Lexipedia

06.3040 · Interpellanza · 2006-03-09

Dipartimento dell'interno

Liquidato

Wortlaut

Il Consiglio federale è invitato a rispondere alle seguenti domande:

1. Vi sono assicuratori-malattie che violano le disposizioni relative alla protezione dei dati rilevati nel settore della LAMal, in particolare dei dati medici altamente sensibili (p. es. utilizzandoli nel settore delle assicurazioni private)? In caso affermativo, è possibile determinare la portata di queste violazioni?

2. In che modo l'autorità di vigilanza ottempera al suo obbligo di vigilanza e di controllo in questo settore e garantisce che siano rispettati i diritti degli assicurati?

3. È necessario adottare misure atte a garantire effettivamente i diritti degli assicurati oppure tali misure sono già state adottate? In caso affermativo, di quali provvedimenti si tratta?

Begründung

Secondo quanto riferito dalla stampa ("Beobachter", 19 gennaio e 2 febbraio 2006; "Tagesanzeiger", 20 febbraio 2006), la seconda cassa malati in ordine di grandezza della Svizzera, attiva soprattutto nel settore dell'assicurazione obbligatoria delle cure medico-sanitarie (AOMS) con circa 970 000 assicurati, gestisce una banca dati elettronica contenente dati medici altamente sensibili violando in parte gravemente, sempre secondo quanto riportato dalla stampa, le disposizioni sulla protezione dei dati. Un'ampia cerchia di circa 400 collaboratori non medici della cassa malati avrebbe accesso agli atti degli assicurati la cui consultazione è riservata ai medici di fiducia secondo l'articolo 57 LAMal. Se fosse vero che anche collaboratori con incarichi esclusivamente amministrativi hanno accesso a tali dati, la situazione sarebbe problematica: da un lato, dal profilo del diritto in materia di protezione dei dati e di tutela della personalità e, dall'altro, perché a quanto sembra i dati rilevati da questa cassa malati nell'ambito dell'AOMS sono a disposizione anche del suo settore delle assicurazioni private (servizio affiliazioni, domande esterne ecc.).

Secondo il "Beobachter", i responsabili della cassa, per motivi di ordine aziendale, hanno coscientemente aggirato il sistema di gestione concepito per trattare i dati in modo conforme alla legge ("pretese esagerate in materia di protezione dei dati non devono condurre a un onere amministrativo supplementare evitabile"). In tali circostanze, risulta incomprensibile come l'Ufficio federale della sanità pubblica possa ottemperare al suo obbligo di vigilanza e controllo limitandosi, a quanto pare, a richiedere una presa di posizione alla cassa malati.

Occorre adottare misure ed eventualmente emanare direttive vincolanti affinché la vigilanza e il controllo delle disposizioni legali vigenti possano essere effettivamente esercitati. La cassa malati in questione deve garantire senza indugi che l'accesso a dati altamente sensibili sia limitato, come previsto dal diritto in materia di protezione dei dati, a un numero massimo di sei a sette persone e per una durata massima di due settimane, il tempo necessario per trattare una questione concreta in merito al caso in esame.

L'aspetto positivo emerso dagli articoli menzionati è che la maggior parte delle casse malati rispetta queste regole. Tuttavia, le inadempienze di una sola cassa malati sono sufficienti per squilibrare l'intero sistema di concorrenza finora promosso nel settore delle assicurazioni malattia, perché l'aggiramento delle regole assicura un vantaggio competitivo che distorce i rapporti di mercato inducendo le altre casse malati a comportarsi allo stesso modo. Tale tendenza va arrestata nell'interesse dei pazienti, dell'uguaglianza davanti alla legge e di una sana concorrenza.

Stellungnahme des Bundesrates

1. Secondo la LAMal, nell'ambito dell'assicurazione obbligatoria delle cure medico-sanitarie sono gli stessi assicuratori malattie ad essere responsabili dell'osservanza della protezione dei dati. Il trattamento di dati personali è autorizzato unicamente in base a una disposizione legale. Inoltre gli assicuratori devono adottare tutte le misure legali e organizzative per proteggere i dati personali. All'interno dell'assicurazione, la garanzia della protezione di dati medici incombe ai medici di fiducia (art. 57 cpv. 7 LAMal).

