La richiesta di accesso ad atti e documenti detenuti dalle imprese di assicurazione è un fenomeno frequente nell’ambito della gestione dei sinistri derivanti da rapporti contrattuali assicurativi.
Tali richieste – provenienti da contraenti, assicurati o danneggiati – sono di solito finalizzate ad ottenere la copia delle perizie medico-legali e di altre valutazioni eseguite da soggetti specializzati per conto dell’impresa di assicurazione per quantificare i danni subiti dall’assicurato o da terzi danneggiati, ovvero si tratta di istanze volte a richiedere la disponibilità di tutta la documentazione in possesso dell’impresa assicurativa o dell’intermediario, inclusi gli accertamenti e la corrispondenza rilevante relativi ad un sinistro .
Al fine di valutare l’ammissibilità di tali richieste di accesso documentale e decidere come l’impresa di assicurazione debba porsi rispetto alle medesime, occorre far riferimento alternativamente alla disciplina speciale prevista per il settore assicurativo (le norme del Codice delle assicurazioni private e relative disposizioni attuative) oppure alle norme poste a tutela dei dati personali, o al combinato disposto di entrambe le discipline in funzione del soggetto richiedente.
Il tema non è di poco conto, se si considera che in occasione di controversie sulla gestione di un sinistro le imprese si trovano a dover gestire richieste provenienti dalle proprie controparti e di terzi e a dover fornire riscontri in tempi rapidi al fine di consentire l’eventuale tutela giurisdizionale di tali diritti che altrimenti sarebbe preclusa.
Il presente contributo si propone di analizzare brevemente le problematiche e le implicazioni che possono derivare dall’applicazione della normativa assicurativa e di quella a tutela dei dati personali in merito al diritto di accesso da parte di contraenti, assicurati e terzi danneggiati relativamente a contratti assicurativi che coprono la responsabilità civile verso terzi.
2. Il diritto di accesso agli atti secondo la disciplina assicurativa
L’accesso agli atti per il ramo rc auto
Il D. Lgs. 209/2005 (Codice delle assicurazioni private o “CAP”) prevede espressamente all’art. 146 un diritto di accesso agli atti[1] a favore di contraenti e di eventuali danneggiati di polizze di assicurazione r.c. auto e natanti.
Secondo la disposizione codicistica le imprese di assicurazione esercenti l’assicurazione obbligatoria della responsabilità civile derivante dalla circolazione dei veicoli a motore e dei natanti sono tenute a consentire ai contraenti e ai danneggiati il diritto di accesso agli atti a conclusione dei procedimenti di valutazione, constatazione e liquidazione dei danni che li riguardano.
La norma in esame prevede espressamente che siano fatte salve le disposizioni dettate dal codice in materia di protezione dei dati personali per l’accesso ai singoli dati personali.
Tale previsione è finalizzata dunque a consentire l’accesso ad informazioni relative alle varie fasi di accertamento dei fatti riguardanti un sinistro, quantificazione del danno e liquidazione della relativa somma a titolo di risarcimento[2] di cui è in possesso la compagnia di assicurazione che esercita l’assicurazione obbligatoria della responsabilità civile derivante dalla circolazione dei veicoli a motore e dei natanti, ovvero detenute dal soggetto terzo di cui la stessa si avvale per l’esecuzione del contratto assicurativo e la gestione dei sinistri[3] .
In ossequio a quanto previsto dal comma 4 della suddetta disposizione, il Decreto del Ministro dello Sviluppo Economico del 29 ottobre 2008, n. 191[4] ha individuato la tipologia degli atti soggetti e di quelli esclusi dall’accesso e determina gli obblighi delle imprese, gli oneri a carico dei richiedenti, nonché i termini e le altre condizioni per l’esercizio del diritto di accesso.
