I dati (personali) dei defunti: quale privacy?

Cosa accade ai nostri dati quando non ci siamo più?

Quali sono i diritti legati ai contenuti di persone decedute?

Il Regolamento europeo sulla Protezione dei Dati Personali (“GDPR” o “Regolamento”) si applica anche alle persone decedute?

Normativa applicabile

Il Considerando n. 27 del GDPR esclude l’applicazione del Regolamento ai dati delle persone decedute; ma è presente una clausola di salvaguardia, subito dopo, che prevede la facoltà, per gli Stati membri dell’Unione europea, di emanare norme per regolare il trattamento di questi dati personali.

In Italia è l’art. 2-terdecies del D. Lgs. 196/2003, aggiornato dal D. Lgs 101/2018 (“Nuovo Codice Privacy”) a prevedere che i diritti spettanti agli interessati ai sensi degli artt. 15-22 GDPR (cioè l’accesso, la cancellazione, le limitazioni al trattamento, la portabilità dei dati – da qui in avanti “i diritti dell’interessato”) che si riferiscono ai dati personali riguardanti le persone decedute, possono essere esercitati (i) da chi ha un interesse proprio, o (ii)  agisce a tutela dell’interessato, (iii) in qualità di suo mandatario, o (iv) per ragioni familiari meritevoli di protezione.

L’esercizio di questi diritti non è ammesso, oltre che nei casi previsti dalla legge, quando l’interessato ne ha espressamente fatto divieto con dichiarazione scritta presentata o comunicata al Titolare del trattamento.

La volontà di vietare l’esercizio dei diritti dell’interessato deve risultare in modo non equivoco e deve essere specifica, libera e informata, e può riguardare anche solo l’esercizio di alcuni dei diritti dell’interessato.

In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio, da parte dei terzi, dei diritti patrimoniali che derivano dalla morte dell’interessato, e non può impedire loro di difendere in giudizio i propri interessi.

Giurisprudenza

Fino a qui si è risposto ad alcune delle domande iniziali.

Ma sembra ora interessante, per vedere effettivamente cosa accade ai dati personali dopo il decesso di una persona, raccontare anche una recente sentenza sul tema.

Il 10 febbraio 2021, il Tribunale di Milano, in via cautelare, ha ordinato ad Apple Italia S.r.l. di fornire al figlio – ricorrente – i dati di una persona deceduta – il padre. Il Tribunale di Milano ha ritenuto illegittima la pretesa di Apple, fondata su norme americane in materia di sicurezza, che negava tale accesso.

Infatti, l’art. 2-terdecies del Nuovo Codice Privacy demanda alla persona la scelta, in vita, di lasciare o meno agli eredi la facoltà di accedere ai propri dati, e, in assenza di un espresso divieto, attribuisce agli eredi, o a chi agisce per “ragioni familiari meritevoli di protezione” l’esercizio dei diritti del defunto.

Il giudice di Milano ha ritenuto esistente anche un legittimo interesse da parte dei genitori, che prevale sulla sicurezza dei clienti opposta da Apple.

Qui il link diretto alla Sentenza.

Massime del Garante Privacy

Sembra infine utile concludere con qualche pillola sul tema, che è trasversale a diverse materie, dell’Autorità Garante per la Protezione dei Dati Personali italiana:

  • In tema di contratti bancari estinti dopo la morte di una persona, il relativo erede ha il diritto di accedere a tutti i dati personali concernenti il “de cuius”, ivi comprese le informazioni attinenti a pregressi rapporti obbligatori di cui egli sia stato contitolare- Garante 3 aprile 2002, in Bollettino n. 27, pag. 20 [doc. web n. 1065256]; e ancora l´erede ha diritto di conoscere tutti i dati personali riferiti al suo dante causa e detenuti da un istituto di credito. – Garante 10 dicembre 2003 [doc. web n. 1053648].
  • In tema di assicurazioni, il Titolare del trattamento è tenuto ad estrarre dagli atti e dai documenti detenuti – ivi comprese le polizze eventualmente sottoscritte – tutte le informazioni personali relative al defunto, mettendole a disposizione, in modo intelligibile, dell’erede, con esclusione dei dati relativi ai terzi beneficiari della polizza assicurativa Garante 31 marzo 2003 [doc. web n. 1053796].
  • In tema di atti giudiziari, il discendente del defunto ha pieno titolo ad accedere ai dati personali del “de cuius” a prescindere dalla concreta posizione attualmente rivestita in ambito successorio, senza che l’esercizio di tale diritto possa essere condizionato alla prova della qualità di chiamato all´eredità o all´esibizione di particolari documenti, quale la procura notarile rilasciata dagli eventuali altri eredi – Garante 19 novembre 2003 [doc. web n. 1152385].

____________________________________________

Immagine di copertina di David Menidrey grazie a Unsplash

La Corte di Giustizia UE sui contenuti online provenienti da altri siti Web

In tutti i casi di “incorporazione” (o “transclusion” per utilizzare il termine adottato dalla CGUE) all’interno della propria pagina internet di una risorsa – ovvero, di un contenuto – proveniente da un altro sito web l’elemento incorporato appare nella pagina internet, senza rimandare al sito di provenienza.

