Il presente contributo affronta il tema dell’accesso ai dati personali di terzi beneficiari di polizze assicurative da parte di chiamati alla eredità/eredi del de cuius alla luce del Provvedimento interpretativo del Garante privacy n. 520/2023, svolgendo un’analisi pratica e soffermandosi su possibili processi interni delle compagnie assicurative per la valutazione e gestione delle istanze.
1. Introduzione. Il provvedimento interpretativo 520/2023 del Garante per la privacy: quale valore giuridico e carattere vincolante?
Con il provvedimento interpretativo del Garante privacy n. 520 del 26 ottobre 2023, l’Autorità Garante per la protezione dei dati personali ha formulato un chiarimento interpretativo su una questione annosa: quella della conoscibilità dei dati personali dei beneficiari di polizze assicurative da parte dei chiamati all’eredità[1] o degli eredi del de cuius (che ha stipulato in vita la relativa polizza assicurativa a favore del terzo, di cui essi intendono appunto conoscere le generalità) mediante esercizio del diritto di accesso data protection (disciplinato dall’articolo 15 del Regolamento generale UE n.679/2016 sulla protezione dei dati personali – di seguito “RGPD”) nei confronti della compagnia assicurativa.
L’Autorità Garante per la protezione dei dati personali è intervenuta per superare le opposte e “contrastanti decisioni” adottate della Giurisprudenza in merito alla legittimità o meno dell’accesso da parte di “chiamati alla eredità ed eredi” ai dati personali del terzo beneficiario di polizze assicurative stipulate in vita da persone decedute.
In sostanza, i due (opposti) filoni decisori sulla tematica sono:
- quello che ritiene che la compagnia assicurativa debba comunicare al richiedente i nominativi dei soggetti designati dal de cuius quali beneficiari della polizza perché in concreto funzionali alla tutela dei diritti ereditari dell’istante e pertanto necessari per accertare, esercitare o difendere un diritto in sede giudiziaria di quest’ultimo, con prevalenza sul diritto alla riservatezza (che ai sensi del Considerando 4 del RGPD non è una prerogativa assoluta[2]);
- quello di cui soprattutto alla sentenza della Suprema Corte di Cassazione n. 17790 dell’8 settembre 2015 che – al contrario – ha statuito che l’impresa assicuratrice ha l’obbligo di fornire all’erede tutte le informazioni relative alle polizze stipulate dal de cuius, ma esclusivamente con riferimento ai dati personali di quest’ultimo e con esclusione dell’obbligo di fornire i dati dei terzi beneficiari, a meno che questi ultimi non acconsentano. L’erede – secondo tale orientamento – avrebbe diritto a conoscere le polizze assicurative sottoscritte dal de cuius, l’ammontare dei premi versati e i dati del de cuius indispensabili al fine di ricostruire l’asse ereditario (atteso che, nei contratti di assicurazione sulla vita stipulati in favore di terzi, i premi assicurativi costituiscono oggetto di donazione indiretta e come tali sono suscettibili di riduzione), ma non avrebbe diritto a conoscere anche i nominativi dei beneficiari delle polizze, a meno che l’erede o il chiamato non dimostri l’entità della lesione della propria quota di legittima e l’insufficienza a reintegrarla con le sole disposizioni testamentarie. Soltanto in tale ipotesi, infatti, sarebbe necessario identificare i terzi designati così da poter agire nei loro confronti.
Prima di affrontare i profili pratici, appare tuttavia più che opportuno svolgere qualche considerazione preliminare sulla portata pratica del provvedimento interpretativo del Garante privacy, soprattutto nella prospettiva della sua vincolatività. A ben vedere, difatti, non rientra tra le potestà delle autorità amministrative indipendenti – nel novero delle quali è ricompresa l’Autorità Garante per la protezione dei dati personali – la potestà interpretativa delle norme dell’ordinamento giuridico. Tale potestà è difatti propria in primo luogo del Legislatore, e poi dei giudici di merito o di legittimità (e ovviamente la Corte di Giustizia UE interpreta le norme del RGPD). Analizzando gli articoli 57 (“Compiti”) e 58 (“Poteri”) del RGPD, poi, appare evidente che tra i compiti e i poteri dell’Autorità nazionale di sorveglianza non è ricompreso quello di interpretare norme del RGPD o nazionali, né una lettura estensiva di quegli articoli consente di “recuperare” tale potestà interpretativa, facendola rientrare –ad esempio – nei compiti di consulenza che ciascuna Authority data protection ha nei confronti del governo o del Parlamento nazionale.
