GDPR e D.Lgs. 101/2018: I diritti sul trattamento dei dati personali riguardanti le persone decedute
Il Nuovo Regolamento europeo 679/2016 (di seguito “GDPR”) riconosce in capo ai soggetti interessati, ai sensi e per gli effetti di cui agli artt. da 15 a 22, una pluralità di diritti che vengono annoverati nell’alveo di quel più ampio diritto all’autodeterminazione informativa che esprime il potere di governare il flusso delle proprie informazioni e che costituisce e rappresenta un elemento primario della materia de qua [1]. Presupposto imprescindibile per l’affermarsi di tali diritti, secondo anche la definizione del termine “dato personale” riportata all’art. 4, punto 1), del GDPR, risulta essere la qualifica di interessato che viene meno ogniqualvolta si verifichi il decesso di una persona fisica. In tal senso il Considerando 27 del GDPR sancisce in primo luogo l’esclusione dell’applicazione della normativa europea ai dati personali delle persone decedute. Preme a tal proposito evidenziare come la formulazione propria del GDPR sia in linea con quanto asserito a suo tempo dal Gruppo di lavoro per la protezione dei dati personali dell’Unione europea che, in un apposito parere del 2007 “sul concetto di dati personali”, sottolineò come le informazioni relative alle persone decedute non potessero considerarsi, in linea di principio, dati personali soggetti alle norme della Direttiva 95/46/CE (oggi del GDPR) poiché, per il diritto civile, i defunti non sono più persone fisiche. Tuttavia, il medesimo parere riconobbe la facoltà a ciascun Stato membro di estendere, in forza di un interesse legittimo, le disposizioni delle leggi nazionali, in materia di tutela della privacy, ad alcuni aspetti attinenti al trattamento dei dati dei defunti garantendo in tal modo una protezione indiretta ai dati di tali soggetti. Recependo tale impostazione, il Considerando sopraccitato ha introdotto una clausola di salvaguardia mediante la quale i singoli Stati membri posseggono un proprio margine di manovra nel prevedere l’adozione di norme interne disciplinanti e riguardanti i dati e le informazioni personali dei defunti. È in questa cornice che si colloca il recente intervento del legislatore italiano, che al primo comma dell’art. 2- terdecies, di cui al novellato Codice della privacy ex D.Lgs. 101/2018, prevede che “i diritti di cui agli articoli da 15 a 22 del GDPR riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
Siffatto comma, a ben vedere, è del tutto coincidente con l’ormai abrogato art. 9, comma 3, del Codice privacy, ad esclusione dell’inserzione della qualifica del mandatario dell’interessato quale possibile presupposto di legittimazione per l’esercizio dei diritti di cui sopra. Viceversa presentano rilevanti profili di novità i successivi commi dell’art. 2- terdecies che verranno messi in luce nel prosieguo della trattazione al fine di evidenziare l’ambito operativo e giuridico degli stessi. Al riguardo il secondo comma precisa che l’esercizio dei diritti non sia ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo abbia espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o comunque a quest’ultimo comunicata. La disposizione in esame prescrive inoltre che la suddetta volontà (revocabile e modificabile, in qualsiasi momento, ad nutum) debba necessariamente risultare in modo non equivoco e debba essere specifica, libera ed altresì informata. Il richiamo alle peculiari modalità di espressione della volontà impongono certamente un particolare onere informativo cui è soggetto il titolare del trattamento che offre servizi della società dell’informazione.
Con norma di chiusura, il comma 5 dell’art. 2- terdecies sottolinea che, in ogni caso, il divieto summenzionato non può produrre effetti pregiudizievoli per l’esercizio da parte di terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi. Si osservi che tale comma, seppure, ai fini della sua diretta applicabilità, richiede una consequenzialità tra l’evento della morte dell’interessato e i diritti che derivano dalla stessa, si caratterizza per un’eccessiva vaghezza che darà adito a conflitti in merito alla verifica dei soggetti che, dal punto di vista giuridico, sono abilitati a inibire le richieste di divieti di esercizio dei diritti in relazione a un proprio interesse (se originato dalla morte del de cuius) [2].
