questa Autorità di "ordinare alla Compagnia la cessazione del comportamento illegittimo, nella specie disponendo l´eliminazione della clausola descritta dai propri modelli di polizza assicurativa e la disapplicazione di tale clausola nei rapporti contrattuali in corso".

Tale clausola attribuirebbe, ad avviso dei ricorrenti, una discrezionalità eccessiva alla società di assicurazioni ed implicherebbe una pesante violazione della legge n. 675/1996, in quanto la cartella clinica contiene dati sanitari particolarmente delicati come "l´indicazione della patologia o il sospetto diagnostico".

La predetta prassi contrattuale violerebbe poi le specifiche disposizioni in tema di trattamento dei dati sensibili da parte delle imprese assicurative e, in particolare, di quelle previste dall´autorizzazione generale n. 5/1998 rilasciata dal Garante nei confronti di tali imprese. Questa violazione potrebbe invece essere evitata attraverso la produzione di una certificazione più limitata, quale appunto quella già fornita dall´interessata (che, peraltro, esporrebbe dettagliatamente dati eccedenti lo scopo di una regolare gestione del rapporto contrattuale, come la sintomatologia e la diagnosi).

Per tali ragioni, i ricorrenti ritengono che sussisterebbero i legittimi motivi di cui al citato art. 13, comma 1, lett. d) per opporsi "alla pretesa della Compagnia di raccogliere ed ulteriormente trattare i dati contenuti nelle cartelle cliniche degli assicurati" e che sarebbe necessario l´intervento dell´Autorità al fine di ordinare alla società ..... .. la cessazione del comportamento illegittimo e, in particolare, "un riesame dei moduli, delle formule e delle modalità operative delle condizioni di assicurazione, alla luce di una corretta valutazione di quali dati personali sia indispensabile rendere accessibili all´impresa assicuratrice" .

CIÒ PREMESSO, IL GARANTE OSSERVA:

2. Il d.P.R. 31/3/1998, n. 501 (pubblicato sulla Gazzetta Ufficiale n. 25 del 1/2/1999), recante il regolamento di organizzazione e funzionamento dell´Ufficio del Garante per la protezione dei dati personali, ha introdotto negli artt. 18, 19 e 20 la disciplina relativa alla forma, alle modalità di presentazione ed al procedimento per l´esame dei ricorsi al Garante previsti dall´art. 29 della legge n. 675/1996.

Tale normativa disciplina, altresì, le ipotesi di inammissibilità dei predetti ricorsi (art. 19, d.P.R. n. 501) e stabilisce che gli stessi siano dichiarati inammissibili o manifestamente infondati, prima che il ricorso sia comunicato al titolare e al responsabile del trattamento con il connesso invito ad aderirvi spontaneamente (art. 20, comma 1, d.P.R. n. 501).

Con deliberazione del 1 marzo 1999, n. 5 (pubblicata sulla Gazzetta Ufficiale n. 65 del 19 marzo 1999), il Garante ha poi individuato ai sensi del citato art. 19 i casi in cui, anche su invito dell´Ufficio, il ricorso inammissibile può essere regolarizzato a cura del ricorrente.

3. Il ricorso deve essere dichiarato in parte inammissibile ed in parte manifestamente infondato.

Devono infatti ritenersi del tutto inammissibili le richieste formulate con il ricorso in esame dall´organizzazione sindacale indicata in premessa, in quanto:

a) da un lato, l´interessata, pur essendo iscritta a tale organizzazione, ha esercitato il diritto di opposizione e ha presentato il ricorso al Garante direttamente per il tramite del proprio legale;

b) da un altro, mancano in atti le apposite deleghe e procure speciali conferite al sindacato dagli eventuali altri dipendenti beneficiari della polizza (peraltro, non identificati) che sarebbero interessati ad opporsi ad un trattamento dei loro dati sanitari da parte della compagnia di assicurazioni (cfr. art. 13, comma 4, legge n. 675; art. 17, comma 2, e 18, commi 1 e 2, d.P.R. n. 501/1998); dal ricorso e dai documenti allegati emerge peraltro che questo diritto non è stato preventivamente esercitato da parte dei predetti dipendenti, così come invece richiesto dagli artt. 13 e 29 della legge n. 675/1996.

Va, infatti, osservato che il ricorso ai sensi dell´art. 29 della legge n. 675/1996 presuppone come condizione essenziale per la sua presentazione che l´interessato abbia avanzato precedentemente le proprie richieste, concernente i diritti di cui al citato art. 13, al titolare o al responsabile del trattamento.

La proposizione immediata del ricorso al Garante è possibile solo nell´ipotesi in cui il decorso del tempo necessario per interpellare i predetti soggetti "esporrebbe taluno a pregiudizio imminente e irreparabile". Di tale evenienza, che dovrebbe peraltro essere valutata caso per caso in relazione ad ogni singolo dipendente interessato, non vi è alcun cenno nel ricorso in esame.

Gli eventuali ulteriori ricorrenti che il sindacato intendeva tutelare, avrebbero dovuto quindi, alla stregua della ricorrente, avanzare le proprie richieste nei confronti dell´impresa assicuratrice ed attendere almeno cinque giorni dalla data della loro presentazione prima di presentare un ricorso a questa Autorità.