Le ragioni alla base dell’uso di questa incorporazione possono essere molteplici: la necessità di presentare all’utente funzioni di altre piattaforme o la fornitura di altri tipi di servizi, come la riproduzione di musica, la pubblicazione post di social media, ecc.

Un altro motivo, ancora, può essere legato agli aggiornamenti contenuti all’interno di un sito o alla necessità di porre immagini provenienti da altre fonti all’interno della propria pagina.

Queste situazioni hanno sfumature diverse tra loro a livello tecnico-informatico, ma possono essere osservate sotto lo stesso punto di vista normativo e giurisprudenziale.

La giurisprudenza della Corte di Giustizia dell’Unione europea

La Corte di Giustizia, Sez. II, nella sentenza del 7 agosto 2018 n. 161 ha previsto che la messa in rete di un contenuto all’interno di un sito internet, precedentemente pubblicato su un altro sito internet, si qualifica come messa a disposizione e perciò come atto di comunicazione al pubblico.

Per questa ragione, la diffusione del contenuto diventa illecita se non autorizzata dal titolare del diritto in questione.

La Corte è arrivata a queste conclusioni distinguendo nettamente i casi in cui:

  • da un lato, il titolare dei diritti conserva una possibilità di controllo sull’opera, in quanto la sua eventuale rimozione dal sito bersaglio rende il link inefficace,
  • dall’altro, in contrasto con quanto previsto dall’art. 3 della Direttiva 2001/29/CE, l’autore del sito che “incorpora” esclude tale possibilità, in violazione dei diritti esclusivi di comunicazione e messa a disposizione del pubblico.

La Direttiva sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione prevede infatti che sia qualificata come comunicazione al pubblico il fatto di incorporare, mediante la tecnica del framing, in una pagina Internet di un terzo, opere protette dal diritto d’autore e messe a disposizione del pubblico in libero accesso con l’autorizzazione del titolare del diritto d’autore su un altro sito Internet, qualora tale incorporazione eluda misure di protezione contro il framing adottate o imposte da tale titolare.

La giurisprudenza italiana si è orientata in modo analogo, affermando che si è in presenza di violazione dell’art. 2598, n. 1 e 2 del Codice civile quando l’utente che si colleghi ad un determinato sito e, su di esso, utilizzi un link, venga collegato alla pagina di un altro sito con contenuti informativi, ma detta pagina venga visualizzata all’interno della cornice (“frame”) del primo sito e, pertanto, i segni distintivi e gli avvisi pubblicitari, posti su questo, continuino a circondare la pagina “agganciata”.

I requisiti per l’incorporazione

I contenuti che si trovano su altri siti possono essere, dunque, incorporati lecitamente solo in presenza di due requisiti.

In primo luogo, che l’utente che sta navigando sulla nostra pagina si renda conto che il contenuto incorporato appartiene a terzi.

Secondariamente, che vengano utilizzati solo contenuti di siti o piattaforme che non prevedano a monte un accesso a pagamento o contenuti che, presi singolarmente, non abbiano nessun tipo di restrizione circa l’incorporamento in domini diversi da quello di origine.

____________________________________________

Immagine di copertina di Febiyan grazie a Unsplash

Controlli “difensivi”: legittimo l’uso dei dati solo se il lavoratore è correttamente informato

Con recente pronuncia (n. 25732/2021, consultabile QUI), la Corte di Cassazione è intervenuta su un tema spinoso, che riguarda il difficile bilanciamento tra la tutela della sfera di riservatezza del lavoratore e la garanzia di protezione dei beni aziendali (in senso lato).

I fatti di causa

Una lavoratrice, dipendente di una Fondazione, veniva licenziata – per giusta causa – per aver navigato continuativamente in internet a fini privati durante l’orario lavorativo, in particolare facendo accesso ad alcuni siti non sicuri fonte di diffusione di un virus nella rete aziendale, con successiva compromissione di vari dischi di rete ed files (c.d. data breach).

Dopo aver visto dapprima accolta la propria domanda di reintegrazione in primo grado, e successivamente rigettata la medesima domanda in sede di appello, la lavoratrice proponeva ricorso per Cassazione denunciando la violazione e la falsa applicazione, per ciò che qui rileva, dell’art. 4 dello Statuto dei Lavoratori e del Codice Privacy (n.b. i fatti si sono svolti in epoca antecedente sia all’entrata in vigore del GDPR, sia alla modifica dell’art. 4 St. Lav per opera del Jobs Act).

La tesi, in sostanza, poggiava sulla contestazione della decisione in appello di aver ritenuto utilizzabili, a fini disciplinari, le informazioni acquisite in violazione dei diritti, in particolare, di informativa, contenuti nell’allora vigente Codice Privacy (D. Lgs. 196/2003).

In effetti, l’Autorità Garante, investita della questione, aveva confermato la violazione degli obblighi di informativa e l’eccedenza del trattamento rispetto alle finalità ed aveva intimato alla Fondazione di astenersi da ulteriori trattamenti.

