Famiglia

Disclosure sulle polizze vita, gli eredi possono chiedere l’accesso ai dati personali dei beneficiari

In un recente provvedimento il Garante Privacy ha affermato che per il combinato disposto dell’art. 15 GDPR e dell’art. 2 terdecies Codice privacy, nell’ambito dei dati “<i>accessibili</i>” da parte degli eredi, possono rientrare anche i dati personali dei beneficiari delle polizze assicurative accese in vita dal de cuius “<i>previa attenta valutazione comparativa tra gli interessi in gioco effettuata dall’impresa assicuratrice titolare del trattamento</i>”

Justice and Law concept. lawyer working at courtroom, selective focus

di Alessandra Spangaro*

L’Autorità Garante per la protezione dei dati personali ha recentemente emanato un provvedimento interpretativo in materia di esercizio del diritto di accesso, da parte dei chiamati all’eredità, rispetto ai dati contenuti nelle polizze assicurative stipulate dalla persona poi deceduta, nei confronti della quale i primi vantano diritti successori. In particolare, il provvedimento, di sicuro rilievo, del Garante mira a fornire le coordinate per l’operazione di bilanciamento tra i diritti degli eredi che chiedono l’accesso ai dati contenuti nelle polizze e quello alla riservatezza e alla tutela dei dati personali vantato dai beneficiari delle polizze medesime.

Lo stato dell’arte

Il tema della conoscibilità dei dati dei beneficiari di polizze assicurative è da anni all’attenzione della giurisprudenza, che, nel tempo, non è riuscita a fornire risposte univoche, a fronte di un quadro normativo evidentemente polisemico.

Come noto, ciascuna persona fisica ha il c.d. “ diritto di accesso ai trattamenti relativi ai propri dati personali, vale a dire il diritto di avere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere una serie di informazioni, quali la finalità del trattamento, le categorie di dati trattati, ecc., tutti dati dei quali l’interessato può avere copia, sempre che ciò non leda i diritti e le libertà altrui (art. 15 Reg. EU 675/206, c.d. GDPR).

Una volta che l’interessato sia deceduto, il medesimo diritto – insieme agli altri diritti che il GDPR riserva all’interessato – può essere esercitato “da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”, secondo quanto previsto dall’art. 2 terdecies del Codice privacy (D. Lgs. 196/2003, come ridisegnato dal D. Lgs. 101/2018, dopo l’entrata in vigore del GDPR).

Gli eredi che richiedono l’accesso alle polizze sottoscritte in vita dal loro congiunto a favore di terzi – non identificati – beneficiari esercitano dunque la prerogativa loro riservata dall’art. 2 terdecies cit ., agendo a tutela dei propri diritti successori; tuttavia, l’eventuale disclosure, da parte dell’impresa assicurativa, circa i beneficiari delle polizze ben potrebbe ledere i diritti alla riservatezza e di tutela dei dati personali di questi ultimi.

Di qui quell’operazione di bilanciamento sulla quale oggi il Garante ha posto luce, già oggetto di apposite Linee guida emanate dall’European Data Protection Board (EDPB) nel 18 gennaio 2022 - varate in via definitiva nel marzo scorso – secondo le quali il titolare del trattamento, a fronte di una richiesta di accesso, deve operare una valutazione a tre fasi:

  • in primo luogo vagliare se tale richiesta possa avere o meno effetti negativi per i terzi;
  • ove ciò possa verificarsi, il titolare deve valutare tutte le circostanze del caso concreto e, in particolare, la gravità dei rischi che potrebbero derivare dalla comunicazione dei dati richiesti, alla luce di un criterio probabilistico, così cercando di conciliare i diritti antagonisti;
  • ove non sia possibile trovare una soluzione che concilii le differenti posizioni in gioco, spetta allora al titolare decidere quali tra i diritti e le libertà confliggenti debba prevalere.

La giurisprudenza

Nel quadro su composto, il quesito che si pone, invero non da oggi, è se il diritto di accesso ai proprio dati, previsto dall’art. 15 GDPR, estendibile al diritto di accesso ai dati del defunto esercitato da chi ha “un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione” (art. 2 terdecies del Codice privacy), possa essere ampliato tanto da contemplare un accesso ai dati dei terzi beneficiari della polizza assicurativa, in considerazione del fatto che, in caso contrario, l’erede che si ritenga leso nei propri diritti successori ben difficilmente avrebbe modo di provare in giudizio la lesione subita.

Come anticipato, la giurisprudenza sul punto si è divisa.

Secondo un primo orientamento, l’assicurazione può fornire ai chiamati all’eredità tutte le informazioni relative alle polizze stipulate in vita dal de cuius, tranne quelle relative ai nominativi dei beneficiari: il diritto di accesso ai dati, contemplato nell’art. 15 GDPR e richiamato dall’art. 2 terdecies Cod. privacy, è infatti riservato alla stessa persona i cui dati sono trattati e non si estende quindi ai dati di terzi, che dunque ben possono opporre la tutela della loro privacy. In tal senso si è espressa la Cassazione nel 2015 (n.17790/2015), con riferimento all’art. 9 Cod. privacy allora vigente (norma dal tenore analogo all’odierno art. 2 terdecies cit.).

