IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, l'avv. Guido Scorza, componente e il cons. Fabio
Mattei, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016 (di seguito, «Regolamento»);
Visto il Codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n.
196, come modificato dal decreto legislativo 10 agosto 2018, n. 101,
di seguito «Codice»);
Visti in particolare l'art. 15 e i considerando 27, 63 e 64 del
regolamento, nonche' l'art. 2-terdecies del codice, rubricati
rispettivamente «diritto di accesso dell'interessato» e «diritti
riguardanti le persone decedute»;
Ritenuto opportuno e non ulteriormente procrastinabile alla luce
delle numerose istanze (segnalazioni, reclami e richieste di parere)
pervenute nel corso del tempo sul tema dell'accesso da parte di
chiamati all'eredita' e di eredi ai dati dei beneficiari di polizze
assicurative stipulate in vita da persone decedute, fornire
chiarimenti e indicazioni di carattere generale sulle suddette
disposizioni, che hanno generato dubbi interpretativi, incertezze e
difficolta' applicative sia per le imprese assicurative sia per gli
interessati, anche in ragione delle contrastanti decisioni assunte
dalla giurisprudenza di merito;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa Ginevra Cerrina Feroni;
Premesso:
1. Il quadro normativo di riferimento
L'art. 4 del regolamento, contiene una nozione estesa di dato
personale, costituito da «qualsiasi informazione riguardante una
persona fisica identificata o identificabile» anche indirettamente
mediante riferimento a qualsiasi altra informazione.
L'obiettivo generale del diritto di accesso previsto dalla
disciplina di protezione dati e' quello di fornire agli interessati
informazioni sufficienti, trasparenti e facilmente accessibili, sul
trattamento dei dati personali che li riguarda.
Occorre tenere presente che tale diritto, a differenza di altre
forme di accesso previste dall'ordinamento, non consente, di norma,
di ottenere informazioni personali riferite a terzi, cioe' a dati
riferiti a soggetti diversi dall'interessato. E' peraltro lo stesso
art. 15, par. 4, del regolamento a prevedere espressamente che «Il
diritto di ottenere una copia [dei dati] di cui al paragrafo 3 non
deve ledere i diritti e le liberta' altrui» (art. 15, par. 4,
regolamento (UE) 2016/679).
La normativa nazionale in materia di protezione dati, avvalendosi
della facolta' prevista dal considerando n. 27 del regolamento, ha
disciplinato anche la possibilita' di esercitare il diritto di
accesso in relazione ai dati riguardanti le persone decedute.
In questo ambito, infatti, l'art. 2-terdecies, comma 1 del decreto
legislativo n. 196/2003 - in linea di continuita' con quanto
stabilito dal previgente art. 9, comma 3, del Codice - prevede che «i
diritti di cui agli articoli da 15 a 22 del regolamento riferiti ai
dati personali concernenti persone decedute possono essere esercitati
da chi ha un interesse proprio, o agisce a tutela dell'interessato,
in qualita' di suo mandatario, o per ragioni familiari meritevoli di
protezione».
La disciplina dell'art. 2-terdecies prevede dunque l'esercizio, nei
confronti dei titolari del trattamento, dei diritti previsti dal
regolamento (artt. 12-22), anche dopo il decesso dell'interessato,
stabilendo che possono essere esercitati, tra l'altro, da «chi ha un
interesse proprio [...] o per ragioni familiari meritevoli di
protezione». La portata e l'ampiezza dei diritti esercitabili non e'
pero' (ne' sarebbe possibile, in ragione della gerarchia tra le fonti
normative) incisa dalla disposizione: con riferimento all'esercizio
del diritto di accesso, previsto dall'art. 15 del regolamento, i
soggetti legittimati a esercitarlo hanno quindi diritto di conoscere
le stesse informazioni che avrebbe potuto conoscere l'interessato.
