Il decesso di una persona non comporta la fine della sua identità e della sua dignità, né tantomeno la cancellazione dei suoi dati personali, che al contrario potrebbero essere ancora trattati dai Titolari che li avevano raccolti per le finalità più diverse e che si potrebbero trovare di fronte a richieste da parte di eredi di accedervi.
Come comportarsi dunque, dinnanzi alle richieste di eredi e i familiari delle persone defunte che hanno la necessità di accedere ai dati personali del de cuius, per esercitare i loro diritti successori, per conoscere aspetti della vita del defunto che li riguardano o li interessano, o per ragioni familiari meritevoli di protezione? I dati di un defunto possono considerarsi ancora dati personali, meritevoli delle tutele sancite dalla normativa?
In questo articolo, analizzeremo la normativa vigente in materia di protezione dei dati personali delle persone defunte, con particolare riferimento al Regolamento (UE) 2016/679 (GDPR) e al decreto legislativo n. 196/2003 (Codice della privacy), nonché alla giurisprudenza del Garante per la protezione dei dati personali e delle corti superiori.
Vedremo quali sono i principali diritti degli eredi in relazione ai dati personali del defunto e gli orientamenti principali delle corti in tal senso.
Volume consigliato: I ricorsi al Garante della privacy-I diritti, i doveri e le sanzioni
Indice
1. Il diritto alla privacy delle persone defunte
Il diritto alla privacy ed alla protezione dei dati personali sono diritti fondamentali riconosciuti dalla Carta dei diritti fondamentali dell’Unione Europea (artt. 7 e 8).
I dati personali di un soggetto deceduto possono avere una rilevanza storica, culturale, scientifica o sociale, e possono influire sulla reputazione, sull’onore o sul decoro del defunto stesso o dei suoi familiari. Inoltre, i dati personali del defunto possono essere oggetto di trattamenti illeciti o abusivi da parte di terzi che ne vogliano approfittare per scopi fraudolenti, discriminatori o lesivi della memoria del defunto, tuttavia, la tutela della privacy dei defunti non ha una normativa così lineare ed è necessario svolgere qualche precisazione.
Innanzi tutto, ricordiamo che la tutela dei dati personali delle persone defunte non è prevista dal GDPR, che anzi al Considerando 27 esclude espressamente l’applicazione della normativa europea ai dati personali delle persone decedute. L’impostazione del Regolamento discende direttamente dall’impostazione data dal WP 29 (il Gruppo di lavoro per la protezione dei dati personali dell’Unione europea) che in un parere assai risalente sul concetto di dati personali (la cui definizione oggi si trova nell’art. 4 del GDPR stesso) chiarì che le informazioni relative alle persone decedute non potessero considerarsi dati personali soggetti alle norme della Direttiva 95/46/CE (oggi GDPR) poiché, per il diritto civile, i defunti non sono più persone fisiche.
Il Considerando 27 fa propria questa impostazione, prevedendo tuttavia una clausola di salvaguardia, in forza della quale i singoli Stati membri possono prevedere l’adozione di norme interne disciplinanti e riguardanti i dati e le informazioni personali dei defunti.
In Italia, il codice della privacy, come modificato dal decreto legislativo n. 101/2018, prevede una disposizione specifica a riguardo, che riconosce la tutela dei dati personali delle persone decedute. L’art. 2-terdecies del novellato d. lgs. 196/2003 prevede infatti che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
Potrebbero interessarti anche:
2. I diritti degli eredi sui dati personali del defunto
Gli eredi sono i soggetti che hanno maggior interesse ad accedere ai dati personali del defunto, in quanto ne sono i successori a titolo universale o particolare, e in quanto possono avere una relazione affettiva, familiare o personale con il defunto. I diritti riconosciuti sono quelli propri che il GDPR riconosce a tutti gli interessati, elencati qui di seguito.
Il diritto di accesso, che consente agli eredi di conoscere quali dati sono stati trattati dal titolare del trattamento, per quali finalità, con quali modalità e con quali destinatari. Il diritto di accesso comprende anche il diritto di ottenere una copia dei dati trattati e di essere informati sui diritti previsti dal Gdpr, come il diritto di rettifica, cancellazione, limitazione, opposizione e portabilità.
Il diritto di rettifica, che consente agli eredi di chiedere al titolare del trattamento di correggere o integrare i dati che riguardano il defunto, ad esempio per aggiornare i suoi dati anagrafici, fiscali, sanitari, ecc.