Per quanto riguarda l’ambito di applicazione soggettivo, nonostante la normativa primaria individui nel contraente e nel danneggiato i titolari del diritto di accesso, si ritiene secondo un’interpretazione estensiva della norma in esame, che sia legittimato all’accesso agli atti di cui all’art. 146 anche l’assicurato (ove diverso dal contraente) i suoi eredi ed aventi causa[5]. Tale interpretazione è suffragata dall’art. 2, comma 1 del suddetto D.M. 191/2008, il quale include tra i soggetti legittimati ad esercitare il diritto di accesso anche gli assicurati.
Limiti oggettivi all’applicazione dell’art. 146 del CAP
Il diritto di accesso previsto dal CAP incontra tuttavia alcune limitazioni.
In primo luogo, al fine di bilanciare il diritto di accesso con l’esigenza di tutelare i dati personali di un soggetto diverso dal richiedente (che coincida o meno con il terzo danneggiato nell’ambito del sinistro), il D.M. 29/10/2008, n. 191 esclude il diritto di accesso alle sezioni di un documento contenenti notizie o informazioni relative a soggetti diversi da colui che esercita il diritto. La possibilità di prendere visione di atti contenenti notizie e informazioni relative a soggetti diversi dal richiedente, tuttavia, è fatta salva qualora:
- pur trattandosi di dati personali riferiti a terzi, la loro conoscenza sia necessaria per curare o difendere interessi giuridici del medesimo richiedente;
- per le parti di documenti contenenti dati sensibili o giudiziari riguardanti persone diverse dal richiedente, tali parti siano strettamente indispensabili;
- in caso di dati idonei a rivelare lo stato di salute e la vita sessuale di persone diverse dal richiedente (quindi una particolare categoria di dati sensibili), incluse le perizie medico-legali, l’accesso sia strettamente indispensabile e la situazione giuridicamente rilevante che si intende tutelare con la richiesta sia di rango almeno pari ai diritti dell’interessato, ovvero consista in un diritto della personalità o in altro diritto o libertà fondamentale e inviolabile.
Il diritto di accesso non è poi consentito quando abbia ad oggetto atti relativi ad accertamenti che evidenziano indizi o prove di comportamenti fraudolenti ed è invece sospeso in pendenza di una controversia giudiziaria tra l’impresa e il richiedente, fermi restando i poteri attribuiti dalla legge all’autorità giudiziaria.
Implicazioni in caso di mancata ottemperanza alle richieste di accesso
L’art. 146 del CAP prevede specifiche conseguenze in caso di inottemperanza alla richiesta del contraente o del terzo e, in particolare, qualora entro sessanta giorni dalla richiesta scritta l’assicurato o il danneggiato non viene messo in condizione di prendere visione degli atti richiesti ed estrarne copia a sue spese, ovvero in caso di rifiuto o limitazione dell’accesso, può inoltrare reclamo all’IVASS anche al fine di veder garantito il proprio diritto. Il reclamo inviato all’IVASS non esclude la possibilità per il richiedente di ricorrere al giudice ordinario.
Inoltre, qualora il comportamento dell’impresa di assicurazione consista nella sistematica mancata risposta alle richieste di un contraente/assicurato/terzo finalizzate ad un accesso ad atti e documenti e tali soggetti rientrino nella categoria dei consumatori, potrebbe configurarsi una “pratica commerciale aggressiva” con le conseguenze previste dal Codice del Consumo[6], ove il comportamento dell’impresa fosse posto in essere al fine di dissuadere il richiedente dall’esercizio dei propri diritti contrattuali.
L’accesso agli atti relativi a polizze RC Terzi da parte di contraenti e assicurati
La disposizione dell’art. 146 del CAP é solitamente utilizzata nella prassi per giustificare in generale le più varie richieste di accesso agli atti e documenti detenuti dalle compagnie assicurative, anche qualora estranee a polizze del ramo RC auto e natanti. Tuttavia, come sostenuto anche dalla giurisprudenza di merito[7], la suddetta disposizione in quanto norma speciale riferita esclusivamente alle richieste di accesso agli atti relativi alle polizze assicurative RC auto e natanti, non può essere applicata in via analogica e pertanto non può applicarsi sic et simpliciter alle richieste di accesso aventi ad oggetto documenti ed atti relativi a polizze assicurative diverse dalla RC auto, come quelle a copertura della responsabilità civile verso terzi.