Quale valore giuridico e quale portata vincolante ha allora il provvedimento in esame?
Esso non è giuridicamente vincolante, ma costituisce una posizione espressa dall’Autorità di settore sui particolari profili data protection di cui qui ci si occuperà, andando il provvedimento a costituire espressione formale della posizione del Garante per la privacy (una sorta di suo “precedente”) che semmai può rappresentare un riferimento per i tribunali nazionali, che solitamente tendono a conformare il loro libero convincimento alle posizioni del Garante (anche se in alcune recentissime pronunce di merito e di legittimità la Magistratura ha adottato decisioni sfavorevoli all’Authority data protection, come ad esempio in Trib. di Roma, sezione civile 18ª, n. 2615 del 13/1/2024 sulla prescrizione del potere sanzionatorio del Garante privacy).
2. Rinvio: (1) al quadro legale in materia di accesso ai dati personali di terzi soggetti; (2) alla evoluzione degli indirizzi della Giurisprudenza e del Garante per la protezione dei dati personali in materia di accesso ai dati di beneficiari di polizze assicurative
Il Garante richiama in apertura del provvedimento n. 520/2023 la portata del diritto di accesso ai dati personali, ricordando che:
“Occorre tenere presente che il diritto di accesso ai dati personali, a differenza di altre forme di accesso previste dall’ordinamento, non consente, di norma, di ottenere informazioni personali riferite a terzi, cioè a dati riferiti a soggetti diversi dall’interessato. È peraltro lo stesso art. 15, par. 4, del Regolamento a prevedere espressamente che “Il diritto di ottenere una copia dei dati non deve ledere i diritti e le libertà altrui”.
L’accesso ai dati personali è tra i fondamentali diritti previsti dal RGPD ed è disciplinato dal richiamato articolo 15 del RGPD (“Diritto di accesso dell’interessato”), tale accesso consta del diritto dell’interessato di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali “che lo riguardano” e – in tal caso – di ottenere l’accesso ai dati personali e alle principali informazioni sul trattamento e su altri diritti. Tuttavia, il diritto di accesso ai dati personali come codificato dall’art. 15 GDPR (al pari di quanto era già previsto ai sensi del previgente articolo 7 del Codice della privacy) è un diritto che non si estende ai dati personali che non si riferiscono all’interessato. In altri termini, l’interessato ha il diritto di accedere alle proprie informazioni/dati (e – correlativamente – il Titolare del trattamento ha l’obbligo di concedere l’accesso) e non anche ai dati e alle informazioni relative a qualsiasi terzo soggetto diverso dal richiedente accesso legittimato (e – correlativamente – il Titolare del trattamento ha in tale caso il divieto di consentire l’accesso ai dati del terzo).
Ciò è chiaramente indicato anche dal tenore dell’articolo 15 RGPD, a mente del quale l’accesso dell’interessato è un diritto che ha ad oggetto solo i dati “che lo riguardano” (tra l’altro, essendo l’interessato “la persona fisica alla quale si riferiscono i dati personali”). Inoltre, l’articolo 15, comma 4, RGPD specifica che il diritto di accesso e di ottenimento di una copia dei dati personali (e, va precisato, non dei documenti che li contengono) “non deve ledere i diritti e le libertà altrui” (ivi inclusa la riservatezza che legittimamente il terzo può reclamare sui propri dati personali).
In materia di diritto successorio e di accesso da parte degli eredi legittimi o testamentari ai dati anagrafici identificativi di titolari/intestatari di polizze assicurative quali terzi beneficiari del de cuius, la Giurisprudenza e il Garante per la privacy si sono occupati più volte in passato di delimitare l’ambito di applicabilità del diritto di accesso. Difatti, nel contesto ereditario, e nella prospettiva degli articoli 1920 e 1923 del codice civile, entrano in conflitto: la necessità del chiamato alla eredità/erede di accedere ai dati personali di un terzo beneficiario di una polizza assicurativa stipulata dal de cuius (onde verificare – ad esempio – l’eventuale lesione della quota di legittima, il fondamento di un’azione per riduzione, etc), il diritto del terzo alla riservatezza sulle sue informazioni anagrafiche o identificative che lo rivelino quale beneficiario di una polizza assicurativa stipulata dal de cuius e – infine – l’ambito di applicabilità del diritto di accesso ai dati personali che non può estendersi ai dati personali di terzi. Tutto ciò, anche alla luce di quanto la versione coordinata al RGPD del Codice della privacy prescrive – riprendendo il disposto del previgente articolo 9, comma 3, del medesimo Codice – specificando che i diritti di cui agli articoli da 15 a 22 del RGPD riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato quale suo mandatario o per ragioni familiari meritevoli di protezione (cfr. art. 2-terdecies) [3].