Così opinando, i chiamati all’eredità possono allora accedere ai dati relativi all’esistenza o meno della polizza (ma lo stesso può valere, per esempio, per un fondo di previdenza complementare) e al suo ammontare; si tratta di informazioni certamente utili per ricostruire l’asse ereditario ed accertare eventuali lesioni dei diritti successori dei legittimari, anche ai fini di una possibile azione di riduzione, ma, non potendo accedere dati del beneficiario, resta molto ardua l’individuazione del potenziale convenuto dell’azione medesima; di qui la necessità di convenire l’assicurazione proprio all’esclusivo fine della disclosure, con evidente moltiplicazione dei tempi e dei costi.

Più recentemente la Cassazione (Cass., 39531/2021) sembra aver mutato orientamento, affermando che l’interesse alla riservatezza dei dati personali dei beneficiari delle polizze deve cedere di fronte della tutela di altri interessi giuridicamente rilevanti, fra i quali quello all’esercizio del diritto di difesa in giudizio del chiamato all’eredità; il diritto alla tutela dei dati personali, infatti, non ha carattere di assolutezza, mentre il diritto – qui antagonista – di difesa dei propri interessi in giudizio ha rilievo costituzionale (art. 24) e dunque, nel bilanciamento tra i due, è quest’ultimo che, con le opportune guarentigie, deve prevalere. Ne deriva che la compagnia assicurativa interpellata dal chiamato all’eredità deve disvelare non solo le generali informazioni sulle polizze accese in vita dal de cuius (quantità, ammontare, ecc.), ma anche i nominativi dei beneficiari delle medesime, quale informazione funzionale alla tutela dei diritti successori dei primi, sempre che tali dati risultino necessari, pertinenti e non eccedenti rispetto al perseguimento della finalità difensiva.

Il provvedimento del Garante

A fronte della mancata uniformità giurisprudenziale, con un provvedimento del 26 ottobre scorso, il Garante ha ritenuto “opportuno e non ulteriormente procrastinabile, alla luce delle numerose istanze (segnalazioni, reclami e richieste di parere) pervenute nel corso del tempo sul tema dell’accesso da parte di chiamati all’eredità e di eredi ai dati dei beneficiari di polizze assicurative stipulate in vita da persone decedute, fornire chiarimenti e indicazioni di carattere generale sulle suddette disposizioni, che hanno generato dubbi interpretativi, incertezze e difficoltà applicative sia per le imprese assicurative sia per gli interessati”.

Anche alla luce delle Linee guida dell’EDPD – su richiamate – il Garante, aderendo al secondo e più recente filone giurisprudenziale su delineato, ha affermato che per il combinato disposto dell’art. 15 GDPR e dell’art. 2 terdecies Codice privacy, nell’ambito dei dati “accessibili” da parte degli eredi, possono rientrare anche i dati personali dei beneficiari delle polizze assicurative accese in vita dal de cuius , “previa attenta valutazione comparativa tra gli interessi in gioco effettuata dall’impresa assicuratrice titolare del trattamento”. 

In particolare, in considerazione del fatto che la tutela della riservatezza dei dati personali non ha, come detto, un valore assoluto, il titolare del trattamento deve effettuare quell’operazione di bilanciamento già più volte richiamata, cercando di contemperare i diritti di riservatezza e tutela dei dati personali dei beneficiari con il diritto degli eredi di agire in giudizio per la tutela dei propri diritti successori.

In concreto, il Garante precisa dunque che, a fronte del dichiarato interesse del richiedente a conoscere non solo le informazioni sull’esistenza ed ammontare del premio delle polizze, ma anche dei nominativi dei relativi beneficiari, il titolare deve eseguire un “controllo in negativo, che si risolve nel verificare che non si tratti di un’istanza del tutto pretestuosa”; il titolare dovrà perciò verificare che il richiedente l’accesso sia portatore di una posizione di diritto soggettivo sostanziale in ambito successorio, corrispondente alla qualità di chiamato all’eredità o di erede e che l’interesse perseguito sia concreto, attuale e strumentale alla difesa del proprio diritto successorio in sede giudiziaria.

In presenza di tali requisiti, l’impresa assicuratrice potrà allora disvelare l’identità del beneficiario della polizza ed il richiedente che riceve tali informazioni dovrà, a sua volta, trattare i dati ricevuti rispettando rigorosamente la finalità di tale comunicazione, vale a dire la tutela dei propri diritti successori in sede giudiziaria.

Si tratta, evidentemente, di un significativo onere in capo all’impresa assicuratrice, che non cela certo profili di rilevante responsabilità; anche in considerazione di ciò il Garante stesso ha richiamato l’attenzione degli operatori, quali titolari del trattamento, sull’importanza di predisporre una adeguata informativa da fornire sia al contraente, che ai beneficiari delle polizze (rispettivamente ai sensi dell’art. 13 e dell’art. 14, par. 1 lett. e) GDPR).

_______

*A cura dell’Avv. Alessandra Spangaro, DigitalMediaLaws

Per saperne di piùRiproduzione riservata ©