Nel settore delle assicurazioni complementari, gli assicuratori non sottostanno alle severe condizioni del diritto in materia di protezione dei dati applicate agli organi federali, ma alle normali prescrizioni della legge federale sulla protezione dei dati (RS 235.1). Gli assicuratori complementari possono dunque trattare dati relativi agli assicurati nella misura in cui ciò è necessario per il buon funzionamento amministrativo.

In seno a un'azienda, sovente i dati relativi all'assicurazione obbligatoria delle cure medico-sanitarie e quelli dell'assicurazione complementare non sono trattati in maniera separata, il che può avere conseguenze indesiderate per la protezione dei dati degli assicurati. Tuttavia la legge prevede un'altra tutela: in casi motivati e su richiesta degli assicurati, i fornitori di prestazioni sono autorizzati a rendere noti i dati medici unicamente ai medici di fiducia. Questi ultimi, poi, possono trasmettere all'amministrazione delle assicurazioni soltanto i dati necessari per decidere in merito alla presa a carico di una prestazione, per determinare il rimborso o per motivare una decisione. Per non incorrere in una procedura penale essi devono garantire il rispetto dei diritti della personalità degli assicurati.

2. In quanto autorità di vigilanza competente, l'Ufficio federale della sanità pubblica (UFSP) può impartire istruzioni agli assicuratori per l'applicazione uniforme del diritto federale anche nel campo della protezione dei dati (art. 21 LAMal). In caso di inosservanza delle prescrizioni legali, l'autorità di vigilanza adotta, a seconda della natura e della gravità dell'infrazione, le misure idonee (prescrizioni vincolanti, multe disciplinari e, come ultima ratio, il ritiro del riconoscimento e dell'autorizzazione).

In più occasioni l'UFSP si è già occupato di questioni concernenti la protezione dei dati. Al centro delle sue preoccupazioni vi erano soprattutto i formulari di affiliazione, in cui venivano poste domande illegali inerenti allo stato di salute delle persone interessate. Il 9 marzo 2005 l'UFSP ha pertanto deciso di emanare la circolare "Protezione dei dati e della personalità" che disciplina tale protezione nell'ambito della stipulazione di un'assicurazione obbligatoria delle cure medico-sanitarie. Persegue il medesimo obiettivo la modifica d'ordinanza decisa dal Consiglio federale il 26 aprile 2006 (art. 6a dell'ordinanza sull'assicurazione malattie; RS 832.102), secondo la quale la domanda d'ammissione all'assicurazione obbligatoria delle cure medico-sanitarie e quella per un'assicurazione volontaria non possono figurare sul medesimo formulario. Questa separazione mira a minimizzare il rischio di un trattamento illegale dei dati.

Attualmente l'UFSP sta verificando le accuse pubblicamente mosse all'assicuratore menzionato nell'interpellanza. A seconda dei risultati di queste verifiche, adotterà le necessarie misure di vigilanza. Inoltre, in futuro l'UFSP, in collaborazione con l'Ufficio federale delle assicurazioni private, controllerà con maggiore attenzione, nel quadro delle sue risorse, le raccolte di dati degli assicuratori, invitando a parteciparvi anche l'incaricato federale della protezione dei dati.

3. I medici di fiducia svolgono un ruolo fondamentale nella protezione della personalità nell'ambito dell'assicurazione obbligatoria delle cure medico-sanitarie. Tra l'altro devono rendere noti dati medici sensibili o personali se questi sono necessitati dalla divisione delle prestazioni o dalla divisione giuridica di un assicuratore malattie per prendere una decisione. Gli assicuratori devono proteggere i dati personali da consultazioni non autorizzate, anche interne all'azienda, mediante adeguate misure tecniche e organizzative. Secondo la giurisprudenza del Tribunale federale, occorre creare un sistema di criteri severi (cfr. DTF 131 II 413). Nessun argomento economico portato dagli assicuratori può giustificare la lesione dei diritti della personalità.

Alla luce di quanto esposto si può affermare che le misure di cui dispone l'UFSP adempiono al loro scopo. Il Consiglio federale non ritiene necessario adottare ulteriori provvedimenti.

Risposta del Consiglio federale.