Polizze vita stipulate del de cuius. Il Garante chiarisce quando gli eredi possono conoscere i dati dei beneficiari
Con una delibera pubblicata sulla Gazzetta Ufficiale del primo di dicembre 2023 n. 281, il Garante per la protezione dei dati personali è intervenuto a dirimere i dubbi sulla questione riferita al diritto di accesso ai dati personali dei beneficiari contenuti nelle polizze vita stipulate da persona deceduta da parte degli eredi e dei beneficiari all’eredità.
Il tema non è di poco conto, considerando che le compagnie assicurative, destinatarie delle istanze di accesso ai dati suddetti, trasmesse dagli eredi dell’interessato deceduto, non hanno chiaro come agire, posto che la disciplina in materia di dati personali non aiuta a comprendere i limiti e la portata di tale diritto di accesso e nemmeno nel corso degli anni lo ha fatto la giurisprudenza di merito che si è espressa sull’argomento con orientamenti contrastanti.
Il Garante, nel suo provvedimento, analizza inizialmente il quadro normativo di riferimento, partendo dalla nozione di dato personale contenuta nell’articolo 4 del Regolamento n. 679/2016, che, giova ricordarlo, è costituito da “qualsiasi informazione riguardante una persona fisica identificata o identificabile” anche indirettamente mediante riferimento a qualsiasi altra informazione.
Per quanto concerne invece il generale diritto di accesso previsto dalla disciplina di protezione dati, l’autoritA precisa essere quello di fornire agli interessati informazioni sufficienti, trasparenti e facilmente accessibili, sul trattamento dei dati personali che li riguarda.
Occorre tenere presente, ad ogni buon conto, che tale diritto, a differenza di altre forme di accesso, pur previste dall’ordinamento, non permette, di norma, di ottenere informazioni personali riferite a terzi, cioè a dati riferiti a soggetti diversi dall’interessato.
Infatti, l’art. 15, par. 4, del Regolamento stabilisce espressamente che “Il diritto di ottenere una copia [dei dati] di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui” (art. 15, par. 4, Regolamento (UE) 2016/679).
Per quanto concerne precisamente il diritto di accesso ai dati personali delle persone decedute, sulla scorta della facoltà prevista dal considerando n. 27 del Regolamento che demanda alla normativa nazionale la possibilità di disciplinare tale trattamento dei dati, è intervenuto l’art. 2-terdecies, comma 1 del d.lgs. n. 196/2003, che, in linea di continuità con quanto stabilito dal previgente art. 9, comma 3, del Codice stabiisce che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
L’art. 2-terdecies regola dunque l’esercizio, nei confronti dei titolari del trattamento, dei diritti previsti dal Regolamento (artt. 12-22), anche dopo il decesso dell’interessato, stabilendo che possono essere esercitati, tra l’altro, da “chi ha un interesse proprio […] o per ragioni familiari meritevoli di protezione”.
Come evidenzia il Garante, tuttavia, la portata e l’ampiezza dei diritti esercitabili non è però (né sarebbe possibile, in ragione della gerarchia tra le fonti normative) precisata dalla disposizione: con riferimento all’esercizio del diritto di accesso, di cui all’art. 15 del Regolamento, i soggetti legittimati a esercitarlo hanno quindi diritto di venire a conoscenza delle informazioni che avrebbe potuto conoscere l’interessato.
Su tale aspetto occorre rammentare che l’art. 52 della Carta dei diritti fondamentali dell’Unione europea, il cui comma 1 stabilisce che “[e]ventuali limitazioni all'esercizio dei diritti e delle libertà riconosciuti dalla […] Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui.”
La giuriprudenza di merito sul diritto di accesso ai dati del beneficiario della polizza da parte degli eredi
L’Autorità passa poi ad analizzare la giurisprudenza di merito e di legittimità sul tema trattato, ricordando gli indirizzi giurisprudenziali che si sono espressi nel tempo con pronunce, ora favorevoli, ora contrarie alla conoscibilità dei dati del terzo beneficiario di polizze stipulate in vita da persona deceduta.
