Le procure in ambito assicurativo
Le procure in ambito assicurativo sono compatibili con la
legislazione sulla protezione dei dati? I dubbi sorgono soprattutto nel caso di
procure di portata molto ampia.
Le procure in ambito assicurativo sono compatibili con la
legislazione sulla protezione dei dati? I dubbi sorgono soprattutto nel caso di
procure di portata molto ampia.
L’assicuratore necessita di una procura dell’assicurato quando intende procedere a una raccolta di dati per la quale non esiste una base legale. Dato che le persone o gli organi che dispongono delle informazioni richieste sono vincolati per legge o per contratto all’obbligo di serbare il segreto, l’assicuratore chiede all’assicurato una procura che lo autorizza a raccogliere tali dati. Spesso la portata di queste procure solleva interrogativi e molti assicurati si chiedono se sia davvero necessario concedere in modo generico a medici, ospedali, altri assicuratori, datori di lavoro, uffici dell’aiuto sociale o autorità fiscali l’autorizzazione di trasmettere all’assicuratore i dati che li concernono. Al riguardo occorre considerare che l’assicurato è tenuto a concedere queste procure in forza del suo obbligo di collaborazione e di minimizzazione del danno.
Spesso le procure sono formulate in modo molto generico e contengono un lungo elenco di persone e organi presso i quali l’assicuratore può raccogliere dati o ai quali può trasmetterli. Le procure prevedono autorizzazioni di ampia portata poiché all’assicuratore non è dato sapere in anticipo a chi dovrà chiedere le informazioni e se sarà necessario coinvolgere anche altri assicuratori, ad esempio l’assicurazione contro gli infortuni.
Dal punto di vista della protezione dei dati è essenziale che la procura sia riferita a un evento concreto e che le informazioni raccolte per fare luce sull’evento siano circoscritte. Non sono ammesse in alcun caso procure di portata globale («procure in bianco»). L’assicuratore deve chiedere una procura separata per ogni singolo evento assicurato; non può inoltre chiedere una procura riferita a eventi che non hanno ancora avuto luogo. La procura deve specificare l’oggetto della raccolta di dati, ad es. «sinistro del xx.xx.20xx», e limitare il trattamento a quelli indispensabili a tal fine. Di regola gli assicuratori si avvalgono di procure standardizzate che sottopongono indistintamente a tutti gli assicurati al momento della conclusione del contratto di assicurazione o in caso di evento assicurato. Dato che non distinguono tra i diversi tipi di evento, queste procure spesso menzionano innumerevoli interlocutori da cui l’assicuratore può ottenere i dati (medico di famiglia, ospedale, datore di lavoro, altri assicuratori ecc.). Ciò non significa tuttavia che l’assicuratore sia effettivamente abilitato a chiedere informazioni a tutti i soggetti indicati: la procura dell’assicurato si riferisce infatti soltanto ai dati necessari nel caso concreto. Peraltro, nonostante la procura, le persone contattate dall’assicuratore hanno l’obbligo di valutare se i dati chiesti sono conformi allo scopo del trattamento (principio della proporzionalità) e se interessi preponderanti dell’assicurato si oppongono alla loro trasmissione, e possono trasmettere soltanto le informazioni legate all’evento concreto. La procura non abilita quindi indistintamente il medico o un altro assicuratore (ad es. la cassa malati) a mettere l’intera cartella medica o l’intero dossier assicurativo dell’interessato a disposizione dell’assicurazione d’indennità giornaliera in caso di malattia: soprattutto nel caso di documentazioni che si estendono sull’arco di più anni, la trasmissione integrale è ammessa soltanto se esse contengono informazioni effettivamente rilevanti per l’evento in questione.
Va inoltre considerato l’obbligo dell’assicurato di collaborare e di contribuire a chiarire i fatti (art. 28 della legge federale sulla parte generale del diritto delle assicurazioni sociali, LPGA), che gli impone di trasmettere di persona le informazioni necessarie all’assicurazione d’indennità giornaliera in caso di malattia oppure autorizzare terzi a trasmetterle, in particolare liberandoli dal segreto professionale o contrattuale (art. 28 cpv. 3 LPGA). L’assicuratore è in diritto di rifiutare o ridurre le prestazioni se l’assicurato non soddisfa questo obbligo o se lo soddisfa soltanto in parte. La prassi mostra che gli assicuratori di norma non accettano le richieste degli assicurati di modificare il tenore della procura e, anzi, in questi casi minacciano di ridurre le prestazioni per mancato rispetto dell’obbligo di collaborazione. Di fatto gli assicurati sono quindi costretti a firmare la procura.
Nonostante ricevano competenze molto estese in materia di accesso ai dati personali, gli assicuratori sono tenuti a rispettare i principi fondamentali della protezione dei dati. Chi desidera sapere quali dati medici sono stati raccolti sul suo conto può presentare una domanda di accesso presso l’organo competente. È inoltre possibile revocare in ogni momento una procura già concessa, sebbene questo, come detto, possa ripercuotersi sulle prestazioni dell’assicurazione.
