VEDI ANCHE Newsletter del 27 novembre 2023

[doc. web n. 9954881]

Provvedimento interpretativo in materia di esercizio del diritto di accesso da parte di eredi e di chiamati all’eredità ai dati personali di soggetti deceduti, con particolare riferimento a quelli dei beneficiari di polizze vita (artt. 15 del Regolamento (UE) 2016/679 e 2-terdecies del Codice in materia di protezione dei dai personali - 26 ottobre 2023
(Pubblicato sulla Gazzetta Ufficiale Serie Generale n. 281 del 1° dicembre 2023)

Registro dei provvedimenti
n. 520 del 26 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI in particolare l’art. 15 e i Considerando 27, 63 e 64 del Regolamento, nonché l’art. 2-terdecies del Codice, rubricati rispettivamente “diritto di accesso dell’interessato” e “diritti riguardanti le persone decedute”;

RITENUTO opportuno e non ulteriormente procrastinabile alla luce delle numerose istanze (segnalazioni, reclami e richieste di parere) pervenute nel corso del tempo sul tema dell’accesso da parte di chiamati all’eredità e di eredi ai dati dei beneficiari di polizze assicurative stipulate in vita da persone decedute, fornire chiarimenti e indicazioni di carattere generale sulle suddette disposizioni, che hanno generato dubbi interpretativi, incertezze e difficoltà applicative sia per le imprese assicurative sia per gli interessati, anche in ragione delle contrastanti decisioni assunte dalla giurisprudenza di merito;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il quadro normativo di riferimento

L'art. 4 del Regolamento, contiene una nozione estesa di dato personale, costituito da “qualsiasi informazione riguardante una persona fisica identificata o identificabile” anche indirettamente mediante riferimento a qualsiasi altra informazione.

L'obiettivo generale del diritto di accesso previsto dalla disciplina di protezione dati è quello di fornire agli interessati informazioni sufficienti, trasparenti e facilmente accessibili, sul trattamento dei dati personali che li riguarda.

Occorre tenere presente che tale diritto, a differenza di altre forme di accesso previste dall’ordinamento, non consente, di norma, di ottenere informazioni personali riferite a terzi, cioè a dati riferiti a soggetti diversi dall’interessato. È peraltro lo stesso art. 15, par. 4, del Regolamento a prevedere espressamente che “Il diritto di ottenere una copia [dei dati] di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui” (art. 15, par. 4, Regolamento (UE) 2016/679).

La normativa nazionale in materia di protezione dati, avvalendosi della facoltà prevista dal considerando n. 27 del Regolamento, ha disciplinato anche la possibilità di esercitare il diritto di accesso in relazione ai dati riguardanti le persone decedute.

In questo ambito, infatti, l’art. 2-terdecies, comma 1 del d.lgs. n. 196/2003 −in linea di continuità con quanto stabilito dal previgente art. 9, comma 3, del Codice− prevede che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

La disciplina dell’art. 2-terdecies prevede dunque l’esercizio, nei confronti dei titolari del trattamento, dei diritti previsti dal Regolamento (artt. 12-22), anche dopo il decesso dell’interessato, stabilendo che possono essere esercitati, tra l’altro, da “chi ha un interesse proprio […] o per ragioni familiari meritevoli di protezione”. La portata e l’ampiezza dei diritti esercitabili non è però (né sarebbe possibile, in ragione della gerarchia tra le fonti normative) incisa dalla disposizione: con riferimento all’esercizio del diritto di accesso, previsto dall’art. 15 del Regolamento, i soggetti legittimati a esercitarlo hanno quindi diritto di conoscere le stesse informazioni che avrebbe potuto conoscere l’interessato.

In questo senso assume rilevanza anche l’art. 52 della Carta dei diritti fondamentali dell’Unione europea, il cui comma 1 stabilisce che “[e]ventuali limitazioni all'esercizio dei diritti e delle libertà riconosciuti dalla […] Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui.”

2. La giurisprudenza di merito sulla conoscibilità dei dati dei beneficiari di polizze assicurative

Su questo tema, nel corso del tempo, si sono espressi diversi giudici di merito, con pronunce ora favorevoli ora contrarie alla conoscibilità dei dati del terzo beneficiario di polizze stipulate in vita da persona deceduta.