Gli orientamenti che si sono tracciati prendono le mosse da istanze di esercizio del diritto di accesso ai dati del de cuius rivolte alle imprese assicuratrici, ai sensi dell’art. 2-terdecies del Codice, da soggetti chiamati all’eredità o da eredi e sono riconducibili a due correnti interpretative.
Un primo orientamento ha ritenuto che la compagnia assicurativa dovesse trasmettere al richiedente i nominativi dei soggetti designati dal de cuius, quali beneficiari della polizza, in quanto funzionali alla tutela dei diritti ereditari dell’istante e pertanto necessari per accertare, esercitare o difendere un diritto in sede giudiziaria di quest’ultimo, rinvenendo, nel quadro normativo in materia di protezione dati personali, elementi che permettono di rilevare la prevalenza del diritto di difesa giudiziale (art. 24 Cost.) sul diritto alla riservatezza del soggetto a cui i dati si riferiscono, purchè questi ultimi vengano effettivamente prodotti in giudizio e che risultino necessari, pertinenti e non eccedenti al perseguimento della finalità difensiva.
In dettaglio, secondo tale orientamento, l’interesse alla riservatezza dei dati personali appare secondario rispetto alla tutela di altri interessi giuridicamente rilevanti, dall'ordinamento ritenuti come prevalenti, nel necessario bilanciamento operato, fra i quali l'interesse, purchè reale e giustificato, all'esercizio del diritto di difesa in giudizio, precisando che sia necessaria una verifica sulla non pretestuosità della richiesta. Il diritto alla difesa giudiziale non può dunque essere interpretato in senso restrittivo, ossia connesso alla conoscenza dei soli "dati personali del de cuius", posto che l'art. 4 del Regolamento parla di una nozione estesa di dato personale, a cui andrebbero da ricondurre anche i dati dei beneficiari di una polizza assicurativa stipulata da un soggetto defunto.
A parere di un distinto orientamento interpretativo invece l’impresa assicuratrice avrebbe l'obbligo di fornire all'erede tutte le informazioni relative alle polizze stipulate dal de cuius, ma unicamente con riferimento ai dati personali di quest’ultimo, escludendo l'obbligo di fornire i dati dei terzi beneficiari, salvo che questi ultimi non autorizzino tale comunicazione.
Tale linea interpretativa, trova il suo fondamento nel principio di diritto formulato dalla Suprema Corte nel 2015(3) (e affermato più volte dallo stesso Garante, vigente l’abrogato Codice) secondo il quale, tra i dati concernenti persone decedute accessibili agli eredi, a norma dell'abrogato art. 9, comma 3 del Codice (ora 2-terdecies del Codice), non rientrano quelli identificativi di terze persone, quali i beneficiari della polizza sulla vita stipulata dal de cuius (in quanto soggetti terzi rispetto al rapporto contrattuale assicurativo che hanno diritto alla tutela della propria riservatezza), ma soltanto quelli riconducibili alla sfera personale di quest'ultimo. Al riguardo si è altresì affermato che non può ritenersi legittimata un'indifferenziata e generica possibilità di accesso a dati di terzi con finalità meramente esplorativa.
In base a tale orientamento, inoltre, mentre la conoscenza delle polizze assicurative sottoscritte da un de cuius e dell’ammontare dei premi versati è indispensabile al fine di ricostruire l’asse ereditario (atteso che, nei contratti di assicurazione sulla vita stipulati in favore di terzi, i premi assicurativi costituiscono oggetto di donazione indiretta e come tali sono suscettibili di riduzione), l’interesse a conoscere anche i nominativi dei beneficiari delle polizze, sussiste solo qualora si provi l’entità della lesione della propria quota di legittima e l’insufficienza a reintegrarla con le sole disposizioni testamentarie.
Solo in un caso del genere sarebbe autorizzata la conoscibilità dei dati del beneficiario per poter agire nei suoi confronti.