Sul punto, la Cassazione civile, sez. I, 08/09/2015, n. 17790 aveva avuto modo di precisare che: “Il diritto del richiedente di accedere ai “dati personali concernenti persone decedute”, fa chiaro ed esclusivo riferimento ai dati della persona deceduta ma non autorizza l’accesso ai dati personali non riferiti al de cuius, come i terzi beneficiari dei contratti stipulati dal primo, i quali, nel caso di assicurazione sulla vita, acquistano un diritto proprio ai vantaggi dell’assicurazione (art. 1920 c.c., comma 3)”.
Tuttavia, anche a seguito di intervenute novità regolatorie (dal principio espresso dall’ordinanza n. 39531 del 13 dicembre 2021 della Suprema Corte di Cassazione[4], fino alla emanazione delle Linee Guida 1/2022 sul diritto di accesso ai sensi dell’articolo 15 del Regolamento 679/2016 emanate dal Comitato europeo per la protezione dei dati personali) la regola generale che impedisce di ottenere informazioni personali riferite a terzi, va mitigata, a parere del Garante, tenendo in considerazione, in sede applicativa:
- la circostanza per cui il diritto alla protezione dei dati personali non è un diritto assoluto e pertanto, anche l’esercizio del diritto di accesso deve essere bilanciato con altri diritti fondamentali conformemente al principio di proporzionalità (cfr. Linee Guida sul diritto di accesso 1/2022, paragrafo 173);
- il principio di bilanciamento della tutela della riservatezza dei dati personali del terzo beneficiario con il diritto costituzionale di chi richiede l’accesso di agire in giudizio, tenendo presente che secondo quanto affermato dalla stessa Giurisprudenza di legittimità “l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di altri interessi giuridicamente rilevanti, tra i quali l’interesse, ove autentico e non surrettizio, all’esercizio del diritto di difesa in giudizio”[5].
Conclude dunque il Garante che “tra i dati ai quali è possibile accedere ai sensi del combinato disposto tra gli art. 15 del Regolamento e 2-terdecies del Codice, rientrano anche i dati personali dei beneficiari di polizze assicurative accese in vita da una persona deceduta[6]”.
3. Suggerimenti pratici alle compagnie assicurative per la valutazione e la gestione delle istanze di accesso ai dati del terzo beneficiario di polizza da parte di eredi o chiamati alla eredità
La conclusione appena riportata del Garante privacy in merito alla possibilità per la Compagnia assicurativa di accogliere le istanze di accesso dei chiamati alla eredità e degli eredi ai dati personali del terzo beneficiario di una polizza assicurativa stipulata in vita dal de cuius non è né assoluta né generale (oltre che non vincolante, in base a quanto si evidenziava in apertura).
E, d’altra parte, la valenza di una tale conclusione interpretativa quale eccezione derogatoria al principio generale dell’articolo 15, comma 4 del Regolamento 679/2016[7] che impedisce “di norma” l’accesso a dati diversi da quelli che “riguardano” l’istante è suggerita dalla stessa logica interpretativa e applicativa dell’articolo 15, comma 4, del Regolamento 679/2016, norma che di certo non potrebbe essere “svuotata” del suo contenuto dispositivo da una interpretazione in sede amministrativa. E ciò tenendo in considerazione, soprattutto, la valenza di rango primario dell’articolo 15, comma 4 del Regolamento 679/2016 nella gerarchia delle fonti del diritto.
Vanno difatti verificati ad opera del Titolare del trattamento una serie di precisi requisiti-presupposto, sia legali che fattuali, onde appurare se sia eccezionalmente possibile – in determinati casi – per la compagnia assicurativa titolare del trattamento consentire l’accesso ai dati del terzo beneficiario della polizza.