Pertanto, con riferimento alle richieste provenienti da contraenti e assicurati di una polizza a tutela della responsabilità civile verso terzi, un generale diritto di accesso da parte del contraente e dell’assicurato potrebbe essere riconosciuto sulla base del disposto di cui all’art. 183, primo comma del CAP, che prevede quale regola generale di comportamento nell’esecuzione dei contratti assicurativi l’obbligo in capo alle imprese di assicurazione di comportarsi con diligenza, correttezza e trasparenza nei confronti dei contraenti e degli assicurati.
Tale norma ha infatti la funzione di rafforzare la protezione dei contraenti e degli assicurati nel rapporto con la compagnia di assicurazione. Se infatti in prima battuta la regola della trasparenza ha la finalità, in una fase genetica del contratto assicurativo, di consentire al contraente di operare scelte informate nonché valutazioni comparative, chiarendo il contenuto delle clausole e delle tariffe del contratto, essa ben potrebbe comprendere, in una fase esecutiva di svolgimento del rapporto, oltre agli obblighi di informazione in corso di contratto, anche il generale obbligo dell’impresa di agire in modo trasparente nei confronti del contraente/assicurato e da questi conoscibile, fino a poterlo considerare estensibile alla fase di gestione dei sinistri, in modo da garantire a quest’ultimo un diritto all’ostensione di informazioni e documenti detenuti dalle imprese. A tale regola si aggiunge il dovere di correttezza, ossia l’obbligo dell’impresa di assicurazione di agire in modo da conservare integri gli interessi del contraente/assicurato.
Le regole di comportamento appena menzionate potrebbero inoltre ragionevolmente giustificare anche un diritto di accesso documentale più ampio rispetto alla tutela prevista dall’art. 146 del CAP, consentendo l’esercizio di tale diritto non solo con riferimento agli atti a conclusione dei procedimenti di valutazione, constatazione e liquidazione dei danni che li riguardano, ma in generale a tutte le informazioni relative al rapporto contrattuale, con il limite di eventuali dati personali riferiti a terzi, la cui comunicazione deve poggiare necessariamente su una valida base giuridica ai sensi della disciplina sulla tutela di tali dati (cfr. paragrafo 3 che segue).
Anche in questo scenario, qualora l’impresa di assicurazione neghi senza particolari ragioni l’accesso agli atti e documenti ad un contraente/assicurato, quest’ultimo ben potrebbe presentare all’impresa un reclamo relativo alla mancanza di correttezza e trasparenza nell’esecuzione del contratto, ai sensi del Regolamento IVASS n. 24/2008[8].
La tutela del terzo danneggiato nel contratto di assicurazione RCT: lacune della disciplina assicurativa
Alla luce dell’inapplicabilità dell’art. 146 del CAP a fattispecie diverse da quelle concernenti l’assicurazione obbligatoria della responsabilità civile derivante dalla circolazione di veicoli a motore e natanti e avuto riguardo all’impossibilità di estendere analogicamente l’applicabilità dell’obbligo per le imprese assicurative di comportarsi con correttezza e trasparenza ai sensi dell’art. 183 del CAP nei confronti di soggetti terzi rispetto a coloro che intrattengono il rapporto contrattuale rilevante – ossia il contraente/assicurato – appare evidente che la normativa assicurativa sia lacunosa rispetto alla disciplina del diritto di accesso agli atti da parte di soggetti diversi dalle parti del rapporto contrattuale nel caso di assicurazioni a copertura della responsabilità civile verso terzi, caratterizzati dall’obbligo dell’assicuratore di manlevare l’assicurato dalle pretese di terzi danneggiati.
Occorre pertanto verificare se e entro quali limiti tale lacuna possa essere colmata dalla normativa in materia di tutela dei dati personali.