L'orientamento della Corte di Cassazione
Su tale argomento si è pronunciata anche la Corte di Cassazione con una sentenza dell’8 settembre 2015, chiarendo che “il diritto di accesso riconosciuto dalle predette disposizioni [artt. 7 e 8 del Codice all’epoca vigente] ha ad oggetto i dati personali che riguardano direttamente la persona richiedente che, per legge, è l'unica titolare dell'interesse, meritevole di tutela, a ricevere quelle informazioni” e che “l'accesso ai dati di terze persone, non è giustificabile alla luce del citato art. 9, comma 3 [norma antecedente corrispondente all’attuale 2-terdecies], il quale, attribuendo al richiedente il diritto di accedere ai "dati personali concernenti persone decedute", fa chiaro ed esclusivo riferimento ai dati della persona deceduta” e aggiunge altresì che “quindi tale diritto non autorizza l'accesso ai dati personali non riferiti al de cuius, come i terzi beneficiari dei contratti stipulati dal primo”.
Gli ermellini sono poi nuovamente intervenuti sulla questione con una ordinanza più recente, del 13 dicembre 2021.
In tale occasione, la Corte si è però pronunciata non sulla conoscibilità dei dati del beneficiario della polizza da parte degli eredi in termini generali, come era accaduto nella precedente pronuncia, bensì sulla conoscibilità dei dati del beneficiario della polizza da parte degli eredi, per una precisa finalità, ossia quella “di intraprendere una controversia giudiziale di natura ereditaria o di annullamento degli atti dispositivi del de cuius per incapacità naturale”.
In tale caso, pertanto, nel bilanciamento tra i diritti e le libertà dell’interessato (a cui i dati si riferiscono, ovvero il terzo beneficiario) e l’esercizio di un diritto in sede giudiziaria da parte del richiedente, si è richiamato l’art. 6, par. 1, lett. f) del Regolamento (legittimo interesse) del titolare o di terzi.
La Corte ha, infatti, osservato che l’art. 6, par. 1, lett. f) del Regolamento prevede che il trattamento è lecito se è “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali”. Secondo quanto affermato dalla giurisprudenza di legittimità, pertanto, “l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di altri interessi giuridicamente rilevanti, tra i quali l’interesse, ove autentico e non surrettizio, all’esercizio del diritto di difesa in giudizio”.
Le linee guida dello EDPB sul diritto di accesso ai dati di terzi
Prima di chiudere il provvedimento, esprimendo la sua personale posizione sul tema, il Garante rievoca anche quanto precisato dalle linee guida dello EDPB n. 1/2022 in tema di “esercizio del diritto di accesso”, dalle quali si evince un orientamento in ordine alla possibilità di accesso ai dati dei terzi.
Con riferimento alla tematica in esame, si richiama l’attenzione, in particolare, sui seguenti punti delle linee guida suddette:
- 4.2.1, par. 104: “Il diritto di accesso può essere esercitato esclusivamente in relazione ai dati personali dell'interessato che chiede l'accesso o, se del caso, di una persona o di un rappresentante autorizzato. Vi sono anche situazioni in cui i dati non hanno un legame con la persona che esercita il diritto di accesso, ma con un'altra persona. L'interessato ha tuttavia diritto soltanto ai dati personali che lo riguardano, escludendo i dati che riguardano solo qualcun altro”;
- 4.2.1. par. 105: “La classificazione dei dati come dati personali che riguardano l'interessato non dipende tuttavia dal fatto che tali dati personali si riferiscano anche a qualcun altro. È quindi possibile che i dati personali si riferiscano a più persone contemporaneamente. Ciò non significa automaticamente che l'accesso ai dati personali relativi anche a terzi debba essere concesso, in quanto il titolare del trattamento deve attenersi all'art. 15(4) GDPR”;
- 6.2 par. 168: “Ai sensi dell'articolo 15, paragrafo 4, del RGPD, il diritto di ottenere una copia non pregiudica i diritti e le libertà altrui. Le spiegazioni di tale limitazione sono fornite nella quinta e nella sesta frase del considerando 63;
- 6.2 par. 173: “In linea con il considerando 4 del RGPD e con la ratio sottesa all'articolo 52, paragrafo 1, della Carta europea dei diritti fondamentali, il diritto alla protezione dei dati personali non è un diritto assoluto.