Quali sono – allora – le condizioni che la compagnia assicurativa deve accertare onde evitare la violazione del divieto di cui all’articolo 15, comma 4 del Regolamento 679/2016? Dal provvedimento interpretativo del Garante privacy e dalla Giurisprudenza ivi menzionata è possibile stilare una checklist pratica di prime verifiche da effettuare per valutare le istanze di accesso presentate dagli interessati (chiamati alla eredità oppure eredi) e volte a conoscere i dati personali del terzo beneficiario di una polizza stipulata in vita dal de cuius:
- primo esame dell’istanza di accesso ricevuta dalla Compagnia volto ad escluderne il carattere meramente esplorativo, oppure pretestuoso o ad accertarne la totale infondatezza;
- successivamente, verifica che il soggetto che esercita il diritto di accesso ai dati del defunto sia portatore di una posizione di diritto soggettivo sostanziale in ambito successorio, corrispondente alla qualità di chiamato all’eredità o di erede;
- successivamente, verifica che l’interesse perseguito da chi presenta istanza di accesso ai dati del terzo beneficiario sia autentico e non surrettizio e soprattutto concreto e attuale, cioè realmente esistente al momento dell’accesso ai dati, strumentale o prodromico alla difesa di un proprio diritto successorio in sede giudiziaria;
- attenta valutazione comparativa tra gli interessi in gioco (tutela dei dati del terzo beneficiario vs. necessità di difesa in giudizio di un diritto successorio del richiedente accesso).
Tale checklist di verifica può essere ulteriormente sviluppata in una vera e propria procedura[8] da parte della Compagnia assicurativa per comprovare – anche ai sensi del principio di “documentabilità” e responsabilizzazione dell’articolo 5, comma 2 del Regolamento 679/2016 e in uno scenario delicato come quello in esame, dove si contrappongono opposte esigenze – che sono state poste in essere tutte le corrette valutazioni e verifiche prima di procedere alla decisione in merito al riscontro alle istanze di accesso ai dati personali del terzo beneficiario di polizza ricevute.
3.1 Segue. Come accertare il carattere “esplorativo” o “pretestuoso” delle istanze di accesso ai dati personali del terzo beneficiario di polizza
A seguito della ricezione di una istanza di accesso presentata da un chiamato alla eredità/erede per conoscere i dati identificativi del terzo beneficiario di una polizza stipulata in vita dal de cuius, la Compagnia assicurativa procederà- in primo luogo – alle preliminari verifiche generali (es: accertamento della identità del mittente o del suo delegato, etc). Successivamente, la prima verifica specifica da effettuare riguarda la ricevibilità della istanza di accesso ai dati del terzo beneficiario: saranno infatti irricevibili (nella specifica prospettiva di consentire l’accesso ai dati del terzo beneficiario, ben potendo comunque essere l’istanza ricevibile sotto altri profili, che vanno altresì valutati: ad esempio, l’istanza potrebbe contenere anche richieste di accesso a dati personali diversi) istanze esplorative, pretestuose o infondate.
Ma quali parametri possono essere utilizzati dalla Compagnia assicurativa per valutare il carattere esplorativo, pretestuoso o l’infondatezza dell’istanza di accesso?
Nel silenzio assoluto del Garante privacy e della Giurisprudenza [per cui l’onere e la responsabilità ricadono del tutto sulla Compagnia, come d’altra parte previsto anche normativamente dall’articolo 24 (“Responsabilità del titolare del trattamento”) del Regolamento 679/2016, nella nuova “filosofia” del RGPD] possono fornirsi i seguenti paramenti procedurali, legati alla considerazione che in ogni caso il Garante privacy richiede al titolare del trattamento di verificare contestualmente sia le qualità soggettive dell’istante (cioè la qualità di chiamato alla eredità o di erede) sia la qualità oggettiva dell’interesse sotteso alla istanza, elementi che devono entrambi essere indagati da parte del titolare per poter garantire – in deroga – l’accesso ai dati del terzo beneficiario.
La finalità “esplorativa” è ravvisabile ogni qual volta il contenuto dell’istanza di accesso ai dati personali del terzo beneficiario presentato da un chiamato alla eredità/erede è privo dei fondamentali requisiti – formali e contenutistici – richiesti dal provvedimento interpretativo del Garante privacy e dalla Giurisprudenza ivi richiamata per poter fondare in via di deroga la prevalenza dell’interesse ad agire in giudizio sui diritti del terzo beneficiario.
I seguenti possono essere considerati esempi di istanze pretestuose oppure esplorative oppure comunque infondate (e dunque irricevibili):
- l’istanza proviene da soggetto che non ha la qualità di erede o di chiamato alla eredità, oppure tale qualità è meramente asserita e non documentalmente provata;
- l’istanza proviene da soggetto che ha una comprovata qualità di erede o di chiamato alla eredità, ma la richiesta è genericamente volta a conoscere i dati del terzo beneficiario, senza collegarla ad uno specifico, attuale, veritiero e concreto interesse ad agire in giudizio per la specifica difesa di diritti soggettivi successori e senza che siano menzionate vicende successorie oppure prefigurata l’instaurazione di possibili giudizi;
- l’istanza proviene da soggetto che ha una comprovata qualità di erede o di chiamato alla eredità, ma l’istanza – pur non generica – evidenzia palesi carenze nelle allegazioni a motivazione dell’interesse a tutelare una specifica posizione di diritto successorio.