Gli indirizzi che si sono delineati, anche vigente l’attuale quadro normativo, muovono da istanze di esercizio del diritto di accesso ai dati del de cuius rivolte alle imprese assicuratrici, ai sensi dell’art. 2-terdecies del Codice, da soggetti chiamati all’eredità o da eredi e sono riconducibili a due filoni interpretativi:

1) quello(1) che ha ritenuto che la compagnia assicurativa dovesse comunicare al richiedente i nominativi dei soggetti designati dal de cuius quali beneficiari della polizza perché in concreto funzionali alla tutela dei diritti ereditari dell’istante e pertanto necessari per accertare, esercitare o difendere un diritto in sede giudiziaria di quest’ultimo, rinvenendo, nel quadro normativo in materia di protezione dati personali, indici che consentono la prevalenza del diritto di difesa giudiziale (art. 24 Cost.) sul diritto alla riservatezza del soggetto al quale i dati afferiscono, a condizione che questi ultimi vengano effettivamente prodotti in giudizio e che risultino necessari, pertinenti e non eccedenti al perseguimento della finalità difensiva. Più precisamente, si è ritenuto che:

− l’interesse alla riservatezza dei dati personali debba cedere, a fronte della tutela di altri interessi giuridicamente rilevanti, dall'ordinamento configurati come prevalenti, nel necessario bilanciamento operato, fra i quali l'interesse, ove autentico e non surrettizio, all'esercizio del diritto di difesa in giudizio, precisando che, il controllo "in negativo", da svolgere, consista nel verificare che non si tratti di un'istanza del tutto pretestuosa, come sarebbe ove il richiedente non vanti, neppure in astratto, una posizione di diritto soggettivo sostanziale, che si ricolleghi all'esigenza di conoscenza dei dati per farlo valere;

− il diritto alla difesa giudiziale non possa essere interpretato in senso restrittivo, correlato, cioè, alla conoscenza dei soli "dati personali del de cuius", atteso che l'art. 4 del Regolamento prevede una nozione ampia di dato personale, nella quale appaiono riconducibili anche i dati dei beneficiari di una polizza assicurativa stipulata da un soggetto defunto;

2) quello(2) che ha statuito che l’impresa assicuratrice ha l'obbligo di fornire all'erede tutte le informazioni relative alle polizze stipulate dal de cuius, ma esclusivamente con riferimento ai dati personali di quest’ultimo e con esclusione dell'obbligo di fornire i dati dei terzi beneficiari, a meno che questi ultimi non vi consentano.

Tale linea interpretativa, trova il suo fondamento nel principio di diritto formulato dalla Suprema Corte nel 2015(3) (e affermato più volte dallo stesso Garante, vigente l’abrogato Codice) secondo il quale, tra i dati concernenti persone decedute accessibili agli eredi, a norma dell'abrogato art. 9, comma 3 del Codice (ora 2-terdecies del Codice), non rientrano quelli identificativi di terze persone, quali i beneficiari della polizza sulla vita stipulata dal de cuius (in quanto soggetti terzi rispetto al rapporto contrattuale assicurativo che hanno diritto alla tutela della propria riservatezza), ma soltanto quelli riconducibili alla sfera personale di quest'ultimo. Al riguardo si è altresì affermato che non può ritenersi legittimata un'indifferenziata e generica possibilità di accesso a dati di terzi con finalità meramente esplorativa.

In base a tale orientamento, inoltre, mentre la conoscenza delle polizze assicurative sottoscritte da un de cuius e dell’ammontare dei premi versati è indispensabile al fine di ricostruire l’asse ereditario (atteso che, nei contratti di assicurazione sulla vita stipulati in favore di terzi, i premi assicurativi costituiscono oggetto di donazione indiretta e come tali sono suscettibili di riduzione), l’interesse a conoscere anche i nominativi dei beneficiari delle polizze, sussiste solo qualora si dimostri l’entità della lesione della propria quota di legittima e l’insufficienza a reintegrarla con le sole disposizioni testamentarie. Soltanto in tale ipotesi infatti, sarebbe necessario identificare i terzi designati così da poter agire nei loro confronti.

3. L’orientamento della Corte di Cassazione.

La Suprema Corte, con pronuncia dell’8 settembre 2015 nel rivedere la decisione del Tribunale di Verona n. 53/2011, ha affermato che “il diritto di accesso riconosciuto dalle predette disposizioni [artt. 7 e 8 del Codice all’epoca vigente] ha ad oggetto i dati personali che riguardano direttamente la persona richiedente che, per legge, è l'unica titolare dell'interesse, meritevole di tutela, a ricevere quelle informazioni” e che “l'accesso ai dati di terze persone, non è giustificabile alla luce del citato art. 9, comma 3 [norma antecedente corrispondente all’attuale 2-terdecies], il quale, attribuendo al richiedente il diritto di accedere ai "dati personali concernenti persone decedute", fa chiaro ed esclusivo riferimento ai dati della persona deceduta” e aggiunge altresì che “quindi tale diritto non autorizza l'accesso ai dati personali non riferiti al de cuius, come i terzi beneficiari dei contratti stipulati dal primo”.

