Limiti dell’accesso civico ai dati personali delle persone decedute e ambito di applicazione del GDPR a tale categoria di dato personale
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo
Massima (1) – Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i diritti di cui agli artt.15-22 GDPR, riferiti a dati personali di persone decedute, da parte dei soggetti elencati nell’art. 2-terdecies, co. 1, d.lgs. 30 giugno 2003, n. 196, implica un’estensione dell’ambito di applicazione del GDPR ai trattamenti aventi ad oggetto dati personali concernenti le persone decedute.
Massima (2) – L’esercizio dell’accesso civico incontra tra i suoi limiti sostanziali, ai sensi dell’art. 5-bis, co. 2, lett. a), d.lgs. 14 marzo 2013, n. 33, il rispetto della normativa posta a tutela dei dati personali, ai sensi della quale non possono essere oggetto del diritto accesso civico i dati alla salute, pena la violazione del disposto dell’art. 2-septies, co. 8, d.lgs. 30 giugno 2003, n. 196.
Provvedimento: GPDP, Docweb n. 9084520 del 10 gennaio 2019
Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9084520
Keywords: Diritto di accesso, accesso civico, diritti dell’interessato, persone decedute, pubblica amministrazione, p.a.
Riferimenti normativi: (1) Artt. 15-22 GDPR; art. 2-terdecies, d.lgs. 30 giugno 2003, n. 196, così come modificato dal d.lgs. 10 agosto 2018, n. 101; (2) Artt. 5, co. 7, 5-bis, co. 2, d.lgs. 14 marzo 2013, n. 33, così come modificato dal d.lgs. d.lgs. 25 maggio 2016, n. 97; Autorità nazionale anticorruzione, determinazione del 28 dicembre 2016, n. 1309; art. 2-septies, co. 8, d.lgs. 30 giugno 2003, n. 196.
Data del commento: 11 gennaio 2022
Massima e Commento di Giovanni Di Ciollo
1. Il caso
Un privato, di seguito chiamato “istante”, aveva presentato alla Direzione sanitaria dell’Azienda sanitaria universitaria integrata di Trieste una segnalazione relativa a un sospetto caso di malpractice medica in relazione alle cure prestate ad un paziente poi deceduto, evidenziando discrepanze tra le diagnosi cliniche effettuate e i rilievi autoptici, all’uopo sollecitando riscontro da parte dell’amministrazione. A fronte della comunicazione di corretto operato «dei clinici nella gestione del caso», l’istante ha infruttuosamente formulato richiesta di accesso «agli atti di audit clinico e successiva elaborazione del percorso clinico da parte del risk manager» ai sensi del d.lgs. 14 marzo 2013, n. 33, negata da parte dell’amministrazione sul rilievo che «la documentazione contiene dati sensibili personali e quindi non accessibili sulla base della normativa richiamata». Presentato reclamo ex art. dell’art. 5, comma 7, d.lgs. 14 marzo 2013, n. 33, il Responsabile della prevenzione della corruzione e della trasparenza dell’Azienda sanitaria universitaria integrata di Trieste adiva l’autorità Garante per la protezione dei dati personali al fine di ottenere parere sulla questione.
2. Le questioni
Le questioni su cui il caso di specie invita a riflettere sono (i) innanzitutto l’estensione dell’ambito di applicazione della normativa privacy relativamente ai dati personali riferiti alle persone decedute, e, conseguentemente, (ii) i limiti all’esercizio del diritto di accesso civico quando questo investe dati personali riferiti a persone decedute.
2.1. Sull’applicabilità del GDPR ai dati personali riferiti alle persone decedute
Il Reg. (UE) n. 2016/679 espressamente esclude, al considerando n. 27, l’applicabilità della normativa ai dati personali delle persone decedute, fatta salva la facoltà degli stati membri di legiferare su quest’ambito. Il legislatore domestico si è avvalso di tale clausola di salvaguardia con l’introduzione (per opera del d.lgs. 10 agosto 2018, n. 101) dell’art. 2-terdecies. Tale norma, al primo comma, consente a (i) chi sia titolare di un interesse proprio e a chi agisca a tutela dell’interessato, o (ii) in qualità di suo mandatario, o (iii) per ragioni familiari meritevoli di protezione, di esercitare i diritti di cui agli artt. 15-22 GDPR riferiti ai dati personali concernenti persone decedute. I successivi commi (2-5) specificano i limiti nell’esercizio di tali diritti nonché la facoltà del de cuius di escluderne in tutto in parte l’esercizio dopo la propria morte. Sulla scorta di questo addentellato normativo, il Garante rinviene l’intenzione del legislatore domestico di estendere l’intera disciplina privacy ai trattamenti aventi ad oggetto dati personali riferiti a persone decedute, «in quanto compatibili».