In questo senso assume rilevanza anche l'art. 52 della Carta dei
diritti fondamentali dell'Unione europea, il cui comma 1 stabilisce
che «[e]ventuali limitazioni all'esercizio dei diritti e delle
liberta' riconosciuti dalla [...] Carta devono essere previste dalla
legge e rispettare il contenuto essenziale di detti diritti e
liberta'. Nel rispetto del principio di proporzionalita', possono
essere apportate limitazioni solo laddove siano necessarie e
rispondano effettivamente a finalita' di interesse generale
riconosciute dall'Unione o all'esigenza di proteggere i diritti e le
liberta' altrui.»
2. La giurisprudenza di merito sulla conoscibilita' dei dati dei
beneficiari di polizze assicurative
Su questo tema, nel corso del tempo, si sono espressi diversi
giudici di merito, con pronunce ora favorevoli ora contrarie alla
conoscibilita' dei dati del terzo beneficiario di polizze stipulate
in vita da persona deceduta.
Gli indirizzi che si sono delineati, anche vigente l'attuale quadro
normativo, muovono da istanze di esercizio del diritto di accesso ai
dati del de cuius rivolte alle imprese assicuratrici, ai sensi
dell'art. 2-terdecies del Codice, da soggetti chiamati all'eredita' o
da eredi e sono riconducibili a due filoni interpretativi:
1) quello (1) che ha ritenuto che la compagnia assicurativa
dovesse comunicare al richiedente i nominativi dei soggetti designati
dal de cuius quali beneficiari della polizza perche' in concreto
funzionali alla tutela dei diritti ereditari dell'istante e pertanto
necessari per accertare, esercitare o difendere un diritto in sede
giudiziaria di quest'ultimo, rinvenendo, nel quadro normativo in
materia di protezione dati personali, indici che consentono la
prevalenza del diritto di difesa giudiziale (art. 24 Cost.) sul
diritto alla riservatezza del soggetto al quale i dati afferiscono, a
condizione che questi ultimi vengano effettivamente prodotti in
giudizio e che risultino necessari, pertinenti e non eccedenti al
perseguimento della finalita' difensiva. Piu' precisamente, si e'
ritenuto che:
l'interesse alla riservatezza dei dati personali debba cedere,
a fronte della tutela di altri interessi giuridicamente rilevanti,
dall'ordinamento configurati come prevalenti, nel necessario
bilanciamento operato, fra i quali l'interesse, ove autentico e non
surrettizio, all'esercizio del diritto di difesa in giudizio,
precisando che, il controllo «in negativo», da svolgere, consista nel
verificare che non si tratti di un'istanza del tutto pretestuosa,
come sarebbe ove il richiedente non vanti, neppure in astratto, una
posizione di diritto soggettivo sostanziale, che si ricolleghi
all'esigenza di conoscenza dei dati per farlo valere;
il diritto alla difesa giudiziale non possa essere interpretato
in senso restrittivo, correlato, cioe', alla conoscenza dei soli
«dati personali del de cuius», atteso che l'art. 4 del regolamento
prevede una nozione ampia di dato personale, nella quale appaiono
riconducibili anche i dati dei beneficiari di una polizza
assicurativa stipulata da un soggetto defunto;
2) quello (2) che ha statuito che l'impresa assicuratrice ha
l'obbligo di fornire all'erede tutte le informazioni relative alle
polizze stipulate dal de cuius, ma esclusivamente con riferimento ai
dati personali di quest'ultimo e con esclusione dell'obbligo di
fornire i dati dei terzi beneficiari, a meno che questi ultimi non vi
consentano.
Tale linea interpretativa, trova il suo fondamento nel principio di
diritto formulato dalla suprema Corte nel 2015 (3) (e affermato piu'
volte dallo stesso garante, vigente l'abrogato codice) secondo il
quale, tra i dati concernenti persone decedute accessibili agli
eredi, a norma dell'abrogato art. 9, comma 3 del codice (ora
2-terdecies del codice), non rientrano quelli identificativi di terze
persone, quali i beneficiari della polizza sulla vita stipulata dal
de cuius (in quanto soggetti terzi rispetto al rapporto contrattuale
assicurativo che hanno diritto alla tutela della propria
riservatezza), ma soltanto quelli riconducibili alla sfera personale
di quest'ultimo. Al riguardo si e' altresi' affermato che non puo'
ritenersi legittimata un'indifferenziata e generica possibilita' di
accesso a dati di terzi con finalita' meramente esplorativa.