Recentemente la Corte ha esaminato nuovamente la questione con l’ordinanza del 13 dicembre 2021.

In tale occasione, la Corte ha osservato che la fattispecie non riguardasse l’esercizio del diritto di accesso a dati riferiti al de cuius (come invece quella di cui alla precedente pronuncia n. 17790/2015), in quanto aveva a oggetto una chiara ed esplicita istanza di conoscere i dati di terzi, motivata dall’esigenza “di intraprendere una controversia giudiziale di natura ereditaria o di annullamento degli atti dispositivi del de cuius per incapacità naturale”.

In tale caso, pertanto, nel bilanciamento tra i diritti e le libertà dell’interessato (a cui i dati si riferiscono, ovvero il terzo beneficiario) e l’esercizio di un diritto in sede giudiziaria da parte del richiedente, si è richiamato l’art. 6, par. 1, lett. f) del Regolamento (legittimo interesse) del titolare o di terzi.

La Corte ha infatti osservato che l’art. 6, par. 1, lett. f) del Regolamento prevede che il trattamento è lecito se è “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali”. Secondo quanto affermato dalla giurisprudenza di legittimità, pertanto, “l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di altri interessi giuridicamente rilevanti, tra i quali l’interesse, ove autentico e non surrettizio, all’esercizio del diritto di difesa in giudizio”.

4. Le Linee guida n. 1/2022 in tema di “esercizio del diritto di accesso”

Con riferimento al tema in esame, il 18 gennaio 2022, lo European Data Protection Board (EDPB) ha adottato le Linee Guida relative al diritto di accesso dell’interessato ai propri dati personali (varate in via definitiva il 28 marzo 2023 a seguito di consultazione pubblica), sancito dall’art. 8 della Carta dei diritti fondamentali dell’UE e dall’art. 15 del Regolamento UE 2016/679 dalle quali è rilevabile un orientamento in ordine alla possibilità di accesso ai dati dei terzi.

In relazione alla tematica oggetto dell’odierno provvedimento, si richiama l’attenzione, in particolare, sui seguenti punti:

- 4.2.1, par. 104: “Il diritto di accesso può essere esercitato esclusivamente in relazione ai dati personali dell'interessato che chiede l'accesso o, se del caso, di una persona o di un rappresentante autorizzato. Vi sono anche situazioni in cui i dati non hanno un legame con la persona che esercita il diritto di accesso, ma con un'altra persona. L'interessato ha tuttavia diritto soltanto ai dati personali che lo riguardano, escludendo i dati che riguardano solo qualcun altro”;

- 4.2.1. par. 105: “La classificazione dei dati come dati personali che riguardano l'interessato non dipende tuttavia dal fatto che tali dati personali si riferiscano anche a qualcun altro. È quindi possibile che i dati personali si riferiscano a più persone contemporaneamente. Ciò non significa automaticamente che l'accesso ai dati personali relativi anche a terzi debba essere concesso, in quanto il titolare del trattamento deve attenersi all'art. 15(4) GDPR”;

- 6.2 par. 168: “Ai sensi dell'articolo 15, paragrafo 4, del RGPD, il diritto di ottenere una copia non pregiudica i diritti e le libertà altrui. Le spiegazioni di tale limitazione sono fornite nella quinta e nella sesta frase del considerando 63;

- 6.2 par. 173: “In linea con il considerando 4 del RGPD e con la ratio sottesa all'articolo 52, paragrafo 1, della Carta europea dei diritti fondamentali, il diritto alla protezione dei dati personali non è un diritto assoluto. Pertanto, anche l'esercizio del diritto di accesso deve essere bilanciato con altri diritti fondamentali conformemente al principio di proporzionalità. Quando la valutazione ai sensi dell'articolo 15 (4) del RGPD dimostra che il rispetto della richiesta ha effetti negativi sui diritti e sulle libertà degli altri soggetti in causa (fase 1), gli interessi di tutte le parti in causa devono essere ponderati tenendo conto delle circostanze specifiche del caso e in particolare della probabilità e della gravità dei rischi presenti nella comunicazione dei dati. Il titolare del trattamento dovrebbe cercare di conciliare i diritti confliggenti (fase 2), ad esempio attuando misure adeguate per attenuare il rischio per i diritti e le libertà altrui. Come sottolineato al considerando 63, la protezione dei diritti e delle libertà altrui in virtù dell'articolo 15, paragrafo 4, del RGPD non dovrebbe comportare il rifiuto di fornire tutte le informazioni all'interessato. Ciò significa, ad esempio, nei casi in cui si applica la limitazione in oggetto, che le informazioni riguardanti terzi devono essere rese illeggibili per quanto possibile invece di rifiutare di fornire una copia dei dati personali. Tuttavia, se è impossibile trovare una soluzione che riconcili i diversi interessi, il titolare del trattamento deve decidere in una seconda fase quale dei diritti e delle libertà confliggenti prevalga (fase 3)”.