Sebbene, come si vedrà nel paragrafo successivo, questo scarno iter argomentativo non è altro che mezzo per sottoporre a scrutinio le istanze di accesso civico aventi ad oggetto dati personali delle persone decedute alla luce delle esigenze protettive proprie della normativa posta a tutela dei dati personali, la parificazione degli ambiti applicativi frettolosamente operata dal Garante si espone a plurimi rilievi critici. A tutta prima, difatti, la norma in commento sembra configurare una forma di tutela (i) specifica, in quanto avente ad oggetto esclusivamente l’esercizio di taluni diritti da parte di soggetti determinati (considerati dal Garante alla stregua di controinteressati ex art. 5, comma 5, d.lgs. 14 marzo 2013, n. 33), (ii) debole, in quanto eventuale, essendo subordinata all’esercizio concreto del diritto, ed (iii) ex post, essendo volta a ridimensionare o ridurre l’entità di trattamenti già validamente posti in essere.
Secondo la ricostruzione del Garante, al contrario, essendovi un’estensione dell’ambito di applicazione del GDPR oltre la vita dell’interessato, la tutela assume tutti i caratteri propri della disciplina di settore. Nella specie, dunque, si configura come una tutela (i) generalizzata, avendo ad oggetto tutte le tutele del GDPR ed essendo priva di limiti temporali (al contrario previsti nell’omologa disciplina danese, la quale estende le tutele del GDPR ai dati personali riferiti alle persone decedute per dieci anni dopo la morte dell’interessato, cfr. art. 2, comma 5, Databeskyttelsesloven), (ii) forte, in quanto non subordinata al concreto esercizio di uno dei diritti previsti dal primo comma dell’art. de quo, e necessariamente (iii) ex ante, in armonia con l’impianto ideologico stesso del GDPR, ispirato alla logica di prevenzione e non meramente rimediale.
Le conseguenze sul piano concreto sono rilevanti: secondo quest’ultima ricostruzione, a fronte di un trattamento di dati illecito, troveranno applicazione i rimedi risarcitori di cui all’art. 82 GDPR, applicandosi tale normativa in toto ai dati personali delle persone decedute; di contro, perseguendo la prima ricostruzione, non essendovi illiceità del fatto, non troveranno applicazione né i meccanismi risarcitori e indennitari civilcodicistici, né, essendo la fattispecie estranea all’ambito di applicazione della normativa di settore, i rimedi approntati da quest’ultima.
Un’ulteriore criticità sta nella circostanza che, applicando integralmente la normativa di settore a tale peculiare categoria di dati personali, si finirebbe per onerare il titolare del trattamento, tra le altre cose, di obblighi informativi irrealizzabili, in quanto privi di destinatario. Inoltre, il tentativo del Garante di accomunare i soggetti di cui all’art. 2-terdecies, co. 1, d.lgs. 30 giugno 2003, n. 196 ai controinteressati della disciplina sull’accesso civico, pur con precedenti in dottrina [cfr. S. Pardini, sub art. 9, comma 3°, d.lgs. n. 196/2003, in F. D. Busnelli, C. M. Bianca (a cura di), La protezione dei dati personali, Padova, 2007, p. 226], seppur comprensibile, non fa altro che squilibrare il sistema di pesi e contrappesi del Regolamento, che perigliosamente poggia sul principio di responsabilizzazione del titolare del trattamento che, a tal proposito, presuppone che a costui siano demandati adempimenti ragionevoli e, in armonia con la tensione pratica della normativa in oggetto, concretamente realizzabili: dunque, non si pretendere di onerare costui del compito di sottoporre a scrutinio l’intera normativa di settore per individuare presunte incompatibilità, sovente rientranti nel campo dell’opinabile, esponendolo, di converso, al rischio di elevate sanzioni. Tali incompatibilità, altresì, a volte sono idonee a configurare veri e propri vuoti normativi. Ad esempio, non spetta ai soggetti previsti dall’art. 12-terdecies, co. 1, la comunicazione ex art. 34 GDPR, di avvenuta violazione dei dati personali. Tuttavia, ipotizzando che invece a tali soggetti debbano essere dirette tali comunicazioni, in quanto controinteressati, il titolare del trattamento risulterebbe onerato del compito di individuare