Si ricordi che in questi casi, anche in conformità a quanto previsto dalle Linee Guida 1/2022 sul diritto di accesso ex art. 15 del Regolamento UE 679/2016, il riscontro all’istante dovrebbe prudenzialmente qualificarsi come provvisoriamente negativo, nel senso che nella risposta si dovrebbe invitare l’istante a produrre le idonee allegazioni e documentazioni necessarie perché il titolare del trattamento torni successivamente a valutare l’istanza opportunamente corredata di quanto legalmente necessario.
3.2 Segue. Come accertare la qualità di chiamato all’eredità o di erede
Nella checklist menzionata più sopra si è poi individuata una seconda fase: la verifica che il soggetto che esercita il diritto di accesso ai dati del defunto sia portatore di una posizione di diritto soggettivo sostanziale in ambito successorio, corrispondente alla qualità di chiamato all’eredità o di erede.
La Compagnia dovrebbe effettuare sul punto verifiche documentali chiedendo – ove non già allegati alla istanza – atti dello stato civile e certificati anagrafici che provano il rapporto di parentela con il de cuius. Difatti, premesso che La Corte Suprema di Cassazione ha chiarito che l’assunzione della qualità di erede non può desumersi dalla mera chiamata all’eredità, né dalla denuncia di successione (trattandosi di un atto di natura meramente fiscale che può avere mero valore indiziario), è opportuno che la Compagnia richieda una diversa documentazione, come ad esempio:
- il certificato di morte unito ad uno stato di famiglia (in caso di successione legittima) o a un testamento (nel caso di successione testamentaria);
- la dichiarazione di accettazione dell’eredità effettuata dall’istante.
Ovviamente nella produzione documentale in parola, i dati personali di terzi dovranno essere trattati dall’istante – in qualità di autonomo titolare del trattamento – in conformità al quadro normativo data protection applicabile, quanto alle basi di legittimità del trattamento rappresentato dalla “comunicazione” dei dati alla Compagnia. Di ciò, e delle relative manleve, la Compagnia darà atto nelle interlocuzioni con l’instante durante la fase di gestione del processo di accesso.
Si ricordi inoltre che l’autocertificazione di uno stato civile può essere legittimamente rifiutata da un ente privato.
3.3 Segue. Come accertare che l’interesse perseguito da chi presenta istanza di accesso ai dati del terzo beneficiario sia autentico e non surrettizio
Si è poi suggerito più sopra di svolgere una terza verifica: l’indagine che l’interesse perseguito da chi presenta istanza di accesso ai dati del terzo beneficiario sia autentico e non surrettizio e soprattutto concreto e attuale, cioè realmente esistente al momento dell’accesso ai dati, strumentale o prodromico alla difesa di un proprio diritto successorio in sede giudiziaria.
Sul punto occorre richiamare una precisazione formulata nell’ordinanza della Suprema Corte di Cassazione del 13 dicembre 2021: “non occorre provare la previa pendenza di un giudizio da parte del soggetto che richiede di accedere ai dati personali del terzo beneficiario”. Se dunque un giudizio successorio già incardinato non è una precondizione necessaria per garantire l’accesso ai dati personali del terzo beneficiario di polizza, tuttavia, l’istante deve “allegare l’interesse, concreto e non pretestuoso, ad intraprendere un giudizio nei confronti del soggetto designato dal de cuius come terzo beneficiario” (ordinanza Suprema Corte di Cassazione del 13 dicembre 2021).
Sulle modalità pratiche procedurali dell’indagine sulle caratteristiche dell’interesse ad agire in giudizio (successorio), si può riprendere una indicazione che lo stesso Garante privacy riporta nel proprio provvedimento interpretativo, tratta dall’ordinanza della Suprema Corte di Cassazione 13 dicembre 2021: “mentre la conoscenza delle polizze assicurative sottoscritte da un de cuius e dell’ammontare dei premi versati è indispensabile al fine di ricostruire l’asse ereditario (atteso che, nei contratti di assicurazione sulla vita stipulati in favore di terzi, i premi assicurativi costituiscono oggetto di donazione indiretta e come tali sono suscettibili di riduzione), l’interesse a conoscere anche i nominativi dei beneficiari delle polizze, sussiste solo qualora si dimostri l’entità della lesione della propria quota di legittima e l’insufficienza a reintegrarla con le sole disposizioni testamentarie. Soltanto in tale ipotesi, infatti, sarebbe necessario identificare i terzi designati così da poter agire nei loro confronti.