Stante tali incertezze interpretative, che permangono allo stato attuale, occorre mettere in evidenza che il Garante per la privacy ha più volte, in passato, avuto modo ed occasione di pronunziarsi sulla portata e sulla natura “dell’interesse proprio” specie in riferimento al diritto di accesso. In materia si riporta brevemente il contenuto di un provvedimento con il quale il Garante stesso ha concesso alla madre naturale di conoscere i dati clinici della figlia non riconosciuta al momento della nascita e deceduta pochi giorni dopo il parto a causa di gravi malformazioni [3]. L’autorità, richiamando la nozione dell’interesse proprio, di cui all’art. 9, comma 3, del Codice (oggi art. 2- terdecies) ha ritenuto che la ricorrente, nella fattispecie in esame, in qualità di madre, anche solo naturale, della neonata possa legittimamente esercitare il diritto di accesso al fine di disporre di informazioni indispensabili all’accertamento e alle modalità di trasmissione della patologia genetica di cui potrebbe essere portatrice e poter così valutare il rischio procreativo e affrontare una scelta riproduttiva consapevole ed informata.
Delineato il quadro giuridico attinente ai diritti sul trattamento dei dati personali riguardanti le persone decedute, rimane da esaminare la delicata questione dell’impatto che l’esercizio dei diritti, in luogo del defunto, può dispiegare sulle aspettative di riservatezza maturate dal deceduto e dai soggetti terzi che hanno con questo intrattenuto rapporti e comunicazioni di natura privata e confidenziale. Al riguardo è doveroso menzionare una nota ordinanza, adottata dal Tribunale di Milano, che ha concesso ai genitori del figlio defunto di ottenere, dalla società Apple Italia Srl, le credenziali di accesso all’ID Apple, per poter accedere ai contenuti (immagini, registrazioni, video) presenti nello smartphone, archiviati su iCloud [4]. Senza entrare nel merito della vicenda, ciò che giova rilevare in codesta sede è che il Tribunale di Milano ha ritenuto legittimo l’accesso alle informazioni personali del figlio deceduto da parte dei suoi genitori, sia per la finalità di recuperare le immagini anche in vista della creazione di un progetto in memoria del figlio, sia in virtù del legame esistente tra genitori e figli, considerato di per sé idoneo ad integrare le “ragioni familiari meritevoli di protezione” previste espressamente dall’art. 2 terdecies. In aggiunta il giudice ha preso atto che non vi era alcuna dichiarazione rilasciata dal de cuius volta a evitare e/o limitare l’esercizio dei diritti connessi ai dati personali post mortem [5]. Allo stesso modo non sono state attuate ed accolte le osservazioni mosse da Apple circa la necessità della qualifica del richiedente quale amministratore o rappresentante legale del defunto e la sussistenza di una autorizzazione e/o di un consenso legittimo, secondo le definizioni riportate nell’Electronic Communications Privacy Act. In questi termini il Tribunale ha pertanto declarato illegittima la prassi e la pretesa di Apple di vincolare e di subordinare l’esercizio di un diritto riconosciuto dall’ordinamento italiano alla previsione di requisiti previsti da norme americane. Tenuto conto del contesto brevemente illustrato sulla base della decisione poc’anzi menzionata pare emergere che il giudice abbia attribuito un valore primario e assoluto all’interesse degli istanti senza tuttavia effettuare un corretto bilanciamento con gli ulteriori interessi in gioco rappresentati dalle legittime aspettative di riservatezza dei soggetti terzi i cui dati personali (costituiti dalle foto, video e conversazioni) erano presenti e conservati sull’account ICloud. Alla luce di ciò si auspica un celere intervento da parte del Garante per la privacy che possa offrire un precedente e un chiaro quadro di riferimento per le autorità giudiziarie nell’effettuare il più possibile una idonea e ponderata attività di valutazione circa gli interessi contrapposti delle parti ricorrenti.
Bibliografia
[1] In questi termini STEFANO RODOTÁ in GPDP, Discorso di presentazione della Relazione per l’anno 2000.
[2] A. CICCIA MESSINA, Guida al Codice privacy. Come cambia dopo il GDPR e il DLgs. N. 101/2018, Wolters Kluwer, 2018.
[3] Provvedimento del Garante per la privacy n. 556 del 5 dicembre 2013 (doc. web n. 2865660).
[4] Ordinanza del Tribunale di Milano, sez. I civ., 10 febbraio 2021.
[5] FRANCESCO LAVIOLA, Il tribunale di Milano concede i dati in cloud di defunto: la persona elettronica sopravvive alla morte?, in www.e-lex.it, 2021.
Articolo a cura di Ginevra Scalcione
Laureata in Giurisprudenza nel 2019 con tesi sul Nuovo Regolamento europeo in materia di protezione dei dati personali presso l’Università degli Studi di Roma Tre. Ha frequentato un Master di II livello sui nuovi professionisti privacy e ha conseguito la qualifica di Privacy Specialist. Attualmente lavora presso una società attiva nel settore energetico nel campo della Privacy & Data Protection.