chiunque, a tal fine, possa avere un interesse proprio o familiare o sia legittimato da un mandato: tale indagine non appare concretamente realizzabile, in quanto i legittimati ex art. 2-terdecies, co. 1, possono essere solo parzialmente individuati ex ante, essendo alcuni degli interessi a tal fine rilevanti di carattere morale e sociale (ad es., nelle ipotesi in cui un famigliare voglia esercitare il diritto di opposizione ex art. 21 GDPR e, successivamente, il diritto alla cancellazione ex art. 17 GDPR, nei confronti di un trattamento consistente nella pubblicazione su blog di un articolo ritenuto lesivo della memoria del defunto pubblicato), dunque rinvenibili nell’insondabile sfera intima e psicologica, o di carattere negoziale ma non necessariamente pubblico, quindi non conoscibile (ad es., in caso di predisposizione prae morte di mandato post mortem exequendum avente ad oggetto il trattamento di dati personali che non integri un atto dispositivo di natura patrimoniale, rilevante a fini successori, il quale possa per tal ragione essere contenuto in atto esterno al testamento, non necessariamente dotato del carattere di pubblica conoscibilità). Ai medesimi rilievi critici si espone l’art. 14, par. 3, del Regolamento, il quale prevede la comunicazione all’interessato di informazioni in merito a ulteriori trattamenti per finalità diverse da quelle per cui i dati sono stati raccolti.
Appare dunque preferibile ritenere l’art. 2-terdecies quale norma di carattere squisitamente rimediale, approntante una tutela prettamente ex post, specificando, tuttavia, che a ciò non consegue che il titolare del trattamento sia libero di trattare tale categoria di dati senza limite alcuno. Innanzitutto, un primo limite che costui incontra si rinviene nel rispetto della dignità dell’interessato, ai sensi dell’art. 1 d.lgs. 30 giugno 2003, n. 196. Il rispetto della dignità della persona è un valore meritevole di tutela anche oltre la morte (art. 597, co. 3, c.p.; C. cost, sent. n. 57 del 1958), e prima della vita (C. cost., sentt. 13 aprile 2016, n. 84 e 11 novembre 2015, n. 229), essendo diretta estrinsecazione dei precetti costituzionali di cui agli artt. 2, 3, 36 e 41 Cost., nonché dei principi sovranazionali di cui agli artt. 3 e 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo (Corte EDU, sent. 13 gennaio 2015, Elberte c. Lettonia, 61243/08). A livello di soft law, si ricordi l’art. 10 del codice di deontologia medica, ai sensi del quale la permanenza dell’obbligo del segreto professionale oltre la morte del soggetto è volta a tutelarne la dignità, impedendo comunicazioni o diffusioni di dati indebite.
Nella disciplina posta a tutela dei dati personali, peraltro, i controlli del Garante ex art. 36 del Regolamento e, in ambito di trattamenti per finalità di ricerca scientifica, ex artt. 110 e 110-bis del codice per la protezione dei dati personali, costituiscono uno strumento mediante il quale l’autorità di controllo non vigila esclusivamente sul rispetto della normativa di settore, bensì sulla sussistenza di misure adeguate per attenuare il rischio di lesione di diritti e libertà dell’interessato e delle persone fisiche, ivi comprese quelle decedute: «Mentre infatti la base giuridica del trattamento dei dati personali dei pazienti ancora in vita è rappresentata dal relativo consenso informato, libero e facoltativo, con riguardo ai pazienti deceduti ovvero non più rintracciabili, essa deve rinvenirsi nell’art. 110, comma 1, ultimo capoverso del Codice e nell’art. 36 del Regolamento» (Gpdp, provvedimento 1 novembre 2021, doc. web n. 9731827).
Orbene, a tal proposito, si delineano due diversi ambiti di tutela: da un lato vi è l’interesse al rispetto della dignità postmortale, cui sono tenuti tutti i consociati, dall’altro vi è l’interesse proprio dei soggetti di cui al comma primo dell’art. 2-terdecies, il quale si connota sia di carattere morale, come, ad esempio, nel caso di volontà di tutelare la reputazione di un proprio familiare deceduto, sia di carattere patrimoniale, qualora si intenda agire a tutela del patrimonio informativo del de cuius rilevante in sede successoria.