Veniva poi contestata la mancata tipizzazione del comportamento imputato alla lavoratrice tra gli illeciti disciplinari e tra le regole ed i principi del Codice Etico aziendale.

La disciplina dei controlli sui lavoratori

La vicenda in oggetto si concentra sull’ambito applicativo dei controlli sui lavoratori, la cui disciplina generale è dettata dall’art. 4 dello Statuto dei Lavoratori (L. 300 del 1970) nonché dal GDPR e dalle linee guida e pronunce sul tema dell’Autorità Garante.

L’art. 4 St. Lav. citato, in particolare, ha subito una radicale riforma nel 2015: l’originaria versione dello stesso, applicabile ratione temporis alla vicenda in oggetto, prevedeva un generale divieto di uso di strumenti di controllo a distanza.

Nel corso degli anni però la giurisprudenza, a tutela del patrimonio e dell’immagine aziendale, aveva determinato che i c.d. “controlli difensivi”, cioè i controlli effettuati dopo l’attuazione del comportamento illecito, e quindi dopo l’insorgenza del sospetto in merito al comportamento scorretto, non fossero soggetti a tale divieto, pur nel rispetto dei principi di buona fede e correttezza.

La riforma dell’art. 4 St. Lav. ha fatto cadere il precedente divieto, prevedendo la possibilità per il datore di lavoro di effettuare controlli sui lavoratori nel rispetto di determinate modalità ed a condizioni tassative.

Tuttavia, ai fini dell’utilizzabilità dei dati raccolti (anche a scopo disciplinare), è condizione necessaria, a prescindere dallo strumento di controllo utilizzato, fornire al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.

La decisione della Corte

La Corte ha accolto il ricorso della lavoratrice: attraverso un’approfondita disamina giuridica sull’ambito di applicazione dei controlli difensivi pre e post riforma, le doglianze della lavoratrice sono state ritenute fondate in quanto, in sentenza: (i) non era stato verificato se i dati di navigazione fossero stati raccolti prima o dopo l’insorgere del fondato sospetto (ii) non era stato valutato il corretto bilanciamento tra le esigenze di protezione dei beni aziendali rispetto alle imprescindibili tutele della dignità e riservatezza del lavoratore.

Nello specifico, viene sottolineato che il datore di lavoro potrebbe, in difetto di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire e conservare per lungo tempo ed ininterrottamente ogni tipologia di dato e, poi, invocare la natura mirata e successiva del controllo.

A parere della Suprema Corte, la Corte d’Appello aveva anche omesso di verificare l’utilizzabilità dei dati raccolti ai fini disciplinari, sempre in mancanza di adeguata informativa.

La sentenza in oggetto, nel confermare che sono consentiti i controlli, anche tecnologici, posti in essere dal datore di lavoro e finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti in presenza di un fondato sospetto, ribadisce l’importanza di un corretto bilanciamento tra:

  • da un lato, le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, e
  • dall’altro, le imprescindibili tutele della dignità e della riservatezza del lavoratore, per cui il controllo mirato sul singolo lavoratore deve riguardare dati acquisiti successivamente all’insorgere del sospetto.

In mancanza delle condizioni suddette, i dati raccolti non possono essere utilizzati ai fini disciplinari in conformità a quanto statuito dall’art. 4 St. Lav., in particolare dai commi 2 e 3.

Un’informativa adeguata

L’utilizzabilità delle informazioni e dei dati acquisiti, a tutti i fini connessi al rapporto di lavoro, anche disciplinari, dipende, in sostanza, dall’adeguatezza dell’informativa fornita.

Ma in cosa consiste un’informativa “adeguata”?

Prima di tutto, l’informativa deve – oggi – riportare tutti gli elementi previsti dall’art. 13 GDPR, e non limitarsi a fare generici riferimenti a finalità, relative basi giuridiche e tempi di conservazione, ma essere specifica e ben dettagliata, oltre che leggibile, chiara e comprensibile nella sua formulazione grafica e testuale.

Per quanto riguarda la navigazione in internet, fermo restando il divieto di controllo indiscriminato della navigazione (v. Newsletter Garante Privacy 22.06.2021: l’episodio riguarda il Comune di Bolzano, sanzionato per Euro 84.000,00), la raccolta dei dati di navigazione è legittima e può essere utilizzata in funzione disciplinare contro il lavoratore, purché egli ne sia informato e quindi consapevole dell’effettuazione di controlli, delle modalità degli stessi, dei comportamenti consentiti o meno e delle conseguenze disciplinari e/o penali correlate.

L’informativa dovrà essere coordinata e coerente con il disciplinare interno, il quale deve essere redatto in modo chiaro e adeguatamente pubblicizzato.

Si segnala che il Garante ha emanato, già nel 2007, delle linee guida sull’utilizzo della posta elettronica e di internet nel rapporto di lavoro (consultabile QUI) cui è possibile fare riferimento.

______________________________________

Photo by Alex Kotliarskyi on Unsplash