3. Le norme a tutela dei dati personali: un rimedio alla mancata previsione di un diritto di accesso da parte del terzo danneggiato nella disciplina assicurativa
Il quadro generale sulla tutela dei dati personali
Fermi i limiti posti dalla normativa assicurativa sopra richiamata, in taluni casi le richieste di accesso, ancorché genericamente formulate, assumono rilevanza ai sensi della normativa privacy.
Come noto a partire dal 25 maggio 2018 è divenuta pienamente efficacia la disciplina di cui al Regolamento (UE) 2016/679 (“GDPR”), che ha inteso armonizzare a livello europeo la materia della protezione dei dati personali mediante il ricorso a una fonte direttamente applicabile in tutti gli Stati Membri. La normativa interna è stata adeguata al GDPR mediante ampie modifiche al previgente Codice per la protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196, anche detto “Codice Privacy”), che oggi dunque opera quale normativa di dettaglio ad integrazione del GDPR.[9]
Da una lettura congiunta degli art. 15 GDPR e 2-undecies del Codice Privacy è dunque possibile ricavare la disciplina riguardante, in generale, il diritto di accesso ai dati personali, come definiti dal GDPR stesso, ovvero quali informazioni riguardanti qualsiasi persona fisica identificata o identificabile.[10]
A norma dell’art. 15 GDPR, l’interessato ha il diritto di ottenere dal titolare del trattamento – cioè il soggetto che determina le finalità del trattamento dei dati ai quali è richiesto accesso e che nel caso di specie è l’impresa di assicurazione – la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali (incluso una copia degli stessi), nonché ad una serie di informazioni relative al trattamento (di fatto speculari a quelle che il titolare del trattamento è tenuto a fornire all’interessato all’atto della raccolta dei dati per mezzo dell’informativa privacy). Come chiarito dal Comitato europeo per la protezione dei dati personali[11], non sono previste formalità specifiche per l’esercizio del diritto di accesso, né è necessario che l’interessato citi espressamente il riferimento normativo applicabile, essendo sufficiente che lo stesso manifesti la volontà di accedere ai propri dati personali trattati dal titolare del trattamento che riceve la richiesta.
L’art. 2-undecies del Codice Privacy, invece, implementa quanto previsto dall’art. 23 GDPR, individuando specifici ambiti la cui tutela, in certe ipotesi, può determinare la compressione dei diritti dell’interessato, incluso il diritto di accesso. Ad esempio, ciò può avvenire nel caso in cui dall’accesso potrebbe derivare un pregiudizio effettivo e concreto agli interessi tutelati dalla norme in materia di antiriciclaggio, oppure all’esercizio delle investigazioni difensive o dei diritti in sede giudiziaria (inclusi quelli del titolare del trattamento).
In tali casi il diritto di accesso può essere, a seconda dei casi, ritardato, limitato o persino del tutto escluso per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato; il titolare del trattamento è tenuto ad informare l’interessato delle circostanze in oggetto.
Condizioni di accoglimento della richiesta di accesso documentale da parte di un terzo interessato
Alla luce di quanto precede, non è da escludersi che nell’ambito di un sinistro relativo ad una polizza a copertura della responsabilità civile generale, una richiesta di accesso formulata anche al di fuori delle ipotesi di cui agli articoli 146 e 183 del CAP – e quindi proveniente da parte del danneggiato quale soggetto terzo rispetto alle parti del rapporto contrattuale – possa e debba trovare soddisfacimento ai sensi dell’art. 15 GDPR, purché:
(a) abbia ad oggetto dati personali (nel senso sopra richiamato);
(b) la richiesta sia esercitata dal soggetto interessato (i.e. il soggetto cui i dati sono riferiti), o un suo rappresentante autorizzato (es. un legale con giusta procura);
(c) non sussista una esimente ai sensi dell’art. 2-undecies del Codice Privacy (posto che nei casi in cui gli interessi sottesi risultino tutelabili mediante un accesso parziale o ritardato dovrà comunque garantirsi l’accesso con modalità e tempi da adottare secondo i principi di necessità e proporzionalità).[12]
Ove non dovessero ricorrere le condizioni di cui alle lettere (a) e (b), la richiesta non potrebbe neppure qualificarsi quale richiesta di accesso ai sensi dell’art. 15 GDPR. È il caso, certamente, di una richiesta di accesso formulata da un soggetto diverso rispetto all’interessato cui i dati sono riferiti. Si pensi, ad esempio, alla richiesta formulata dal professionista sanitario che ha stipulato una polizza professionale e che intende accedere ai dati di un terzo danneggiato (un suo paziente). Trattandosi di dati personali riguardanti non il professionista, bensì un terzo, la richiesta in questione esula dall’art. 15 GDPR.