In base a tale orientamento, inoltre, mentre la conoscenza delle
polizze assicurative sottoscritte da un de cuius e dell'ammontare dei
premi versati e' indispensabile al fine di ricostruire l'asse
ereditario (atteso che, nei contratti di assicurazione sulla vita
stipulati in favore di terzi, i premi assicurativi costituiscono
oggetto di donazione indiretta e come tali sono suscettibili di
riduzione), l'interesse a conoscere anche i nominativi dei
beneficiari delle polizze, sussiste solo qualora si dimostri
l'entita' della lesione della propria quota di legittima e
l'insufficienza a reintegrarla con le sole disposizioni
testamentarie. Soltanto in tale ipotesi infatti, sarebbe necessario
identificare i terzi designati cosi' da poter agire nei loro
confronti.
3. L'orientamento della Corte di cassazione
La suprema Corte, con pronuncia dell'8 settembre 2015 nel rivedere
la decisione del Tribunale di Verona n. 53/2011, ha affermato che «il
diritto di accesso riconosciuto dalle predette disposizioni [artt. 7
e 8 del Codice all'epoca vigente] ha ad oggetto i dati personali che
riguardano direttamente la persona richiedente che, per legge, e'
l'unica titolare dell'interesse, meritevole di tutela, a ricevere
quelle informazioni» e che «l'accesso ai dati di terze persone, non
e' giustificabile alla luce del citato art. 9, comma 3 [norma
antecedente corrispondente all'attuale 2-terdecies], il quale,
attribuendo al richiedente il diritto di accedere ai «dati personali
concernenti persone decedute», fa chiaro ed esclusivo riferimento ai
dati della persona deceduta» e aggiunge altresi' che «quindi tale
diritto non autorizza l'accesso ai dati personali non riferiti al de
cuius, come i terzi beneficiari dei contratti stipulati dal primo».
Recentemente la Corte ha esaminato nuovamente la questione con
l'ordinanza del 13 dicembre 2021.
In tale occasione, la Corte ha osservato che la fattispecie non
riguardasse l'esercizio del diritto di accesso a dati riferiti al de
cuius (come invece quella di cui alla precedente pronuncia n.
17790/2015), in quanto aveva a oggetto una chiara ed esplicita
istanza di conoscere i dati di terzi, motivata dall'esigenza «di
intraprendere una controversia giudiziale di natura ereditaria o di
annullamento degli atti dispositivi del de cuius per incapacita'
naturale».
In tale caso, pertanto, nel bilanciamento tra i diritti e le
liberta' dell'interessato (a cui i dati si riferiscono, ovvero il
terzo beneficiario) e l'esercizio di un diritto in sede giudiziaria
da parte del richiedente, si e' richiamato l'art. 6, par. 1, lett. f)
del regolamento (legittimo interesse) del titolare o di terzi.
La Corte ha infatti osservato che l'art. 6, par. 1, lett. f) del
regolamento prevede che il trattamento e' lecito se e' «necessario
per il perseguimento del legittimo interesse del titolare del
trattamento o di terzi, a condizione che non prevalgano gli interessi
o i diritti e le liberta' fondamentali dell'interessato che
richiedono la protezione dei dati personali». Secondo quanto
affermato dalla giurisprudenza di legittimita', pertanto,
«l'interesse alla riservatezza dei dati personali deve cedere a
fronte della tutela di altri interessi giuridicamente rilevanti, tra
i quali l'interesse, ove autentico e non surrettizio, all'esercizio
del diritto di difesa in giudizio».
4. Le Linee guida n. 1/2022 in tema di «esercizio del diritto di
accesso»
Con riferimento al tema in esame, il 18 gennaio 2022, lo European
Data Protection Board (EDPB) ha adottato le linee guida relative al
diritto di accesso dell'interessato ai propri dati personali (varate
in via definitiva il 28 marzo 2023 a seguito di consultazione
pubblica), sancito dall'art. 8 della Carta dei diritti fondamentali
dell'UE e dall'art. 15 del regolamento UE 2016/679 dalle quali e'
rilevabile un orientamento in ordine alla possibilita' di accesso ai
dati dei terzi.