Si può ritenere non illogico riversare sull’istante l’onere di provare l’entità della lesione tra i prerequisiti necessari per ottenere l’accesso ai dati del terzo beneficiario.
Perimetrare il concetto di “interesse prodromico alla instaurazione di un giudizio” è comunque esercizio intellettuale non facile. Il provvedimento interpretativo del Garante elenca in generale le caratteristiche dell’interesse perseguito, che deve essere “veritiero, concreto e attuale, cioè realmente esistente al momento dell’accesso ai dati, strumentale o prodromico alla difesa di un proprio diritto successorio in sede giudiziaria”. In pratica, la valutazione potrebbe essere svolta attraverso i medesimi parametri che nel diverso comparto del diritto amministrativo sono stati elaborati dalla Giurisprudenza per l’accesso ai documenti amministrativi. La legge 241/1990 e il d.p.r. 184/2006 subordinano difatti l’accessibilità del documento amministrativo a un “interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”. La stessa terminologia è utilizzata anche nel provvedimento interpretativo del Garante privacy, anche se ovviamente è diverso l’oggetto giuridico dell’accesso, qui rappresentato dai dati personali del terzo beneficiario.
La Compagnia assicurativa dovrebbe valutare se i dati personali del terzo beneficiario, secondo quanto esposto dall’istante, nonché alla luce di un esame oggettivo, attengono alla situazione giuridica tutelata.
Rispetto alla paventata azione per accertare, esercitare o difendere un diritto in giudizio, poi, il titolare del trattamento deve obiettivamente valutare il nesso di strumentalità tra accesso ai dati personali del terzo beneficiario e la instaurazione del giudizio successorio, nel senso che l’accesso ai dati personali deve essere necessario per fondare l’azione oppure che il diniego dell’accesso potrebbe privare l’istante della successiva tutela giudiziaria, o di significative prerogative di azione/difesa, ad esempio in sede di azione di riduzione per lesione di quota ereditaria legittima.
La Compagnia deve poi valutare se l’interesse sia diretto, concreto ed attuale: ciò significa che l’istante (o un suo rappresentante) dev’essere il portatore della posizione giuridica soggettiva tutelata, che l’esigenza di tutela non dev’essere astratta o meramente ipotetica, ed ancora, che vi siano riflessi attuali dei dati personali sulla posizione giuridica tutelata.
Nello specifico, l’interesse è diretto, quando è personale; è concreto, in quanto dev’essere collegato alle ragioni esposte a sostegno dell’istanza; attuale, quando l’accesso ai dati del terzo beneficiario sia idoneo a spiegare effetti diretti o indiretti nei confronti del richiedente.
3.4 Segue. Come documentare da parte della Compagnia assicurativa l’avvenuto bilanciamento degli interessi. L’eventuale coinvolgimento del terzo beneficiario come controinteressato nel processo di valutazione dell’istanza
Infine, si è più sopra indicata una quarta fase: l’attenta valutazione comparativa tra gli interessi in gioco (tutela dei dati del terzo beneficiario vs. necessità di difesa in giudizio di un diritto successorio del richiedente accesso).
Per poter dimostrare (anche successivamente, ad esempio in caso di contestazioni del terzo beneficiario aventi ad oggetto la decisione della Compagnia assicurativa di consentire l’accesso ai suoi dati personali) l’avvenuto bilanciamento degli interessi e la ponderazione di ogni decisione che il titolare ha assunto in merito all’accesso, si potrebbe prevedere nella procedura interna una fase di interlocuzione diretta con il terzo beneficiario, da svolgersi entro il termine di 30 giorni previsto dall’articolo 12 del Regolamento 679/2016 per riscontrare le istanze di esercizio dei diritti sui dati personali. In sostanza, si potrebbe applicare analogicamente quanto previsto dalla (diversa) legislazione sull’accesso alla documentazione amministrativa, che prescrive di notificare le istanze di accesso ai cosiddetti controinteressati, cioè i soggetti individuabili in base al contenuto dell’atto che potrebbero far valere ragioni legate alla loro privacy in caso di accoglimento della istanza di accesso al documento. Nella pertinente legislazione (cfr. art. 22, comma 1, lettera c) della L. 241/1990 e art. 3 del d.p.r. 184/2006) esiste addirittura un diritto di opposizione del controinteressato. Nel diverso ambito qui in esame, il coinvolgimento del terzo beneficiario non è assolutamente obbligatorio e la Compagnia assicurativa potrebbe decidere autonomamente in merito alla istanza anche senza coinvolgerlo, ove siano stati verificati tutti gli elementi abilitanti che il Garante privacy richiama nel proprio provvedimento interpretativo. D’altra parte, il provvedimento interpretativo del Garante già precisa che è proprio il diritto alla riservatezza del terzo beneficiario a subire la compressione e a dover cedere a fronte del diritto dell’istante ad agire in giudizio per la tutela costituzionalmente garantita dei suoi diritti successori.
