I dati (personali) dei defunti: quale privacy?

/in , , /da

Cosa accade ai nostri dati quando non ci siamo più?

Quali sono i diritti legati ai contenuti di persone decedute?

Il Regolamento europeo sulla Protezione dei Dati Personali (“GDPR” o “Regolamento”) si applica anche alle persone decedute?

Normativa applicabile

Il Considerando n. 27 del GDPR esclude l’applicazione del Regolamento ai dati delle persone decedute; ma è presente una clausola di salvaguardia, subito dopo, che prevede la facoltà, per gli Stati membri dell’Unione europea, di emanare norme per regolare il trattamento di questi dati personali.

In Italia è l’art. 2-terdecies del D. Lgs. 196/2003, aggiornato dal D. Lgs 101/2018 (“Nuovo Codice Privacy”) a prevedere che i diritti spettanti agli interessati ai sensi degli artt. 15-22 GDPR (cioè l’accesso, la cancellazione, le limitazioni al trattamento, la portabilità dei dati – da qui in avanti “i diritti dell’interessato”) che si riferiscono ai dati personali riguardanti le persone decedute, possono essere esercitati (i) da chi ha un interesse proprio, o (ii)  agisce a tutela dell’interessato, (iii) in qualità di suo mandatario, o (iv) per ragioni familiari meritevoli di protezione.

L’esercizio di questi diritti non è ammesso, oltre che nei casi previsti dalla legge, quando l’interessato ne ha espressamente fatto divieto con dichiarazione scritta presentata o comunicata al Titolare del trattamento.

La volontà di vietare l’esercizio dei diritti dell’interessato deve risultare in modo non equivoco e deve essere specifica, libera e informata, e può riguardare anche solo l’esercizio di alcuni dei diritti dell’interessato.

In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio, da parte dei terzi, dei diritti patrimoniali che derivano dalla morte dell’interessato, e non può impedire loro di difendere in giudizio i propri interessi.

Giurisprudenza

Fino a qui si è risposto ad alcune delle domande iniziali.

Ma sembra ora interessante, per vedere effettivamente cosa accade ai dati personali dopo il decesso di una persona, raccontare anche una recente sentenza sul tema.

Il 10 febbraio 2021, il Tribunale di Milano, in via cautelare, ha ordinato ad Apple Italia S.r.l. di fornire al figlio – ricorrente – i dati di una persona deceduta – il padre. Il Tribunale di Milano ha ritenuto illegittima la pretesa di Apple, fondata su norme americane in materia di sicurezza, che negava tale accesso.

Infatti, l’art. 2-terdecies del Nuovo Codice Privacy demanda alla persona la scelta, in vita, di lasciare o meno agli eredi la facoltà di accedere ai propri dati, e, in assenza di un espresso divieto, attribuisce agli eredi, o a chi agisce per “ragioni familiari meritevoli di protezione” l’esercizio dei diritti del defunto.

Il giudice di Milano ha ritenuto esistente anche un legittimo interesse da parte dei genitori, che prevale sulla sicurezza dei clienti opposta da Apple.

Qui il link diretto alla Sentenza.

Massime del Garante Privacy

Sembra infine utile concludere con qualche pillola sul tema, che è trasversale a diverse materie, dell’Autorità Garante per la Protezione dei Dati Personali italiana:

  • In tema di contratti bancari estinti dopo la morte di una persona, il relativo erede ha il diritto di accedere a tutti i dati personali concernenti il “de cuius”, ivi comprese le informazioni attinenti a pregressi rapporti obbligatori di cui egli sia stato contitolare- Garante 3 aprile 2002, in Bollettino n. 27, pag. 20 [doc. web n. 1065256]; e ancora l´erede ha diritto di conoscere tutti i dati personali riferiti al suo dante causa e detenuti da un istituto di credito. – Garante 10 dicembre 2003 [doc. web n. 1053648].
  • In tema di assicurazioni, il Titolare del trattamento è tenuto ad estrarre dagli atti e dai documenti detenuti – ivi comprese le polizze eventualmente sottoscritte – tutte le informazioni personali relative al defunto, mettendole a disposizione, in modo intelligibile, dell’erede, con esclusione dei dati relativi ai terzi beneficiari della polizza assicurativa Garante 31 marzo 2003 [doc. web n. 1053796].
  • In tema di atti giudiziari, il discendente del defunto ha pieno titolo ad accedere ai dati personali del “de cuius” a prescindere dalla concreta posizione attualmente rivestita in ambito successorio, senza che l’esercizio di tale diritto possa essere condizionato alla prova della qualità di chiamato all´eredità o all´esibizione di particolari documenti, quale la procura notarile rilasciata dagli eventuali altri eredi – Garante 19 novembre 2003 [doc. web n. 1152385].

____________________________________________

Immagine di copertina di David Menidrey grazie a Unsplash

Potrebbero interessarti
News #10/2023: l’anno peggiore di sempre per la cybersecurity, mentre arriva l’AI per tutti
News #36: il Garante boccia l’Ecosistema dei Dati Sanitari; multa salata per Instagram; battaglia (persa) in Giappone per il marchio Gucci.
Cookie: a che punto siamo?
Raccolta di spunti in materia Green Pass (14 ottobre 2021)
News #34: negli USA si avvicina la legge privacy federale; novità su smart working e controllo da remoto; prima sanzione privacy in California.
Il prossimo “Privacy Shield”: avvenimenti, criticità e possibilità aperte
Gare pubbliche e dati giudiziari
Decreto “Trasparenza”/ 1: implicazioni privacy delle novità