In relazione alla tematica oggetto dell'odierno provvedimento, si
richiama l'attenzione, in particolare, sui seguenti punti:
4.2.1, par. 104: «Il diritto di accesso puo' essere esercitato
esclusivamente in relazione ai dati personali dell'interessato che
chiede l'accesso o, se del caso, di una persona o di un
rappresentante autorizzato. Vi sono anche situazioni in cui i dati
non hanno un legame con la persona che esercita il diritto di
accesso, ma con un'altra persona. L'interessato ha tuttavia diritto
soltanto ai dati personali che lo riguardano, escludendo i dati che
riguardano solo qualcun altro»;
4.2.1. par. 105: «La classificazione dei dati come dati personali
che riguardano l'interessato non dipende tuttavia dal fatto che tali
dati personali si riferiscano anche a qualcun altro. E' quindi
possibile che i dati personali si riferiscano a piu' persone
contemporaneamente. Cio' non significa automaticamente che l'accesso
ai dati personali relativi anche a terzi debba essere concesso, in
quanto il titolare del trattamento deve attenersi all'art. 15 (4)
GDPR»;
6.2 par. 168: «Ai sensi dell'articolo 15, paragrafo 4, del RGPD,
il diritto di ottenere una copia non pregiudica i diritti e le
liberta' altrui. Le spiegazioni di tale limitazione sono fornite
nella quinta e nella sesta frase del considerando 63;
6.2 par. 173: «In linea con il considerando 4 del RGPD e con la
ratio sottesa all'articolo 52, paragrafo 1, della Carta europea dei
diritti fondamentali, il diritto alla protezione dei dati personali
non e' un diritto assoluto. Pertanto, anche l'esercizio del diritto
di accesso deve essere bilanciato con altri diritti fondamentali
conformemente al principio di proporzionalita'. Quando la valutazione
ai sensi dell'articolo 15 (4) del RGPD dimostra che il rispetto della
richiesta ha effetti negativi sui diritti e sulle liberta' degli
altri soggetti in causa (fase 1), gli interessi di tutte le parti in
causa devono essere ponderati tenendo conto delle circostanze
specifiche del caso e in particolare della probabilita' e della
gravita' dei rischi presenti nella comunicazione dei dati. Il
titolare del trattamento dovrebbe cercare di conciliare i diritti
confliggenti (fase 2), ad esempio attuando misure adeguate per
attenuare il rischio per i diritti e le liberta' altrui. Come
sottolineato al considerando 63, la protezione dei diritti e delle
liberta' altrui in virtu' dell'articolo 15, paragrafo 4, del RGPD non
dovrebbe comportare il rifiuto di fornire tutte le informazioni
all'interessato. Cio' significa, ad esempio, nei casi in cui si
applica la limitazione in oggetto, che le informazioni riguardanti
terzi devono essere rese illeggibili per quanto possibile invece di
rifiutare di fornire una copia dei dati personali. Tuttavia, se e'
impossibile trovare una soluzione che riconcili i diversi interessi,
il titolare del trattamento deve decidere in una seconda fase quale
dei diritti e delle liberta' confliggenti prevalga (fase 3)».
5. La posizione del Garante
Dal quadro sopra delineato, emerge l'esigenza che il Garante
esprima un proprio orientamento, volto a ridurre l'incertezza
interpretativa che si e' determinata in materia.
Al riguardo, si ritiene che tra i dati ai quali e' possibile
accedere ai sensi del combinato disposto tra gli art. 15 del
regolamento e 2-terdecies del codice, rientrino anche i dati
personali dei beneficiari di polizze assicurative accese in vita da
una persona deceduta, in presenza di determinati presupposti e previa
attenta valutazione comparativa tra gli interessi in gioco effettuata
dall'impresa assicuratrice titolare del trattamento.