Accedendo a tale ricostruzione, dunque, l’art. 2-terdecies, contrariamente a quanto apparirebbe ictu oculi, non costituisce la norma cardine per la tutela postmortale agli interessi del defunto, essendo addirittura consentito, se non espressamente e previamente inibito dall’interessato, agire in contrasto con l’interesse dello stesso, quand’anche manifestato in forme non valide per produrre l’effetto di cui al comma 3 dell’articolo de quo; né, tantomeno, si potrebbe parlare di lesione, da parte del legittimato attivo, del principio di correttezza ex art. 5, par. 1, lett. a), GDPR, essendo tale norma manifestamente rivolta al titolare del trattamento «nei confronti dell’interessato» ed apparendo estranea al piano dell’esercizio dei diritti da parte dell’interessato; a tal proposito, dunque, potrebbe al massimo discorrersi di abuso del diritto, benché la circostanza che l’art. 2-terdecies espressamente regoli i fenomeni di esercizio di diritti in contrasto con la volontà del de cuius induca a ritenerli perfettamente validi. Ne consegue, dunque, che i margini di tutela degli interessi del defunto si individuano primamente nel concetto metagiuridico di dignità umana e sotto l’egida del rispetto della stessa debbono essere scrutinati i trattamenti che impongono una valutazione preventiva del rischio di lesione delle libertà e dei diritti dell’interessato deceduto.
2.2. Sui limiti all’esercizio del diritto di accesso civico quando questo investe dati personali riferiti a persone decedute
L’esercizio del diritto di accesso civico, ai sensi dell’art. 5-bis, co. 2, lett. a), d.lgs. 14 marzo 2013, n. 33, ritrova fra i suoi limiti la possibilità di causare pregiudizio alla «protezione dei dati personali, in conformità con la disciplina legislativa in materia», e, secondo quando disposto dal combinato degli artt. 3, co. 1, e 7, d.lgs. 14 marzo 2013, n. 33, tale diritto deve essere in ogni caso esercitato conformemente alla disciplina posta a tutela dei dati personali. L’autorità Garante, ferma l’estensione dell’ambito di applicazione del GDPR ai dati personali delle persone decedute, evidenzia che l’istanza di accesso comporterebbe una diffusione (trattandosi correttamente di diffusione di dati e non di comunicazione in caso di esito favorevole dell’istanza di accesso, come chiarito dall’art. 3 d.lgs. 14 marzo 2013, n. 33 in combinato con l’art. 2-terd.lgs. 30 giugno 2003, n. 196; sul punto, in modo più approfondito, v. Gpdp, provvedimento 15 ottobre 2020, doc. web n. 9483596) di dati personali relativi alla salute in violazione dell’art. 2-septies, co. 8, d.lgs. 30 giugno 2003, n. 196. Conclude, dunque, rilevando che il caso di specie rientra in una delle ipotesi di esclusione del diritto di accesso civico così come previsto dall’art. 5-bis d.lgs. 14 marzo 2013, n. 33.
La ricostruzione del Garante, tuttavia, non convince, soprattutto in considerazione del fatto che era possibile giungere alle medesime conclusioni seguendo altre vie, non foriere di antinomie e insanabili incertezze. Come chiarito al par. 8.1, delle linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5, co. 2, del d.lgs. 33/2013, assunte con determinazione 28 dicembre 2016, n. 1309, dall’ANAC d’intesa con il Garante per la protezione dei dati personali, ogni trattamento di dati deve essere effettuato «nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità umana […] dell’interessato» (dettato dall’art. 2 d.lgs. 30 giugno 2003, n. 196, prima di essere modificato dal d.lgs. 10 agosto 2018, n. 101, il quale ha spostato tale enunciazione programmatica dall’art. 2 all’art. 1) e dunque anche dei « diritti inviolabili della persona di cui agli artt. 2 e 3 della Costituzione» (similmente, F. Laviola, Il diritto all’oblio in Italia dalle origini alla “codificazione”, in Studi parlamentari e di politica costituzionale, 2018, n. 201-202, pp. 65-86). Orbene, al fine di emettere parere favorevole al provvedimento di diniego, sarebbe stato sufficiente far leva sulla circostanza che tale richiesta di accesso civico, promossa da un soggetto non rientrante, a quanto si evince dal tenore del provvedimento, tra i soggetti annoverati nel comma primo dell’art. 2-terdecies d.lgs. 30 giugno 2003, n. 196, sarebbe lesiva della dignità dell’interessato, dovendosi valutare tale lesività, nel caso di specie, sulla base (i) delle ragioni addotte alla base dell’istanza di accesso civico (Linee guida ANAC cit., par. 8.1, quinto cpv.), (ii) sulla base dell’anteriorità temporale dell’evento morte, (iii) sulla base della minore o maggiore rigidità formale cui il trattamento sarebbe stato soggetto se effettuato nei confronti di soggetti in vita, nonché (iv) sull’esistenza di disposizioni di carattere deontologico volte a contrastare la diffusione o comunicazione incondizionata di determinate categorie di dati, dacché l’esistenza di cautele pregnanti è indice di un giudizio, da parte del legislatore, di particolare invadenza e potenziale lesività del trattamento stesso per la dignità e riservatezza dell’interessato, infine (v) sulla base della non riconducibilità dell’istante tra le categorie di soggetti legittimate, ex art. 2-terdecies, ad accedere ai dati del defunto, circostanza da cui si ricava che costui non è destinatario del favor legislativo che ha portato alla predisposizione di una disciplina specifica per accedere a tali dati personali, e dunque la propria richiesta di accesso va valutata più rigidamente.