È tuttavia pur vero che possono darsi (e nella pratica sarà probabilmente la maggioranza dei casi) situazioni non nette e scenari ambigui che imporranno alla Compagnia assicurativa non facili valutazioni comparative. È soprattutto in questi casi che l’interlocuzione con il terzo beneficiario (ad esempio nei primi 15 giorni) potrebbe rivelarsi utile e tutelante. Anche per questo non ci si può esimere dal rilevare come l’Autorità per la protezione dei dati personali, al di là della interpretazione “autentica”, avrebbe dovuto fornire ai titolari del trattamento anche indicazioni più operative e dal carattere applicativo pratico conseguenti ad una interpretazione che presenta non pochi elementi conflittuali con la portata dell’articolo 15, comma 4 del RGPD ed invero anche con precedenti pronunce della medesima Autorità proprio sulla possibilità per gli eredi di accedere ai dati di terzi beneficiari di polizze (possibilità spesso esclusa, ad esempio nei provvedimenti adottati nel 2016 e nel 2017 dal Garante).
Proprio per attenuare il potenziale conflitto con l’articolo 15, comma 4 del RGPD, può ricordarsi che il paragrafo 177 delle Linee Guida 1/2022 dell’EDPB sul diritto di accesso, richiede ai titolari del trattamento di svolgere una procedura di assessment su tale norma, e cioè di documentare se consentire l’accesso possa o meno “ledere i diritti e le libertà altrui”:
“Quando la valutazione condotta ai sensi dell’art.15(4) GDPR dimostra che l’accettazione della istanza di accesso ha effetti negativi sui diritti e le libertà di altri soggetti (fase 1), è necessario ponderare gli interessi di tutti i soggetti coinvolti tenendo conto delle circostanze specifiche del caso e in particolare della probabilità e della gravità dei rischi connessi all’accesso ai dati. Il Titolare del trattamento deve cercare di conciliare i diritti in conflitto (fase 2), ad esempio attuando misure adeguate che attenuino il rischio per i diritti e le libertà altrui. Come sottolineato nel considerando 63 del Regolamento 679/2016, la protezione dei diritti e delle libertà altrui in virtù dell’art. 15, paragrafo 4 non deve comportare il rifiuto di fornire tutte le informazioni all’interessato. Ciò significa, ad esempio, che, quando si applica la limitazione, le informazioni relative ad altri devono essere rese illeggibili per quanto possibile, invece di rifiutare del tutto di fornire una copia dei dati personali. Tuttavia, se non è possibile trovare una soluzione che concili i diritti in questione, il Titolare del trattamento deve decidere in una fase successiva quale dei diritti e delle libertà in conflitto prevale (fase 3)”.
È proprio in tale quadro che la procedura interna della Compagnia assicurativa potrebbe prevedere una comunicazione “neutra” al terzo beneficiario che lo informi:
- della ricezione della istanza di accesso ai suoi dati (senza identificare l’istante);
- delle verifiche in corso da parte dalla Compagnia circa la fondatezza dell’istanza alla luce dei requisiti normativi;
- delle valutazioni comparative in corso e da svolgere, ai fini della decisione sul riscontro alla istanza di accesso, tenendo presente anche la posizione del terzo beneficiario;
- della possibilità per il terzo beneficiario di far pervenire entro termini precisi eventuali osservazioni (ovviamente non vincolanti).
Ovviamente, nella valutazione che la Compagnia farà circa questa eventuale fase procedurale di interlocuzione diretta con il terzo beneficiario, vanno soppesati due diversi rischi: (1) ove la Compagnia assicurativa decida di non coinvolgere il terzo beneficiario, il rischio di successive contestazioni (rischiose soprattutto nei casi dubbi sulla fondatezza del diritto di accesso concesso all’istante); (2) ove la Compagnia assicurativa decida – al contrario – di coinvolgere il terzo beneficiario, informandolo, il “rischio” che anche tale soggetto eserciti diritti data protection propri, come quello di accesso o di opposizione.
La scelta sul coinvolgimento del terzo beneficiario l’analisi dei rischi citati dipenderanno dal caso concreto.