Considerato che la tutela della riservatezza dei dati personali non
ha un valore assoluto, il titolare del trattamento deve contemperare
tale diritto con quello di difendersi in giudizio esercitato da colui
che accede ai dati personali del de cuius.
Secondo quanto affermato dalla stessa giurisprudenza di
legittimita', infatti, «l'interesse alla riservatezza dei dati
personali deve cedere a fronte della tutela di altri interessi
giuridicamente rilevanti, tra i quali l'interesse, ove autentico e
non surrettizio, all'esercizio del diritto di difesa in giudizio».
Cio' significa che a fronte del dichiarato interesse del
richiedente a conoscere anche i nominativi dei beneficiari delle
polizze, il titolare deve eseguire un «controllo in negativo», che si
risolve nel verificare che non si tratti di un'istanza del tutto
pretestuosa.
In questo senso il titolare dovra' verificare la sussistenza dei
presupposti di seguito indicati:
1) che il soggetto che esercita il diritto di accesso ai dati del
defunto sia portatore di una posizione di diritto soggettivo
sostanziale in ambito successorio, corrispondente alla qualita' di
chiamato all'eredita' o di erede;
2) che l'interesse perseguito sia concreto e attuale, cioe'
realmente esistente al momento dell'accesso ai dati, strumentale o
prodromico alla difesa di un proprio diritto successorio in sede
giudiziaria.
Si invitano i titolari del trattamento a valutare l'adeguatezza
dell'informativa resa sia al contraente che al/i beneficiario/i delle
polizze (rispettivamente ai sensi dell'art. 13 e dell'art. 14, par. 1
lett. e) del regolamento) alle indicazioni contenute nel presente
provvedimento.
Il soggetto che riceve i dati dell'interessato dovra', a sua volta,
nel trattare i dati ricevuti, rispettare rigorosamente la finalita'
di tutela dei propri diritti successori in sede giudiziaria sottesa a
tale comunicazione.
Tanto premesso, il Garante:
ai sensi dell'art. 57, par. 1, lett. b) e d) e v) del regolamento,
nonche' dell'art. 154, comma 1 del Codice, il quale, in attuazione
della lett. v) dell'art. 57, prevede che «il Garante, anche di
propria iniziativa [...] e nei confronti di uno o piu' titolari del
trattamento, ha il compito di: [...] f) assicurare la tutela dei
diritti e delle liberta' fondamentali degli individui dando idonea
attuazione al regolamento e al presente codice»; g) provvedere
altresi' all'espletamento dei compiti ad esso attribuiti dal diritto
dell'Unione europea o dello Stato e svolgere le ulteriori funzioni
previste dall'ordinamento», invita i titolari del trattamento,
limitatamente alla fattispecie esaminata, nell'interpretazione e
applicazione dell'art. 15 del regolamento e dell'art. 2-terdecies del
Codice, ad attenersi alle indicazioni fornite con il presente
provvedimento.
Si dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana e sia resa disponibile nel sito web dell'autorita'
https://www.gpdp.it
Roma, 26 ottobre 2023
Il Presidente
Stanzione
Il relatore
Cerrina Feroni
Il segretario generale
Garante
(1) Tribunale di Verona, sentenza n. 53 del 1° febbraio 2011,
Tribunale di Rovereto sentenza n. 39 del 13 febbraio 2019,
Tribunale di Treviso, sentenza del 27 febbraio 2020, Tribunale di
Marsala, sentenza del 3 novembre 2020, Tribunale Forli', Sez.
lavoro, n. 440 del 27 gennaio 2022, Tribunale di Milano, Sez. I,
sentenza del 10 novembre 2021, Tribunale di Firenze, con sentenza
del 25 febbraio 2022, Tribunale di Roma, con sentenza del 22
novembre 2022
(2) Tribunale di Roma, I sez., sentenza del 12 gennaio 2016,
Tribunale di Enna sentenza n.320 del 30 settembre 2021, Tribunale
di Brescia, sentenza n. 25 del 08 ottobre 2021, Tribunale di
Bologna terza sez. civile, sentenza del 29 gennaio 2022
(3) Cass. Civ. n. 17790 dell'8 settembre 2015