Pertanto, anche l'esercizio del diritto di accesso deve essere bilanciato con altri diritti fondamentali conformemente al principio di proporzionalità.
Quando la valutazione ai sensi dell'articolo 15 (4) del RGPD dimostra che il rispetto della richiesta ha effetti negativi sui diritti e sulle libertà degli altri soggetti in causa (fase 1), gli interessi di tutte le parti in causa devono essere ponderati tenendo conto delle circostanze specifiche del caso e in particolare della probabilità e della gravità dei rischi presenti nella comunicazione dei dati. Il titolare del trattamento dovrebbe cercare di conciliare i diritti confliggenti (fase 2), ad esempio attuando misure adeguate per attenuare il rischio per i diritti e le libertà altrui. Come sottolineato al considerando 63, la protezione dei diritti e delle libertà altrui in virtù dell'articolo 15, paragrafo 4, del RGPD non dovrebbe comportare il rifiuto di fornire tutte le informazioni all'interessato. Ciò significa, ad esempio, nei casi in cui si applica la limitazione in oggetto, che le informazioni riguardanti terzi devono essere rese illeggibili per quanto possibile invece di rifiutare di fornire una copia dei dati personali. Tuttavia, se è impossibile trovare una soluzione che riconcili i diversi interessi, il titolare del trattamento deve decidere in una seconda fase quale dei diritti e delle libertà confliggenti prevalga (fase 3)”.
I chiarimenti del Garante
A fronte di tutto quanto innanzi espresso, il Garante interviene pertanto a fornire precise linee guida alle compagnie assicurative, quali titolari del trattamento, tese a ridurre l’incertezza interpretativa che si è determinata in materi, precisando, in linea con la giurisprudenza della Cassazione che la tutela della riservatezza dei dati personali non ha un valore assoluto, pertanto, il titolare del trattamento deve contemperare tale diritto con quello di difendersi in giudizio esercitato da colui che accede ai dati personali del de cuius.
Innanzi al dichiarato interesse del richiedente a conoscere anche i nominativi dei beneficiari delle polizze, il titolare, pertanto, deve eseguire un “controllo in negativo”, ossia verificare che l'istanza non sia pretestuosa.
Dunque, la compagnia assicurativa alla quale dovesse pervenire un’istanza di accesso ai dati del beneficiario della polizza vita da parte di eredi o chiamati all’eredità dovrà accertare la sussistenza dei presupposti di seguito indicati:
- che il soggetto che esercita il diritto di accesso ai dati del defunto sia portatore di una posizione di diritto soggettivo sostanziale in ambito successorio, corrispondente alla qualità di chiamato all’eredità o di erede;
- che l’interesse perseguito sia concreto e attuale, cioè realmente esistente al momento dell’accesso ai dati, strumentale o prodromico alla difesa di un proprio diritto successorio in sede giudiziaria.
Il Garante invita inoltre le compagnie assicurative, nel loro ruolo di titolari del trattamento, a vagliare l’informativa resa sia al contraente che al/i beneficiario/i delle polizze (rispettivamente ai sensi dell’art. 13 e dell’art. 14, par. 1 lett. e) del Regolamento), in modo che la stessa sia allineata alle indicazioni contenute nel presente provvedimento.
Il soggetto che riceve i dati dell’interessato dovrà, a sua volta, nel trattare i dati ricevuti, rispettare severamente la protezione dei propri diritti successori in sede giudiziaria, finalità principale su cui si fonda la legittimità della comunicazione dei dati del beneficiario.