Anche i defunti hanno la loro privacy.
Considerazioni sul trattamenti di dati di persone decedute, alla luce del GDPR e del nuovo Codice privacy.
Considerazioni generali.
Il GDPR, in alcuni ambiti, ha lasciato un certo margine di discrezionalità agli Stati membri, concedendo loro la possibilità di legiferare in alcuni ambiti molto specifici. Il legislatore italiano, perciò, ha ritenuto opportuno, anche nel segno di una certa continuità di pensiero e di approccio, mantenere quasi inalterato l’assetto normativo posto a tutela della privacy dei defunti.
Si è così passati dal vecchio art. 9, co. 3 (che prevedeva che i diritti riferiti a dati personali concernenti persone decedute potessero essere esercitati da chi avesse un interesse proprio, o agisse a tutela dell’interessato o per ragioni familiari meritevoli di protezione), al neo-introdotto dal Dlgs 101/2018 art. 2-terdecies (“Diritti riguardanti le persone decedute”), il quale inizia prevedendo che i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
Oggigiorno, tuttavia, è divenuto necessario spingersi oltre. Per tale ragione, il legislatore nazionale ha evoluto e migliorato il precedente disposto normativo aggiungendo che l’esercizio di tali diritti non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione (per esempio, quelli forniti tramite social network), l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata.
La volontà dell’interessato di vietare l’esercizio dei diritti deve risultare in modo non equivoco e deve essere specifica, libera e informata e può riguardare tutti o solo alcuni dei diritti in oggetto.
Chiaramente, l’interessato ha in ogni momento il diritto di revocare o modificare il suo divieto e, in ogni caso, tale divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi.
Il caso pratico: la richiesta di accesso civico.
Il principio è stato confermato dalla nostra autorità di controllo attraverso un parere fornito a una Azienda sanitaria, nell’ambito del riesame di un provvedimento di rigetto, riguardante un accesso civico a dati sanitari di un soggetto, paziente, defunto. “La richiesta – si legge nella newsletter del Garante –, relativa ad un caso di presunta malasanità, era stata rivolta all’azienda sanitaria da una persona che attraverso il cosiddetto “Foia” intendeva avere accesso agli atti di audit clinico e agli approfondimenti condotti dal risk manager”. Tale tipo di documentazione, per sua natura, può contenere una pluralità d’informazioni di carattere particolare e oltremodo riservate.
Perciò, relativamente alla richiesta di accesso alla documentazione sanitaria, il Garante ha dichiarato che quel tipo d’informazioni “non sono accessibili con il Foia”. Il Dlgs 196/2003 novellato, infatti, vieta esplicitamente la diffusione di dati relativi alla salute, pertanto non è permesso darne “conoscenza a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.
Il fatto, quindi, è incluso anche in una delle ipotesi per cui si esclude il diritto di accesso civico previste dalla normativa sulla trasparenza. Per tale ragione, il Garante ha giustamente riconosciuto la ragione del titolare del trattamento (l’Azienda sanitaria), il quale, pur con una motivazione sintetica, aveva correttamente respinto l’istanza di accesso.
Riflessioni sulle similitudini.
Il caso realmente accaduto ci offre alcuni spunti di riflessione per quanto potrebbe accadere negli Studi professionali di chi offre consulenza e servizi in materia amministrativa, fiscale, tributaria, di consulenza sul lavoro o similari.
È possibile (sta in capo al titolare determinarne la probabilità di accadimento) che qualcuno richieda di accedere a dati riferiti a clienti deceduti.
Il primo passo è senza dubbio quello di identificare il richiedente e circoscrivere le sue finalità: chi è? Cosa vuole? Perché sta chiedendo di accedere a quei dati? È chiaro che se costui ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione gli si deve concedere, altrimenti, no, fermo restando che ciò può essere vietato anche in presenza di specifici casi previsti dalla legge.
Un esempio concreto.
Una persona (A), parente di un defunto amministratore d’impresa (B), si presenta presso lo Studio e esercita il diritto di accesso ai dati personali (art. 15 del GDPR) , in particolare al fascicolo del cliente.
B, quale amministratore, era stato censito ai sensi della normativa antiriciclaggio e, nell’ambito delle attività quotidiane dello Studio, era stato segnalato alle autorità competenti, che avevano istruito un procedimento ispettivo nei suoi confronti e nei confronti dell’impresa che amministrava, poiché sospettato di riciclaggio e finanziamento del terrorismo.
In questo caso, il titolare dello Studio, dovrebbe rifiutare l’accesso ai dati e tale diniego sarebbe supportato dall’art. 23 del GDPR e dall’art. 39 del Dlgs 231/2007, il quale prevede, con il suo primo comma, che, sia vietato ai soggetti tenuti alla segnalazione di un’operazione sospetta e a chiunque ne sia comunque a conoscenza, di dare comunicazione al cliente interessato o a terzi dell’avvenuta segnalazione, dell’invio di ulteriori informazioni richieste dalla UIF o dell’esistenza ovvero della probabilità di indagini o approfondimenti in materia di riciclaggio o di finanziamento del terrorismo.
Fonte: Fiscal Focus