Si ricorda infine che, proprio a fronte della necessità che la richiesta abbia ad oggetto i dati dell’interessato, nel fornire il proprio riscontro l’impresa di assicurazione sarà tenuta a verificare il rispetto dei diritti e libertà altrui in materia di tutela dei dati personali, ad. es. eliminando dai documenti o dai file forniti all’interessato eventuali dati personali di terzi.
4. Conclusioni e soluzioni pratiche
In conclusione, fuori dei casi in cui sussiste una normativa di settore per le richieste di accesso documentale, o dei casi per i quali sussiste un obbligo di legge alla comunicazione di un certo dato, l’impresa di assicurazioni che riceve una richiesta di accesso ad atti ed informazioni raccolte nell’ambito di un rapporto assicurativo derivante da una polizza a tutela della responsabilità civile generale (RC Terzi):
- non potrà applicare per analogia il disposto di cui all’art. 146 CAP (che conformemente alla giurisprudenza di merito si ritiene applicabile esclusivamente in relazione all’assicurazione obbligatoria della responsabilità civile derivante dalla circolazione dei veicoli a motore e dei natanti);
- potrebbe riconoscere un generale diritto di accesso in capo ai contraenti e agli assicurati (ma ovviamente non ai terzi) sulla base del disposto di cui all’art. 183, primo comma del CAP, che prevede l’obbligo di comportarsi con diligenza, correttezza e trasparenza nei confronti dei contraenti e degli assicurati, con il limite di eventuali dati personali riferiti a terzi;
- qualora la richiesta provenga da un terzo – diverso da contraente e assicurato – dovrà valutare se la richiesta, ancorché genericamente formulata e priva di riferimenti normativi, possa qualificarsi come richiesta di accesso ai sensi dell’art. 15 GDPR, accertando, da un lato, che la richiesta abbia ad oggetto dati personali e, dall’altro, che essa sia formulata dal soggetto cui i dati sono riferiti, mediante coinvolgimento del Responsabile della protezione dei dati (DPO), ove presente;
- ove la richiesta, anche se proveniente da un terzo, possa qualificarsi quale richiesta di accesso ai sensi dell’art. 15 GDPR, dovrà (i) accertare che non sussistano esimenti ai sensi dell’art. 2-undecies del Codice Privacy e valutare, se del caso, se eventuali limitazioni pos+sano essere superate limitando i dati forniti e/o ritardando il riscontro alla richiesta e, in ogni caso, (ii) fornire una risposta entro i termini previsti per legge[13].
[*] Hanno collaborato alla redazione dell’ articolo gli avvocati Giulia Monacelli e Davide Valloni del dipartimento insurance e l’avv. Valerio Natale del dipartimento privacy di Hogan Lovells
[1] Tale norma è la trasfusione nel Codice delle assicurazioni private, con modifiche, dell’art. 12 ter della L. 990/1969, introdotto dall’art. 3 della L. 57/2001.
