L’Autorità garante per la privacy, con un recente provvedimento di natura interpretativa, ha chiarito che gli eredi o i chiamati alla eredità possono esercitare il diritto di accesso ai fini privacy, per conoscere i beneficiari delle polizze.
Basta una semplice istanza alle compagnie assicurative. Naturalmente, occorre dimostrare la qualità successoria oltre ad avere in corso (o quasi) una controversia giudiziaria.
Il provvedimento del Garante su privacy e i dati ereditari
Con il provvedimento interpretativo del combinato disposto degli artt. 15 GDPR e 2-terdecies dell’attuale Cod. Privacy, dello scorso 26 ottobre 2023, il Garante per la protezione dei dati chiarisce che gli eredi o i chiamati alla eredità possono presentare alle assicurazioni istanza di accesso ai dati personali del terzo beneficiario di una polizza a lui intestata da parte del defunto/de cuius (ovviamente in vita) al fine di conoscerne l’identità, purché dimostrino due requisiti: un titolo/qualità/legittimità successoria e di avere pendente una causa ovvero di stare per instaurarla giudizialmente.
In pratica, il Garante cristallizza una regola di base e cioè: sì all’accesso ai dati personali purché riguardanti la persona deceduta restando vietato l’accesso a dati personali di soggetti diversi dal de cuius (quali, ad esempio, quelli del terzo beneficiario), conformemente all’art. 15 par. 4 – GDPR. Tuttavia, se la base giuridica ovvero ciò che spinge a presentare apposita istanza fosse il diritto di agire o di difesa, ecco che il diritto alla riservatezza/privacy può essere compresso, previo equo bilanciamento caso per caso. Non solo, afferma anche che “i dati del terzo beneficiario della polizza possono essere comunicati sulla base del legittimo interesse del terzo (chiamato alla eredità/erede)” invocando l’art. 6 par. 1, lett. f) – GDPR. Ma andiamo per gradi.
I punti salienti del provvedimento
Come si legge nella nota dello scorso 27 novembre 2023, il Garante fa sapere, tra le altre notizie, di aver emesso un provvedimento interpretativo, e in quanto tale sarà pubblicato in Gazzetta Ufficiale, con il quale afferma che le assicurazioni, previa verifica di una serie di requisiti come vedremo, “devono consentire agli eredi, che ne fanno richiesta, l’accesso ai nominativi dei beneficiari indicati nelle polizze stipulate in vita da persone defunte”.
Tale provvedimento nasce per rispondere alle tante istanze (segnalazioni, reclami e richieste di parere) ricevute e a seguito delle decisioni che la giurisprudenza, sia di merito che di legittimità, avrebbe assunto formando orientamenti contrastanti.
Vediamone i punti salienti.
Il panorama normativo
Il Garante parte da una ricognizione normativa muovendosi dall’art. 4 del GDPR che contiene tra le varie definizioni, quella di “dato personale” in accezione estesa dovendosi intendere “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, anche indirettamente tramite un qualche riferimento a qualsiasi altra informazione, purché – tra gli altri – pertinente, se pensiamo a uno dei tanti ormai ben noti principi (liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza) dettati dal successivo art. 5 del GDPR.
Poi, si sposta più in là e in particolare all’art. 15 che disciplina proprio il diritto di accesso con riferimento al quale ribadisce, nel provvedimento in parola, testualmente che “l’obiettivo generale […] è quello di fornire agli interessati informazioni sufficienti, trasparenti e facilmente accessibili, sul trattamento dei dati personali che li riguarda”.
In altri termini, il nostro Garante tiene sin da subito a precisare che si tratta di un diritto (“pronto”) che ha lo scopo è quello di agevolare l’interessato nell’ottenere le informazioni che cerca e per le quali esercita questo tipo di diritto.
Non solo, tiene anche a puntualizzare che “tale diritto, a differenza di altre forme di accesso previste dall’Ordinamento, non consente, di norma, di ottenere informazioni personali riferite a terzi, cioè a dati riferiti a soggetti diversi dall’interessato”. In pratica, si distingue dal diritto di accesso disciplinato dalla legge 241/90 (art. 22) sul procedimento amministrativo in quanto quest’ultimo è “il diritto ad avere notizia precisa del contenuto degli atti di un determinato procedimento amministrativo” e quindi nel mondo della PA.
A differenza del diritto di accesso privacy per intenderci che invece rappresenta “il diritto dell’interessato a conoscere quali sono i dati che lo riguardano e come il titolare del trattamento li gestisce”. Non si tratta di un diritto nuovo creato dal GDPR (come, ad esempio il diritto all’oblio ex art. 17 – GDPR) esistendo già nel precedente Cod. Privacy (al vecchio e ormai abrogato concentrato art. 7).