3. Precedenti
Tra i provvedimenti del Garante in merito si ricordano: il provvedimento del 6 luglio 2006, Docweb n. 1318742, e, più recentemente, il provvedimento del 3 maggio 2018, ivi, Docweb n. 9002012, entrambi aventi ad oggetto l’accesso ai dati relativi a documentazione bancaria; relativamente al diritto di accesso alla cartella clinica del defunto, il provvedimento del 18 settembre 2009, ivi, Docweb n. 1656642, il provvedimento del 25 settembre 2008, ivi, Docweb n. 1555676. In materia di accesso civico si veda anche, tra i precedenti, il provv. del Garante del 10 aprile 2017, Docweb n. 6383249.
4. Bibliografia
Sull’art. 2-terdecies e la disciplina della tutela postmortale dei dati personali delle persone decedute, v. G. Resta, sub art. 2-terdecies, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, p. 1115 ss.; Id., La ‘morte’ digitale, in Il diritto dell’informazione e dell’informatica, 2014, 6, p. 891 ss.; Id., La successione nei rapporti digitali e la tutela post-mortale dei dati personali, in Contratto e Impresa, 2019, 1, p. 85 ss.; S. Pardini, sub art. 9, comma 3°, d.lgs. n. 196/2003, in F. D. Busnelli-C. M. Bianca (a cura di), La protezione dei dati personali, Padova, 2007, p. 224 ss. Per un’analisi più approfondita del provvedimento in nota si consenta di rinviare a G. Di Ciollo, Il trattamento dei dati personali delle persone decedute. Note in ambito personalistico, in Ciberspazio e diritto, 2020, 2, p. 315 ss.; Id., Il trattamento dei dati personali delle persone decedute. Note in ambito successorio, in Ciberspazio e diritto, 2020, 3, p. 513 ss. Sulla tematica della gestione post mortem del proprio patrimonio informativo, v. M. Cinque, La successione nel “patrimonio digitale”: prime considerazioni, in Nuova giurisprudenza civile commentata, 2012, 2, p. 645 ss.; Ead., L’“eredità digitale” alla prova delle riforme, in T. Pasquino-A. Rizzo-M. Tescaro (a cura di), Questioni attuali in tema di commercio elettronico, Napoli, 2020, p. 53 ss.; C. Camardi, L’eredità digitale. Tra reale e virtuale, in Il diritto dell’informazione e dell’informatica, 2018, 1, p. 65 ss.; L. di Lorenzo, Il legato di password, in Notariato, 2014, 2, p. 144 ss.; Id., L’eredità digitale, in Notariato, 2021, 2, pp. 138 ss.; G. Marino, La «successione digitale», in Osservatorio del diritto civile e commerciale, 2018, 1, p. 167 ss.In tema di rapporto tra tutela dei dati personali e accesso civico, v. C. Colapietro, sub artt. 59-60, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, p. 1209 ss.; G. Mulazzani, Il trattamento di categorie particolari di dati personali, necessario per motivi di pubblico interesse rilevante, in G. Finocchiaro (a cura di), Protezione dei dati personali in Italia, Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, p. 229 ss.; E. D’Alterio, Protezione dei dati personali e accesso amministrativo: alla ricerca dell’“ordine segreto”, in Giornale di diritto amministrativo, 2019, 1, p. 9 ss.
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo