Nel corso del tempo numerose sono state le istanze di esercizio del diritto di accesso ai dati del soggetto deceduto rivolte alle imprese assicuratrici, ai sensi dell’art. 2-terdecies del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101), da soggetti chiamati all’eredità o da eredi, le segnalazioni, i reclami e le richieste di parere rivolte al Garante della privacy sul tema dell’accesso da parte di chiamati all’eredità e di eredi ai dati dei beneficiari di polizze assicurative stipulate in vita da persone decedute, che hanno nel tempo generato diversi dubbi interpretativi, incertezze e difficoltà applicative sia per le imprese assicurative sia per gli interessati, anche in ragione delle contrastanti decisioni assunte dalla giurisprudenza di merito, con pronunce – di cui si dirà infra – ora favorevoli ora contrarie alla conoscibilità dei dati del terzo beneficiario di polizze stipulate in vita dal de cuius.
Più precisamente, l’art. 2-terdecies, comma 1 del d.lgs. n. 196/2003 in linea di continuità con quanto stabilito dal previgente art. 9, comma 3, del Codice prevede, in particolare, che “i diritti di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”. La disciplina dell’art. 2-terdecies prevede dunque l’esercizio, nei confronti dei titolari del trattamento, dei diritti previsti dal Regolamento (artt. 12-22), anche dopo il decesso dell’interessato, stabilendo che possono essere esercitati, tra l’altro, da “chi ha un interesse proprio (…) o per ragioni familiari meritevoli di protezione”.
La portata e l’ampiezza dei diritti esercitabili non è però (né sarebbe possibile, in ragione della gerarchia tra le fonti normative) incisa dalla disposizione: con riferimento all’esercizio del diritto di accesso, previsto dall’art. 15 del Regolamento, i soggetti legittimati a esercitarlo hanno quindi diritto di conoscere le stesse informazioni che avrebbe potuto conoscere l’interessato. In questo senso assume rilevanza anche l’art. 52 della Carta dei diritti fondamentali dell’Unione europea, il cui comma 1 stabilisce che “eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla (…) Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”.
Come si è espressa nel tempo la giurisprudenza in materia di conoscibilità dei beneficiari delle polizze assicurative?
Gli indirizzi giurisprudenziali delineatisi nel corso del tempo sono sostanzialmente riconducibili a due filoni interpretativi:
- la compagnia assicurativa deve comunicare al richiedente i nominativi dei soggetti designati dal de cuius quali beneficiari della polizza perché in concreto funzionali alla tutela dei diritti ereditari dell’istante e pertanto necessari per accertare, esercitare o difendere un diritto in sede giudiziaria di quest’ultimo, in quanto l’interesse alla riservatezza dei dati personali debba cedere, a fronte della tutela di altri interessi giuridicamente rilevanti, dall’ordinamento configurati come prevalenti, nel necessario bilanciamento operato, fra i quali l’interesse, ove autentico e non surrettizio, all’esercizio del diritto di difesa in giudizio, precisando che, il controllo “in negativo”, da svolgere, consisteva nel verificare che non si tratti di un’istanza del tutto pretestuosa. In altri termini, il diritto di difesa giudiziale ex art. 24 Cost. prevale sul diritto alla riservatezza del soggetto al quale i dati afferiscono, a condizione che questi ultimi vengano effettivamente prodotti in giudizio e che risultino necessari, pertinenti e non eccedenti al perseguimento della finalità difensiva;
- l’impresa assicuratrice ha l’obbligo di fornire all’erede tutte le informazioni relative alle polizze stipulate dal soggetto deceduto, ma esclusivamente con riferimento ai dati personali di quest’ultimo e con esclusione dell’obbligo di fornire i dati dei terzi beneficiari, a meno che questi ultimi non vi consentano. Il fondamento di tale indirizzo è rinvenibile nel principio di diritto affermato dalla pronuncia emessa Suprema Corte di Cassazione n. 17790 dell’8 settembre 2015 nel 2015 e affermato più volte dal Garante, secondo cui i dati concernenti persone decedute accessibili agli eredi, a norma dell’abrogato art. 9, comma 3 del Codice (ora 2-terdecies del Codice), non rientrano quelli identificativi di terze persone, quali i beneficiari della polizza sulla vita stipulata dal de cuius che soggetti terzi rispetto al rapporto contrattuale assicurativo che hanno diritto alla tutela della propria riservatezza, né sono meritevoli di accoglimento le richieste di accesso ai dati di terzi con finalità meramente esplorative. Quindi, se la conoscenza delle polizze assicurative sottoscritte dal defunto e l’ammontare dei premi versati è indispensabile al fine di ricostruire l’asse ereditario, in considerazione del fatto che nei contratti di assicurazione sulla vita stipulati in favore di terzi, i premi assicurativi costituiscono oggetto di donazione indiretta e come tali sono suscettibili di riduzione, l’interesse a conoscere anche i nominativi dei beneficiari delle polizze sussiste solo qualora si dimostri l’entità della lesione della propria quota di legittima e l’insufficienza a reintegrarla con le sole disposizioni testamentarie. Di talchè, in questa ipotesi si rende necessario identificare i terzi designati onde poter agire nei loro confronti.