C’è da dire che il GDPR, come arcinoto, ha ampliato la gamma dei diritti dedicando a ciascuno un apposito articolo (dal 12 al 22). E con riferimento al diritto di accesso ex art. 15, al par. 4, è stato espressamente previsto dal legislatore europeo “il diritto di ottenere una copia [dei dati]” purché non ledano i diritti e le libertà altrui”.
Più nello specifico, il diritto di accesso con riferimento al caso che ci occupa, va poi letto in combinato disposto con l’art. 2 terdecies comma I dell’attuale (rinovellato) Cod. Privacy che tratta della possibilità di esercitare il diritto di accesso in relazione ai dati riguardanti le persone decedute, reso altresì possibile grazie al Considerando 27 del GDPR che rimanda rectius suggerisce come applicare l’art. 15 e di qui il rinvio alla normativa italiana.
Ancora, nella fattispecie il citato art. 2-terdecies prevede che, come scrive il Garante, “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possano essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
In pratica, tre condizioni precise che legittimano l’istanza di accesso privacy, ampliando di fatto la portata e l’ampiezza dei diritti esercitabili, e in specie del diritto di accesso ex art. 15 GDPR. Con la conseguenza che “i soggetti legittimati a esercitarlo hanno quindi diritto di conoscere le stesse informazioni che avrebbe potuto conoscere l’interessato”, così leggiamo testualmente nel provvedimento.
Il Garante poi chiude questa ricognizione normativa, invocando l’art. 52 comma I, della Carta dei diritti fondamentali dell’Unione europea, per evidenziare come “[e]ventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla […] Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà” per poi entrare in gioco il principio di proporzionalità in forza del quale possono esserci delle limitazioni solo se necessarie e rispondenti a finalità di interesse generale riconosciuto.
Il diritto all’accesso ai dati personali: l’interpretazione giurisprudenziale
In un provvedimento di natura interpretativa come quello che ci occupa, non possono mancare i precedenti giurisprudenziali che si sono formati in materia, tanto tra le giurisdizioni di merito quante tra i giudici di legittimità. Perciò, il Garante li cita soffermandosi prima su quelli di merito circa la conoscibilità dei dati dei beneficiari di polizze assicurative e poi sugli orientamenti della Corte di Cassazione.
Nel fare ciò, muove dalle pronunce di merito andando a riassumerle e le suddivide sostanzialmente in due filoni interpretativi:
- l’uno che punta alla reale funzionalità della tutela dei diritti ereditari dell’istante e quindi necessari al fine di “accertare, esercitare o difendere un diritto in sede giudiziaria” in favore del più prevalente diritto di difesa financo costituzionalmente garantito (art. 24) rispetto al diritto alla riservatezza;
- l’altro che impone all’assicurazione l’obbligo di fornire all’erede tutte le informazioni relative alle polizze stipulate dal defunto/de cuius, ma solo a lui e non anche con riferimento ai dati dei terzi beneficiari, salvo che questi ultimi non prestino il loro consenso.
Per poi passare alla ricognizione del formante giurisprudenziale consolidato (dal 2015) dalla Cassazione, richiamando i principi di diritto affermato tra cui “non rientrano quelli identificativi di terze persone, quali i beneficiari della polizza sulla vita stipulata dal de cuius (in quanto soggetti terzi rispetto al rapporto contrattuale assicurativo che hanno diritto alla tutela della propria riservatezza), ma soltanto quelli riconducibili alla sfera personale di quest’ultimo”.
Quindi non si può accedere ai dati di terzi in modo indifferenziato, generico e per “finalità meramente esplorativa”; per mera curiosità? Per interesse legittimo? Tipicamente base giuridica residuale.
Le Linee guida dell’EDPB in materia di accesso
Circa il diritto di accesso privacy, il Garante cita poi le Linee guida che l’European Data Protection Board – EDPB ha adottato in proposito — varate in via definitiva il 28 marzo 2023 dopo la rituale consultazione pubblica — che contemplano la possibilità di accesso ai dati di terzi. Per completezza, ci limitiamo a richiamare i punti individuati e citati nel provvedimento (4.2.1 parr 104, 105; 6.2 par. 168, 173) cui si rinvia.