L´accertata inammissibilità del ricorso non pregiudica la possibilità per il sindacato di farsi conferire, per iscritto, una delega o procura dai dipendenti interessati ad esercitare i diritti di cui all´art. 13 della legge n. 675/1996, né, tantomeno, la facoltà dei dipendenti medesimi di esercitare questi diritti direttamente presso il titolare o il responsabile del trattamento, oppure di rivolgersi al giudice ordinario per far accertare eventuali reati o per presentare istanze in merito alle quali la legge n. 675/1996 non ha attribuito competenze al Garante.

4. Il ricorso appare invece manifestamente infondato per quanto riguarda l´istanza formulata dall´interessata ai sensi dell´art. 13, comma 1, lett. d), della legge n. 675, riguardante l´opposizione, per motivi legittimi, al trattamento dei dati sanitari contenuti nella sua cartella clinica, richiesta dalla società di assicurazione ai fini della definizione e del pagamento del sinistro denunciato.

Va anzitutto evidenziato che il trattamento di dati, anche sensibili, da parte della società scaturisce da un contratto di assicurazione stipulato nel 1994 e deve quindi considerarsi iniziato prima dell´entrata in vigore della legge n. 675/1996 (8 maggio 1997: v. art. 45, comma 1). Non risulta invece dal ricorso e dalla documentazione allegata se e quali dati sanitari siano stati raccolti al momento della stipula della polizza.

Si evidenzia inoltre che il sinistro, la relativa denuncia e la richiesta di rimborso spese, nonché la richiesta della cartella clinica da parte della società, si riferiscono ad un periodo antecedente all´entrata in vigore della legge 675 e, in particolare, della piena applicazione delle disposizioni che prevedono un´autorizzazione del Garante (applicabili dal 30 novembre 1997: cfr. art. 41, comma 7).

Peraltro, le autorizzazioni generali del Garante menzionate nel ricorso sono state rilasciate nei confronti dei trattamenti di dati relativi alla salute svolti anche dalle imprese assicurative relativamente "ai soli dati ed operazioni necessari per fornire specifici prodotti o servizi richiesti dall´interessato" (cfr. par. 1.2, lett. e) dell´autorizzazione n. 2/1998, richiamata al capo VI, num. 1), dell´autorizzazione n. 5/1998).

In ragione della predetta previsione, possono risultare giustificati i trattamenti di dati relativi alla salute effettuati da società di assicurazione al fine della gestione e dell´esecuzione di polizze infortuni e/o malattie, tra i quali (fermo restando il presupposto della necessità rispetto ai prodotti e ai servizi richiesti dall´interessato) può rientrare anche la raccolta dei dati contenuti nelle cartelle cliniche degli assicurati, acquisiti ed utilizzati perché appunto necessari per fornire le specifiche prestazioni richieste dagli assicurati con questo tipo di contratti (es.: rimborso delle spese sostenute in caso di infortuni o malattie).

Proprio per il particolare oggetto di questi contratti (infortunio e/o malattia), le attività di accertamento dei sinistri denunciati e delle spese sostenute dall´assicurato (connesse all´esigenza di adempiere agli obblighi contrattuali od, eventualmente, di far valere i propri diritti in sede giudiziaria) possono comportare, in base a quanto sopra precisato, la necessità per la compagnia assicurativa di trattare dati idonei a rivelare lo stato di salute dell´interessato.

Considerata la fase transitoria della disciplina in materia di protezione dei dati personali, le autorizzazioni nn. 2 e 5 del 1997 e del 1998 non specificano le categorie di dati che comunque non possono essere oggetto di trattamento (eccettuati i dati relativi ai nascituri e i dati genetici); tuttavia, richiedono, a tutela dei diritti degli interessati, il rispetto di alcuni obblighi concernenti le modalità di trattamento, la conservazione e la divulgazione a terzi dei dati.

Nel caso di specie, la ricorrente non contesta particolari operazioni o modalità del trattamento dei propri dati sanitari, ma lamenta l´illegittimità rispetto alla legge n. 675 della prassi assicurativa (prevista nelle condizioni generali del contratto dalla stessa stipulato) di prendere visione e chiedere copia dei documenti sanitari inerenti ai sinistri denunciati.

Pertanto, le doglianze della ricorrente risultano manifestamente infondate in quanto riguardano operazioni di trattamento che sembrano necessarie per l´esecuzione della polizza malattia dalla stessa attivata e che sono considerate dalle autorizzazioni generali già rilasciate dal Garante.

La manifesta infondatezza dell´opposizione della ricorrente risulta confermata anche dalla natura del provvedimento richiesto a questa Autorità, che è del tutto estraneo alle proprie competenze.

Deve ritenersi infatti improponibile l´istanza volta alla caducazione della clausola contrattuale relativa all´acquisizione delle cartelle cliniche da parte dell´assicurazione e alla sua disapplicazione al rapporto in corso, potendosi semmai chiedere a questa Autorità di disporre il blocco o il divieto di trattare i dati, ma non anche di incidere direttamente sull´intero rapporto contrattuale e sugli obblighi assunti reciprocamente dalle parti, la cui invalidità o esigenza di riformulazione potrà semmai essere fatta valere attraverso gli appositi strumenti civilistici.

PER QUESTI MOTIVI, IL GARANTE:

dichiara il ricorso:

a) inammissibile per quanto concerne le richieste avanzate dal Sindacato .....;

b) manifestamente infondato per quanto riguarda le richieste della ricorrente.

Roma, 12 aprile 1999


IL PRESIDENTE
Rodotà

IL RELATORE
Santaniello

IL SEGRETARIO GENERALE
Buttarelli