5. La posizione del Garante

Dal quadro sopra delineato, emerge l’esigenza che il Garante esprima un proprio orientamento, volto a ridurre l’incertezza interpretativa che si è determinata in materia.   

Al riguardo, si ritiene che tra i dati ai quali è possibile accedere ai sensi del combinato disposto tra gli art. 15 del Regolamento e 2-terdecies del Codice, rientrino anche i dati personali dei beneficiari di polizze assicurative accese in vita da una persona deceduta, in presenza di determinati presupposti e previa attenta valutazione comparativa tra gli interessi in gioco effettuata dall’impresa assicuratrice titolare del trattamento.

Considerato che la tutela della riservatezza dei dati personali non ha un valore assoluto, il titolare del trattamento deve contemperare tale diritto con quello di difendersi in giudizio esercitato da colui che accede ai dati personali del de cuius.

Secondo quanto affermato dalla stessa giurisprudenza di legittimità, infatti, “l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di altri interessi giuridicamente rilevanti, tra i quali l’interesse, ove autentico e non surrettizio, all’esercizio del diritto di difesa in giudizio”.

Ciò significa che a fronte del dichiarato interesse del richiedente a conoscere anche i nominativi dei beneficiari delle polizze, il titolare deve eseguire un “controllo in negativo”, che si risolve nel verificare che non si tratti di un'istanza del tutto pretestuosa.
In questo senso il titolare dovrà verificare la sussistenza dei presupposti di seguito indicati:

1) che il soggetto che esercita il diritto di accesso ai dati del defunto sia portatore di una posizione di diritto soggettivo sostanziale in ambito successorio, corrispondente alla qualità di chiamato all’eredità o di erede;

2) che l’interesse perseguito sia concreto e attuale, cioè realmente esistente al momento dell’accesso ai dati, strumentale o prodromico alla difesa di un proprio diritto successorio in sede giudiziaria.

Si invitano i titolari del trattamento a valutare l’adeguatezza dell’informativa resa sia al contraente che al/i beneficiario/i delle polizze (rispettivamente ai sensi dell’art. 13 e dell’art. 14, par. 1 lett. e) del Regolamento) alle indicazioni contenute nel presente provvedimento.

Il soggetto che riceve i dati dell’interessato dovrà, a sua volta, nel trattare i dati ricevuti, rispettare rigorosamente la finalità di tutela dei propri diritti successori in sede giudiziaria sottesa a tale comunicazione.

TANTO PREMESSO, IL GARANTE:

ai sensi dell’art. 57, par. 1, lett. b) e d) e v) del Regolamento, nonché dell’art. 154, comma 1 del Codice, il quale, in attuazione della lett. v) dell’art. 57, prevede che “il Garante, anche di propria iniziativa […] e nei confronti di uno o più titolari del trattamento, ha il compito di: […] f) assicurare la tutela dei diritti e delle libertà fondamentali degli individui dando idonea attuazione al Regolamento e al presente codice”; g) provvedere altresì all’espletamento dei compiti ad esso attribuiti dal diritto dell’Unione europea o dello Stato e svolgere le ulteriori funzioni previste dall’ordinamento”, invita i titolari del trattamento, limitatamente alla fattispecie esaminata, nell’interpretazione e applicazione dell’art. 15 del Regolamento e dell’art. 2-terdecies del Codice, ad attenersi alle indicazioni fornite con il presente provvedimento.

Si dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana e sia resa disponibile nel sito web dell’Autorità https://www.gpdp.it.

Roma, 26 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

_______

1) Tribunale di Verona, sentenza n. 53 del 1° febbraio 2011,

Tribunale di Rovereto sentenza n. 39 del 13 febbraio 2019,

Tribunale di Treviso, sentenza del 27 febbraio 2020,

Tribunale di Marsala, sentenza del 3 novembre 2020,

Tribunale Forlì, Sez. lavoro, n. 440 del 27 gennaio 2022,

Tribunale di Milano, Sez. I, sentenza del 10 novembre 2021,

Tribunale di Firenze, con sentenza del 25 febbraio 2022,

Tribunale di Roma, con sentenza del 22 novembre 2022

2) Tribunale di Roma, I sez., sentenza del 12 gennaio 2016,

Tribunale di Enna sentenza n.320 del 30 settembre 2021,

Tribunale di Brescia, sentenza n. 25 del 08 ottobre 2021,

Tribunale di Bologna terza sez. civile, sentenza del 29 gennaio 2022.

3) Cass. Civ. n. 17790 dell’8 settembre 2015