Il diritto alla cancellazione, che consente agli eredi di chiedere al titolare del trattamento di cancellare i dati personali del defunto, se sussiste uno dei motivi previsti dal Gdpr, come il fatto che i dati non siano più necessari per le finalità per cui sono stati raccolti, che il defunto abbia revocato il consenso al trattamento, che i dati siano stati trattati illecitamente, che vi sia un obbligo legale di cancellazione o che il defunto si sia opposto al trattamento.
Il diritto alla limitazione del trattamento, che consente agli eredi di chiedere al titolare del trattamento di sospendere il trattamento dei dati personali del defunto, se sussiste una delle condizioni previste dal Gdpr, come il fatto che gli eredi contestino l’esattezza dei dati, che il trattamento sia illecito ma gli eredi si oppongano alla cancellazione, che i dati siano necessari agli eredi per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria o che gli eredi si siano opposti al trattamento in attesa della verifica della prevalenza dell’interesse legittimo del titolare.
Il diritto alla portabilità, che consente agli eredi di ricevere i dati personali del defunto in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli a un altro titolare del trattamento senza impedimenti, se i dati sono stati forniti dal defunto stesso al titolare del trattamento e se il trattamento si basa sul consenso o su un contratto e se è effettuato con mezzi automatizzati.
Il diritto di opposizione, che consente agli eredi di impedire al titolare del trattamento di usare i dati personali del defunto per scopi diversi da quelli per cui sono stati raccolti o per finalità contrarie alla volontà del defunto stesso, se il trattamento si basa sull’interesse legittimo del titolare o su un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e se gli eredi dimostrano che esistono motivi legittimi per opporsi.
Questi diritti possono essere esercitati dagli eredi rivolgendosi al titolare del trattamento dei dati personali del defunto e presentando una richiesta scritta. Il titolare deve rispondere entro un mese dalla ricezione della richiesta e può chiedere agli eredi di dimostrare la loro qualità e il loro interesse.
3. Esempi giurisprudenziali di violazione della privacy delle persone defunte
Nel 2019, il Garante ha irrogato una sanzione di 50.000 euro a una società di assicurazioni che aveva comunicato i dati personali relativi a una polizza vita stipulata da una persona deceduta a un soggetto che si era finto suo erede. La società aveva agito senza verificare l’effettiva qualità di erede del richiedente e senza informare il vero erede della comunicazione dei dati. Il Garante ha ritenuto che la società avesse violato il principio di correttezza, il principio di minimizzazione, il principio di responsabilizzazione e il diritto di accesso degli eredi previsti dal GDPR e dal codice della privacy.
Nel 2018, la Corte di Cassazione ha confermato la condanna a un anno e sei mesi di reclusione per un medico che aveva divulgato a terzi i dati sanitari di una paziente deceduta per una malattia sessualmente trasmissibile. Il medico aveva agito senza il consenso degli eredi della paziente e in violazione del segreto professionale. La Corte ha ritenuto che il medico avesse violato il diritto alla riservatezza e alla dignità della persona defunta e dei suoi familiari, nonché l’art. 167-bis del codice della privacy (sentenza n. 1724/2018)
Nel 2017, il Garante ha irrogato una sanzione di 5.000 euro a una banca che aveva omesso di notificare agli eredi di un cliente deceduto una violazione dei dati personali subita dalla banca stessa. La violazione consisteva nell’accesso non autorizzato da parte di un dipendente della banca ai dati relativi al conto corrente del cliente defunto. Il Garante ha ritenuto che la banca avesse violato il principio di trasparenza e il diritto alla notifica degli eredi previsti dal GDPR e dal codice della privacy.
Nel 2021 il Tribunale di Milano ha concesso ai genitori del figlio defunto di ottenere, dalla società Apple Italia Srl, le credenziali di accesso all’ID Apple, per poter accedere ai contenuti (immagini, registrazioni, video) presenti nello smartphone, archiviati su iCloud del ragazzo. Il Tribunale ha infatti ritenuto legittimo l’accesso alle informazioni personali del figlio deceduto da parte dei suoi genitori, sia per la finalità di recuperare le immagini del figlio, sia in virtù del legame esistente tra genitori e figli, considerato di per sé idoneo ad integrare le “ragioni familiari meritevoli di protezione” previste espressamente dall’art. 2 terdecies del d. lgs 196/2003.
Scrivi un commento
Accedi per poter inserire un commento