Diritto di accesso degli eredi ai dati personali del de cuius
Il Garante per la protezione dei dati personali nell'ambito delle schede "divulgative" dedicate al diritto di accesso recentemente diffuse, si occupa anche del diritto di accesso ai dati riguardanti le persone decedute.
Relativamente al profilo soggettivo, una delle figure principali "protagoniste" nell'ambito della normativa sul trattamento dei dati personali è costituita naturalmente dall'interessato.
La nozione di "interessato", nel "linguaggio privacy", è costruita concettualmente sulla definizione di "dato personale" - contenuta nell'art. 4, n. 1, GDPR (General Data Protection Regolation - Regolamento sulla protezione dei dati dell'Unione Europea 2016/679): il "dato personale" consiste in "qualsiasi informazione riguardante una persona fisica identificata o identificabile", il soggetto interessato appunto. Pertanto, l'"interessato" è il soggetto cui si riferiscono i dati personali, di volta in volta in questione.Si ritiene che il decesso della persona fisica implichi il venire meno della sua qualità di interessato.
Tuttavia, la morte del soggetto interessato non fa venir meno l'eventuale interesse di altri soggetti (ad esempio, degli eredi dell'interessato) ad avere accesso alle informazioni e ai dati personali del soggetto deceduto. In particolare, altri soggetti possono far valere diritti che, nell'ambito della normativa privacy, sono riconosciuti all'interessato stesso come per esempio il diritto di accesso.
Occorre precisare che il GDPR al Considerando n. 27 specifica che le norme europee in tema di trattamento e protezione dei dati non si applicano ai dati personali delle persone decedute, lasciando, tuttavia, agli Stati membri la scelta di prevedere, nell'ambito della normativa interna privacy, norme riguardanti il trattamento dei dati delle persone decedute.
Già nel Codice privacy italiano (D.Lgs. 196/2003), nella sua versione precedente all'operazione di adeguamento al GDPR operato dal D.Lgs. 101/2018, era presente una norma che stabiliva espressamente una disciplina applicabile ai dati delle persone decedute. Tale norma, oggi abrogata, era contenuta nell'all'art. 9, co. 3, il quale recitava: "I diritti (di accesso ai dati personali ed altri diritti ai sensi della normativa privacy, n.d.A.) riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione".
Il Legislatore italiano con l'operazione di adeguamento del Codice privacy operata dal D.Lgs. 101/2018 ha scelto di continuare a prevedere una disciplina specifica in tale ambito introducendo nel corpus normativo del D.Lgs. 196/2003 addirittura una norma ad hoc – l'art. 2-terdecies – rubricata "Diritti riguardanti le persone decedute".
In particolare, i diritti di cui agli articoli da 15 a 22 del GDPR (diritto di accesso, diritto di rettifica, diritto alla cancellazione, diritto alla limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione) riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
Nello specifico, la richiesta di accesso – che deve essere soddisfatta entro un mese dalla richiesta (salvo eventuali proroghe ex art. 12 GDPR) – può essere esercitata nei confronti del Titolare del trattamento (ossia alla Società, alla pubblica Amministrazione, al libero professionista, ecc. che determina le finalità e tratta i dati dell'interessato) anche per il tramite del Responsabile per la protezione dei dati personali, laddove nominato.
Con riferimento al diritto di accesso, per esempio l'erede può chiedere l'accesso ai dati personali della persona deceduta, può altresì chiedere di conoscere le finalità del trattamento, le categorie di dati, i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione dei dati o i criteri utilizzati per determinarlo, l'origine dei dati, nonché di conoscere l'esistenza di un processo decisionale automatizzato, compresa la profilazione o trasferimenti dei propri dati fuori dall'Unione Europea.Relativamente ai costi, la richiesta di accesso (anche se non esercitata direttamente dall'interessato, come nell'ipotesi in commento) non implica oneri ed esborsi da parte del richiedente, tuttavia se le richieste sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può addebitare un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni (art. 12, par. 5, GDPR).
Come anticipato in premessa, recentemente il Garante privacy ha diffuso delle sintetiche guide operative in formato di "schede" per spiegare ai cittadini, con linguaggio semplice e chiaro, i diritti degli interessati, in particolare con riferimento alle varie tipologie del diritto di accesso; con riguardo al tema de quo, vale a dire al diritto di accesso riguardante i dati delle persone decedute, il Garante ha sottolineato anche le eccezioni ed i limiti di tale prerogativa, facendo riferimento ai commi da 2 a 4 dell'art. 2-terdecies, Codice privacy, sopra citato. In particolare, il diritto di accesso ai dati di persone decedute è escluso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, la persona deceduta lo abbia espressamente vietato con dichiarazione scritta comunicata al Titolare del trattamento.
In tale ambito, la volontà dell'interessato di vietare l'esercizio dei diritti deve risultare in modo non equivoco e deve essere specifica, libera e informata.Tale divieto, tuttavia, non può produrre effetti pregiudizievoli per l'esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonché del diritto di difendere in giudizio i propri interessi.
Infine, nel caso in cui il Titolare del trattamento non riscontri la richiesta di accesso da parte dei soggetti legittimati ex art. 2-terdecies, Codice privacy, il richiedente può rivolgere un reclamo al Garante per la protezione dei dati personali oppure ha facoltà di rivolgersi all'Autorità giudiziaria.
Fonte: Il Sole 24 Ore del 13 aprile 2021