Di regola i datori di lavoro concludono per i loro dipendenti un’assicurazione collettiva d’indennità giornaliera secondo la legge sul contratto d’assicurazione (LCA) per coprire il rischio di dover versare il salario agli impiegati che si trovano in congedo malattia di lunga durata. Per poter stabilire le prestazioni da versare nel caso concreto, l’assicuratore deve poter chiedere informazioni ai medici curanti e ad altri organi. Necessita quindi di una procura dell’assicurato che libera dagli obblighi legali o contrattuali di serbare il segreto (in particolare il segreto medico) tutte le persone e le istituzioni che dispongono di informazioni utili per accertare i fatti nel caso concreto. Lo scopo di questa procedura è garantire che l’assicurazione d’indennità giornaliera in caso di malattia possa accedere alle informazioni conformemente a quanto previsto dalla legge.
Nel formulare la procura le assicurazioni dell’indennità giornaliera in caso di malattia dispongono di un ampio margine di manovra. Secondo la giurisprudenza più recente spetta infatti all’assicuratore decidere di quali informazioni necessita nel singolo caso per valutare l’obbligo di versare prestazioni e per il loro calcolo. Ciononostante egli è pur sempre vincolato dal principio della proporzionalità: la procura deve quindi fare riferimento al caso concreto e limitarsi alle informazioni necessarie. Una procura globale volta a giustificare qualsiasi trasmissione di dati all’assicuratore non è quindi valida.
Di norma l’assicurazione per l’invalidità (AI) chiede agli assicurati di riempire un formulario in cui è inclusa una procura che autorizza l’AI a procurarsi dati concernenti l’assicurato in particolare presso il datore di lavoro, i medici o gli altri assicuratori. Scopo della procura è segnatamente permettere all’AI di verificare il diritto a ricevere prestazioni dell’AI.
Spesso questa procura è però formulata in modo molto generico o comunque tale da non permettere di determinare quali dati l’AI intende raccogliere né presso quali soggetti o a quale scopo (principio di trasparenza e di proporzionalità).
Questo tipo di «procura in bianco» non soltanto viola la legislazione sulla protezione dei dati ma anche la LPGA. Quest’ultima prevede infatti che gli assicurati sono tenuti soltanto nel caso concreto ad autorizzare gli attori coinvolti nel procedimento a dare le informazioni necessarie per l’esame del diritto alle prestazioni. Se l’autorizzazione è concessa, queste persone e servizi sono tenuti a fornire le informazioni.
Nella previdenza professionale può essere necessario accedere a dati medici ad esempio in occasione del passaggio a un nuovo datore di lavoro o se si verifica un evento assicurato.
Gli istituti di previdenza sono tenuti ad ammettere tutti gli impiegati che soddisfano le condizioni per un’assicurazione obbligatoria ai sensi della legge federale sulla previdenza professionale per la vecchiaia, i superstiti e l’invalidità, motivo per cui i dati medici non sono esigibili ai fini dell’ammissione all’assicurazione obbligatoria.
Tuttavia i questionari sulla salute sono di norma ammessi se l’istituto di previdenza fornisce prestazioni più estese rispetto all’assicurazione obbligatoria: in tal caso l’istituto non interviene nella veste di assicurazione sociale ma come assicuratore privato e può pertanto formulare riserve a seconda dello stato di salute dell’assicurato rispetto ai rischi di morte e di invalidità. Se vuole evitare un’eventuale riduzione o rifiuto delle corrispondenti prestazioni, l’assicurato è tenuto a collaborare e a fornire tutte le informazioni necessarie. L’istituto di previdenza deve tuttavia attenersi al principio di proporzionalità. Questo significa che può chiedere soltanto i dati personali necessari e idonei per lo scopo del trattamento e che i dati vanno trasmessi al medico di fiducia o al servizio medico dell’istituto.
Gli istituti di previdenza sono abilitati a chiedere a terzi dati medici concernenti gli impiegati se vi è un motivo giustificativo ai sensi della legge federale sulla protezione dei dati (LPD), in particolare se l’interessato ha dato il suo consenso. Il consenso è un prerequisito indispensabile quando l’istituto di previdenza desidera ottenere informazioni da un medico, poiché questi è vincolato al segreto professionale secondo il Codice penale. Per legge il consenso necessita della forma scritta.
Il consenso è tuttavia valido soltanto se l’interessato ne conosce la portata esatta. Il documento deve pertanto indicare in modo chiaro e inequivocabile le informazioni che l’assicuratore ha diritto di ottenere e le persone da cui può ottenerle (principio di trasparenza e di proporzionalità). Il principio di trasparenza vale soprattutto per i dati medici in quanto dati personali degni di particolare protezione. In questo ambito, una «procura in bianco» è da considerare incompatibile con la legislazione in materia di protezione dei dati.
Il datore di lavoro che fa capo a prestazioni assicurative della previdenza facoltativa non ha il diritto di consultare i dati medici dei suoi impiegati in vista dell’ammissione all’istituto di previdenza: soltanto quest’ultimo, e più precisamente il suo medico di fiducia o servizio medico, può accedervi. Dato che compete soltanto all’istituto di previdenza decidere sull’ammissione di una persona alla previdenza facoltativa, la procedura di ammissione va configurata in modo che il datore di lavoro non abbia accesso ai dati medici dell’interessato.
Ultima modifica 24.07.2024