[2] Ai sensi del D.M. 29/10/2008, n. 191, sono soggette all’accesso tutte le tipologie di atti, inerenti procedimenti di valutazione, constatazione e liquidazione dei danni, contenuti nel fascicolo di sinistro, ivi compresi: a) le denunce di sinistro dei soggetti coinvolti; b) le richieste di risarcimento dei soggetti coinvolti; c) il rapporto delle Autorità intervenute sul luogo del sinistro; d) le dichiarazioni testimoniali sulle modalità del sinistro con esclusione dei riferimenti anagrafici dei testimoni; e) le perizie dei danni materiali; f) le perizie medico-legali relative al richiedente; g) i preventivi e le fatture riguardanti i veicoli e/o le cose danneggiate; h) le quietanze di liquidazione.
[3] Ad esempio liquidatori. ROSSETTI, pag. 327.
[4] Tale regolamento ha abrogato il previgente Decreto del Ministero delle attività produttive del 20 febbraio 2004 n. 74, emanato in attuazione dell’art. 12 ter della L. 990/1969 e disciplina l’esercizio del diritto di accesso nonché il procedimento di accesso agli atti.
[5] ROSSETTI, pag. 327.
[6] Art. 26 comma 1 lettera d) del D.Lgs. 06/09/2005, n. 206, Codice del consumo.
[7] Si veda in proposito la decisione della Corte d’Appello di Milano, sez. IV, 24/05/2019, n. 2269 secondo cui: “L’appellante invoca in primo luogo l’applicazione dell’art. 146 del d.lgs. 7 settembre 2005 n. 209 c.d. codice delle assicurazioni e quella degli artt. 7 e 8 del D.lgs. 196/2003 per farne discendere un inadempimento della Compagnia Assicuratrice, di cui il Giudice di primo grado non tiene conto. Nessuna delle disposizioni richiamate è però suscettibile di applicazione. Gli artt. 7 e 8 del D.lgs. 196/2003 sono infatti abrogati, mentre l’art. 146 d.lgs. 7 settembre 2005 n. 209, diversamente da quanto sostiene Ca., non è passibile di estensione analogica, trattandosi di norma speciale, dettata specificamente per l’assicurazione obbligatoria dei veicoli a motore (titolo X del citato decreto)”.
[8] La definizione di reclamo è “una dichiarazione di insoddisfazione in forma scritta nei confronti di un’impresa di assicurazione, di un intermediario assicurativo o di un intermediario iscritto nell’elenco annesso relativa a un contratto o a un servizio assicurativo; non sono considerati reclami le richieste di informazioni o di chiarimenti, le richieste di risarcimento danni o di esecuzione del contratto”. Pertanto ove l’impresa di assicurazione non dovesse rispondere ad una richiesta di accesso agli atti anche motivata ai sensi del 183 ben potrebbe il contraente/assicurato proporre un reclamo
[9] L’adeguamento è avvenuto per mezzo del Decreto Legislativo 10 agosto 2018, n. 101 entrato in vigore il 19 settembre 2018.
[10] Cfr. art. 4(1) GDPR, il quale specifica altresì che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
[11] Si vedano, da ultimo, le Linee Guida 01/2022 sul diritto di accesso adottate il 18 gennaio 2022, soggette a consultazione preventiva nelle sei settimane successive e la cui versione definitiva sarà pubblicata prossimamente.
[12] Cfr. Provvedimento del Garante della protezione dei dati personali del 28 dicembre 2000 (www.garanteprivacy.it, doc. web. 30963), che, interpretando la previgente disciplina in materia di diritto di accesso, ha sostenuto che la comunicazione dei giudizi valutativi espressi dal medico legale fiduciario della compagnia, e contenuti nella perizia, potesse essere legittimamente rifiutata dall’assicuratore nel caso in cui si tratti di trattamento necessario a far valere o difendere un diritto in sede giudiziaria, ma limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per l’esercizio del diritto in sede giudiziaria, incombendo sul titolare del trattamento (i.e. la compagnia) l’onere di provare che l’ostensione delle valutazioni pregiudicherebbe il suo diritto di difesa.
[13] Un mese (estendibile fino a 3 mesi in casi di particolare complessità, fornendo comunque un preavviso entro un mese dalla ricezione della richiesta).