4. Conclusioni: profili di responsabilità della Compagnia assicurativa per danno da trattamento dei dati personali
Infine, ci si potrebbe legittimamente chiedere quali siano le conseguenze nel caso in cui la Compagnia assicurativa conceda accesso ai dati del terzo beneficiario della polizza stipulata in vita dal de cuius ma poi nel giudizio instaurato dall’istante/erede si accerti l’infondatezza della situazione giuridica da questi azionata e/o del suo interesse che era stato ritenuto da parte della Compagnia come idoneo a fondare l’accoglimento della istanza di accesso ai dati personali del terzo beneficiario.
Il terzo beneficiario potrebbe a sua volta citare la Compagnia assicurativa per ottenere il risarcimento del danno da trattamento ai sensi dell’articolo 82 del RGPD?
La risposta è negativa. Un tale scenario non comporterebbe corrispondenti e sopravvenute responsabilità per la Compagnia assicurativa, poiché la legittimità delle decisioni del titolare del trattamento va valutata al momento della formulazione e gestione dell’istanza di accesso, non impattando poi su di essa esterni successivi.
Certamente, in base al principio di responsabilità del titolare del trattamento ai sensi dell’articolo 24 del Regolamento UE 679/2016, in quel momento la Compagnia dovrà svolgere e soprattutto documentare le varie fasi decisionali nel processo di gestione ed evasione dell’istanza di accesso nel rigoroso rispetto dei requisiti qui analizzati, poiché non va dimenticato che il provvedimento interpretativo del Garante privacy – lungi dall’essere generale e assoluto – non può comunque porre nel nulla la regola generale dell’articolo 15, comma 4, del Regolamento UE 679/2016 per la quale l’accesso non deve ledere i diritti e libertà altrui, pena – appunto – l’attivazione di responsabilità per danno da trattamento.
[1] Si dice “chiamato all’eredità” il soggetto che, per disposizione testamentaria o, in mancanza del testamento, per disposizione di legge, è legittimato ad accettare l’eredità e pertanto a divenire erede.
[2] Cfr. Considerando (4) del Regolamento 679/2016: “Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.
[3] Va altresì ricordato che il Regolamento Generale UE sulla protezione dei dati personali n. 679/2016 non si applica ai dati delle persone decedute. Tuttavia, il Considerando 27 prevede che: “Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”. Possibilità che l’Italia ha appunto disciplinato con l’articolata disciplina contenuta sul tema nell’articolo 2-terdecies della normativa nazionale di coordinamento al RGPD di cui al Codice della privacy.
[4] L’erede di un dirigente iscritto a un Fondo di previdenza integrativo aveva chiesto l’accesso ai dati relativi ai beneficiari del fondo designati dal coniuge defunto, per poter promuovere un giudizio di lesione della legittima, avendo appreso che l’ex coniuge, poco prima di morire, aveva mutato il beneficiario, sostituendo lei con altra persona. Mentre il Fondo si era opposto a tale richiesta, invocando la disciplina sull’accesso ai dati personali del de cuius, la Corte ha affermato viceversa che, nel caso esaminato, si tratta sì di dati di terzi, ma da ritenere accessibili in base alla regola, ritenuta espressione di un principio generale, per cui l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di interessi giuridicamente ritenuti dal legislatore prevalenti, tra i quali quello all’esercizio del diritto di difesa in giudizio.
[5] Va ricordato che il Considerando 52 del Regolamento UE 679/2016 specifica che la dizione “esercitare o difendere un diritto in sede giudiziaria” include anche sedi diverse da quelle specificatamente giudiziarie, come quella amministrativa, arbitrale, di mediazione o stragiudiziale, nelle quali si accerta un diritto, si propone azione o ricorso o ci si difende.
[6] Si ricordi che, come anche ricordato dal provvedimento interpretativo del Garante privacy, i Titolari del trattamento devono modificare e integrare le informative sul trattamento dei dati personali a seguito dell’interpretazione fornita: si dovrà ad esempio informare i terzi beneficiari di polizza e i potenziali clienti di questo possibile ambito di comunicazione dei dati personali.
[7] Articolo 15, comma 4, Regolamento 679/2016: “Il diritto di ottenere una copia dei dati personali non deve ledere i diritti e le libertà altrui”.
[8] La Compagnia assicurativa, come ogni Titolare del trattamento, dovrebbe avere in essere – inoltre – una procedura generale di gestione delle istanze di esercizio dei diritti presentate dagli interessati ai sensi del GDPR e del Codice della privacy.