Anche i defunti hanno Diritto alla Privacy. Ma cosa succede ai dati personali in caso di decesso?
I dati personali dei deceduti non rientrano nell’ambito applicativo del GDPR ed è per tale ragione che il Regolamento europeo ha riconosciuto agli Stati membri la facoltà di introdurre norme ad hoc sul trattamento di tali dati.
Il legislatore italiano ha, all’uopo, emanato il D.Lgs. 101/2018 al fine di armonizzare le norme contenute nel Codice della privacy (D.Lgs 196/2003) con quelle introdotte dal Regolamento UE 679/2016.
Con riguardo ai diritti riguardanti le persone decedute il suddetto decreto, all’art. 2-terdecies, comma 1°, prevede che: “I diritti di cui agli articoli da 15 a 22 del Regolamento UE 2016/679 riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
Questa disposizione abroga l’art. 9 del Codice della Privacy, che al 3° comma, di fatto, prevedeva la medesima possibilità. Si ribadisce, a costo di essere ridondanti, che il D.Lgs 196/2003 seppur novellato ad oggi è ancora in vigore.
La novità risiede nel fatto che l’interessato può preventivamente disporre, con una dichiarazione scritta, espressa ed inequivocabile, e limitatamente all’offerta diretta di servizi della società dell’informazione*, quali fra il diritto di accesso, rettifica, cancellazione, limitazione e portabilità (artt. da 15 a 22 GDPR) non potrà essere esercitato da parte di terzi, una volta deceduto.
[*Per completezza espositiva, si precisa che per “servizi della società dell’informazione” si intendono tutti quei “servizi prestati dietro retribuzione, a distanza, per via elettronica, mediante apparecchiature elettroniche di elaborazione e di memorizzazione di dati, e a richiesta individuale di un destinatario” (direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998).]
Non vi sono dubbi che, come specificato all’ultimo comma dell’art. 2-terdecies, tale divieto non è consentito ove l’accesso ai dati personali del defunto sia necessario a terzi per l’esercizio di diritti patrimoniali ovvero per la difesa dei propri interessi in sede processuale.
Dal dettato normativo emerge che i soggetti che possono esercitare tali diritti, oltre a coloro che vantano un interesse proprio (ed è la categoria poc’anzi trattata), vi sono anche coloro che agiscono per conto di terzi in qualità di mandatari, e.g. gli esecutori testamentari, e coloro il cui interesse risiede nel legame familiare col defunto, nello specifico il coniuge, i figli, i fratelli e tutti gli ascendenti e discendenti diretti sino al 4° grado.
Il Garante della Privacy ha recentemente fornito un parere sulla materia, nell’ambito del procedimento relativo ad una richiesta di riesame del diniego di accesso civico, per un presunto caso di “malasanità”.(Parere del 10 Gennaio 2019 – 9084520)
L’Azienda sanitaria aveva negato l’accesso poiché dalla documentazione richiesta si evincevano dati sensibili personali del paziente deceduto, pertanto fuori dall’ambito applicativo del D.Lgs 33/2013 (aggiornata al D.Lgs 97/2016).
In particolare, trattavasi di dati sulla salute, che fornivano infatti il quadro clinico del defunto, con specifici e accurati dettagli su ricovero, degenza, sintomi, anamnesi, diagnosi, esami effettuati (di cui alcuni particolarmente invasivi) con relativi risultati, terapia, farmaci somministrati, consulenze mediche effettuate, nonché informazioni sul credo religioso professato.
Prima di entrare nel merito della vicenda, il Garante ha precisato che sebbene il Regolamento europeo sulla protezione dati non si applichi ai dati delle persone decedute, questi vengano tutelati dal D.Lgs 101/2018, introdotto appositamente per armonizzare la normativa del GDPR a quella italiana preesistente.
Da ciò ne deriva che ai dati delle persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali anche dopo l’applicazione del Regolamento UE 679/2016.
Fatte le necessarie premesse, prosegue sottolineando che l’accesso civico, istituto regolato all’art. 5 del D.Lgs 33 del 2013, introduce una legittimazione generalizzata, gratuita e senza necessità di motivazione, a richiedere la pubblicazione di documenti, informazioni o dati per i quali sussiste l’obbligo di pubblicazione da parte delle pubbliche amministrazioni, ai sensi della normativa vigente.
Nel caso di specie, trattandosi di dati sanitari, il Codice della Privacy, all’art. 2-septies, comma 8, e all’art. 2-ter, prevede un espresso divieto di diffusione di tali dati, per cui è impossibile “darne conoscenza a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”. In linea, peraltro, con quanto previsto dal D.lgs 33/2013 all’art. 7 bis, comma 6, sul “riutilizzo dei dati pubblicati”.
Secondo l’Autorità Garante, si è dunque in presenza di una delle ipotesi di esclusione dell’accesso civico, previste dalla normativa statale in materia di trasparenza, che prevede espressamente come l’accesso civico debba essere escluso nei “casi di divieti di accesso o divulgazione previsti dalla legge” (art. 5-bis, comma 3, del d. lgs. n. 33/2013).
Per tutto quanto evidenziato, il Garante della Privacy si è espresso in favore della Azienda sanitaria la quale ha correttamente respinto l’istanza di accesso ai dati del defunto.
Si parla ormai di eredità digitale con riguardo a tutte quelle informazioni relative ad un soggetto ed in possesso del gestore di un servizio (piattaforma sociale, fornitore di servizio email, etc.). Nonostante i numerosi strumenti a disposizione, spesso i dati, una volta introdotti nel mondo di internet, godono di vita propria.
Come detto, il nuovo Codice della Privacy ha esteso la tutela della privacy anche ai defunti, riconoscendo i diritti previsti dal GDPR a coloro che ne hanno interesse. In ogni caso chiunque può decidere preventivamente sulla sorte delle proprie informazioni digitali. E’ preferibile comunque non lasciare nulla al caso perché i dati sono eterni e non sempre la morte fisica della persona coincide con quella virtuale.
VP