Fatte queste premesse, con l’ordinanza del 13 dicembre 2021 la Cassazione è tornata di recente a pronunciarsi sulla querelle affermando che “l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di altri interessi giuridicamente rilevanti, tra i quali l’interesse, ove autentico e non surrettizio, all’esercizio del diritto di difesa in giudizio”. La Suprema Corte ha osservato che l’art. 6, par. 1, lett. f) del Regolamento prevede che il trattamento è lecito se è “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”.
Da ultimo si segnala che in data 28 marzo 2023 lo European Data Protection Board (EDPB) ha varato le Linee Guida relative al diritto di accesso dell’interessato ai propri dati personali, sancito dall’art. 8 della Carta dei diritti fondamentali dell’UE e dall’art. 15 del Regolamento UE 2016/679, dalle quali è rilevabile un orientamento in ordine alla possibilità di accesso ai dati dei terzi.
La posizione assunta dall’Autoritaà Garante per la Protezione dei Dati Personali
Così delineato il quadro normativo e giurisprudenziale di riferimento l’Autorità Garante, dovendo “assicurare la tutela dei diritti e delle libertà fondamentali degli individui dando idonea attuazione al Regolamento e al Codice” nonchè “provvedere all’espletamento dei compiti ad esso attribuiti dal diritto dell’Unione europea o dello Stato e svolgere le ulteriori funzioni previste dall’ordinamento”, è pervenuta a rendere dei chiarimenti e delle indicazioni di carattere generale sulle predette disposizioni. Più precisamente, con il provvedimento n. 520 del 26 ottobre 2023, in corso di pubblicazione sulla Gazzetta Ufficiale, ha chiarito che le compagnie di assicurazione devono fornire agli eredi e ai chiamati all’eredità, che ne facciano richiesta, i dati dei beneficiari di polizze vita stipulate dal defunto.
Tale interpretazione va a modificare il precedente orientamento del Garante secondo cui l’erede e il chiamato all’eredità potevano ottenere dalla compagnia solo i dati strettamente riferibili al defunto e cioè l’esistenza di eventuali polizze assicurative sottoscritte dal morto e l’ammontare dei premi versati. Le compagnie assicurative, a fronte di un interesse del richiedente a conoscere i nominativi dei beneficiari delle polizze assicurative stipulata in vita da una persona deceduta, devono dunque verificare che la richiesta non sia pretestuosa e che l’interesse degli eredi sia concreto ed attuale.
La tutela della riservatezza dei dati personali, infatti, non ha un valore assoluto e deve essere contemperato dal titolare del trattamento con quello di difendersi in giudizio esercitato da colui che accede ai dati personali del de cuius.
A fronte del dichiarato interesse del richiedente a conoscere anche i nominativi dei beneficiari delle polizze, se ricorrono determinati presupposti e previa attenta valutazione comparativa tra gli interessi in gioco effettuata dall’impresa assicuratrice, il titolare del trattamento sarà tenuto ad eseguire un controllo in negativo, che si risolve nel verificare che non si tratti di un’istanza del tutto pretestuosa. In questo senso il titolare dovrà verificare la sussistenza dei seguenti presupposti di seguito indicati:
- il soggetto che esercita il diritto di accesso ai dati del defunto sia portatore di una posizione di diritto soggettivo sostanziale in ambito successorio, corrispondente alla qualità di chiamato all’eredità o di erede;
- l’interesse perseguito deve essere concreto e attuale, cioè realmente esistente al momento dell’accesso ai dati, strumentale o prodromico alla difesa di un proprio diritto successorio in sede giudiziaria.
Il soggetto che riceve i dati dell’interessato dovrà, a sua volta, nel trattamento degli stessi, rispettare rigorosamente la finalità di tutela dei propri diritti successori in sede giudiziaria sottesa a tale comunicazione.
Paola Francesca Cavallero