La posizione del Garante in materia
Il Garante, a questo punto, dopo aver svolto il compito, ecco che esprime il suo parere affermando in sostanza che “il diritto alla riservatezza va sempre bilanciato con altri diritti fondamentali, (come quello di difesa in giudizio), così come sancito dalla Carta dei diritti fondamentali dell’Unione europea, dalle Linee Guida in tema di “esercizio del diritto di accesso” del Comitato che raccoglie tutte le Autorità Garanti Ue (Edpb) e dalla stessa giurisprudenza di legittimità”.
Giunge a questa conclusione partendo dal presupposto che in base ai riferimenti normativi citati (artt. 15 GDPR e 2-terdecies del Cod. Privacy) tra i dati personali accessibili rientrano anche quelli, nel caso di specie, dei beneficiari di polizze assicurative accese in vita da una persona deceduta allorché sussistano determinati presupposti e previa un’attenta valutazione di carattere comparativo tra gli interessi in giuoco che spetterà all’assicurazione fare, nella sua qualità di titolare del trattamento.
I presupposti richiesti e individuati dal Garante sono essenzialmente due, e in particolare:
- una posizione giuridica soggettiva di chiamato all’eredità o erede a tutti gli effetti, in capo a chi esercita il diritto di accesso ai dati del defunto, ravvisando in pratica un interesse ad agire sostanziale in ambito successorio;
- un interesse concreto e attuale, strumentale o prodromico alla difesa di un diritto successorio in sede giudiziaria.
Senza naturalmente dimenticare, gli adempimenti di legge (informativa ex art. 13 GDPR).
Il parere degli esperti
Alla lettura di questo provvedimento, non poteva non sollevarsi un dibattito.
Tra i massimi esperti e studiosi della materia Enrico Pelino, nei primi commenti, peraltro condivisibili a parere di chi scrive, sottolinea che si tratta di un provvedimento apodittico con “affermazioni [altrettanto] apodittiche”. Infatti, nel ripercorrere quanto appena esposto, nel momento in cui Garante evidenzia che il diritto di accesso ai dati personali, “a differenza di altre forme di accesso previste dall’ordinamento, non consente, di norma, di ottenere informazioni personali riferite a terzi, cioè a dati riferiti a soggetti diversi dall’interessato” fa “un’affermazione tranciante, difficile da accettare”. Ripeto del tutto condivisibile; e aggiungo era il caso di scriverlo? C’è già un dettato normativo piuttosto chiaro (l’art. 2 terdecies Cod. Privacy).
Ma non è tutto. Le interpretazioni date dall’Autorità possono anche sortire un effetto contrario e dannoso, come afferma il Collega, vieppiù “se estrapolate dal contesto e usate strumentalmente da terzi in sede giudiziale”.
Ancora, poiché lo stesso Garante cita dei precedenti senza tuttavia discostarsene non si capisce quale sia l’elemento di novità; e che incertezze dipana? Non bastava richiamarsi ai precedenti giurisprudenziali e uniformarvisi? Occorreva scriverlo.
Così come dalla citazione delle Linee guida si evince “rispetto ai dati di terzi, non opera alcun automatismo (né nel senso del rifiuto dell’accesso né in quello del suo accoglimento), nè c’è alcuna posizione aprioristica. Sono tornati i provvedimenti a carattere generale?”
L’avvocato Alessandro Del Ninno, ci offre ulteriori spunti di riflessione circa alcuni aspetti procedurali/pregiudiziali pensando alle potenziali missive “…di avvocati che richiedono l’accesso ai dati del terzo beneficiario per conto dei loro clienti/eredi per valutare possibili azioni cosa sono? Forse prodromiche all’instaurazione di un giudizio, in caso di accesso consentito, ovvero o esplorative in caso di accesso negato?” Provocazioni tutte condivisibili.
Conclusioni
Arriviamo alle conclusioni. Che cosa ci rappresenta questo provvedimento? Verrebbe da dire tanto rumore per nulla. Ma soffermiamoci ancora, seppur brevemente, sul bilanciamento dei diritti poiché è un tema che ritorna.
Come noto, la protezione dei dati personali non ha un valore assoluto. Si tratta di un diritto che può essere compresso, come abbiamo avuto modo di assistere in situazione di emergenza. Il problema della compressione di un diritto, tuttavia, sta nella reale difficoltà di una riespansione dello stesso.
Il meccanismo dell’equo bilanciamento tra i diritti grazie a principi come quello di proporzionalità, allora si impone e agisce a valle dal momento che, a ben guardare, la materia (della protezione dei dati) a monte è strumentale e in quanto tale deve cedere il passo, laddove richiesto; il che è del tutto inevitabile. Ma facciamo attenzione poi alle conseguenze e non lamentiamoci a posteriori. L’importante è che ne siamo tutti consapevoli.