Deceduti e protezione dei dati personali

Deceduti e protezione dei dati personali

Il Regolamento europeo sulla protezione dei dati personali (GDPR), al Considerando 27, esclude l’applicazione della normativa ai dati delle persone decedute. 

Tuttavia, sempre il Considerando 27 prevede una clausola di salvaguardia con la quale si concede ai singoli Stati membri dell'Unione la facoltà di prevedere norme a tutela del trattamento dei dati delle persone decedute. L'Italia si è avvalsa di tale facoltà con il decreto di armonizzazione del Codice Privacy (d. lgs 101/2018), il quale ha previsto, con l'art. 2-terdecies, l'estensione delle norme di cui al GDPR anche ai trattamenti dei dati personali di persone decedute. I diritti relativi ai dati personali dei defunti possono essere esercitati da chi ha un interesse proprio, oppure agisce a tutela del defunto quale mandatario o per ragioni familiari meritevoli di protezione. 

Il primo comma dell'articolo 2-terdecies del Codice Privacy cita espressamente i diritti di cui agli articoli da 15 a 22 del GDPR, quindi sostanzialmente tutti i diritti concessi agli interessati al trattamento. Il comma 2 prevede che tali diritti non possano essere esercitati, limitatamente all'offerta diretta di servizi della società dell'informazione, se l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata. Tale volontà deve, però, risultare in modo non equivoco. In ogni caso tale divieto non può produrre effetti pregiudizievoli per l'esercizio da parte di terzi dei diritti patrimoniali che derivano dalla morte dell'interessato nonché del diritto di difendere in giudizio i propri interessi. 

Art. 2-terdecies Nuovo Codice Privacy – D.lgs 196/2003 aggiornato al D.lgs 101/2018 - Diritti riguardanti le persone decedute
1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualita’ di suo mandatario, o per ragioni familiari meritevoli di protezione.
2. L’esercizio dei diritti di cui al comma 1 non e’ ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.
3. La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma.
4. L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3.
5. In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonchè del diritto di difendere in giudizio i propri interessi.

In tal senso il legislatore italiano si muove nel solco dei precedenti provvedimenti del Garante. Ricordiamo, ad esempio, il provvedimento del 19 dicembre 2002, nel quale il Garante, intervenendo in occasione del crollo di una scuola, evento nel quale persero la vita dei bambini, ci tenne a precisare che le tutele riguardano anche il trattamento dei dati di un soggetto scomparso. 

 

Accesso ai dati del defunto

Il Garante in passato ha avuto modo di tutelare gli eredi consentendo l'accesso ai dati personali concernenti il de cuius, ad esempio i dati conservati su un cloud, oppure detenuti da una banca. 

Il tribunale civile di Milano, si è occupato della questione a seguito di un ricorso proposto dai genitori di un minore, defunto in un incidente stradale. I genitori chiedevano l'accesso dei dati del figlio (video, foto) conservati sul cloud di Apple, poiché lo smartphone era rimasto distrutto nello scontro fatale, per cercare di comlare almeno in parte la perdita. Apple rifiutava l'accesso invocando la protezione dell'identità di terzi in contatto col ragazzo, nonché la sicurezza dei clienti. Per fornire i dati pretendeva che i genitori divenissero "agenti" del defunto e portatori formali di un "consenso legittimo", in base all'Electronic Communications Privacy Act americano. 

Il 10 febbraio 2021, il tribunale di Milano, in via cautelare, ha ordinato a Apple di fornire i dati, ritenendo del tutto illegittima la pretesa di Apple, in quanto subordinerebbe un diritto riconosciuto dall'ordinamento italiano alla previsione di requisiti previsti da norme americane. Nel caso specifico, invece, il riferimento applicato è l'art.2-terdecies del Codice Privacy che, appunto, demanda alla persona la scelta in vita se lasciare o meno agli eredi la facoltà di accedere ai propri dati, e che in assenza di un espresso divieto attribuisce agli eredi, o a chi agisca per "ragioni familiari meritevoli di protezione" l'esercizio dei diritti del defunto. Per il giudice sussisterebbe anche un legittimo interesse da parte dei genitori, che prevale sulla sicurezza dei clienti opposta da Apple.