Decreto legislativo - 30/06/2003 - n. 196 art. 2 terdecies - Diritti riguardanti le persone decedute 1

Primo comma: ambito soggettivo di applicazione e diritti esercitabili

L'ambito soggettivo di applicazione dell'istituto riguarda tre tipologie di soggetti legittimati: 1) terzi portatori di un interesse proprio relativo alle informazioni riferibili al defunto; 2) interessati di trattamento che hanno ricevuto mandato dall'interessato, (necessariamente) mentre era in vita, per la sua tutela (quindi) anche post mortem dei suoi dati personali; 3) terzi che si trovano in un rapporto qualificato con il defunto per ragioni familiari meritevoli di protezione.

Nei tre casi indicati, ai legittimati è riconosciuta la possibilità di esercitare i diritti di cui agli artt. 15-22 GDPR in relazione ai dati personali del deceduto. Vengono pertanto in considerazione profili di ultrattività di istituti del Regolamento. Va ricordato infatti che di regola la normativa sulla protezione dei dati personali si applica solo a soggetti viventi, v. comunque approfondimento al § 10 infra.

Ancorché non siano menzionati dall'art. 2-terdecies, ai soggetti legittimati va riconosciuto l'accesso agli strumenti di tutela contemplati agli artt. 77-79 GPDR e all'art. 141 e ss. cod. privacy, in difetto risultando svuotato di effettività l'esercizio dei diritti loro riconosciuti.

Primo comma: interesse proprio e ragioni familiari meritevoli di protezione

L'«interesse proprio» rimanda a una indeterminata molteplicità di pretese soggettive, non solo di natura patrimoniale. «Ragioni familiari meritevoli di protezione» è formula di per sé esplicativa: vi rientrano discendenti e ascendenti, coniuge o persona legata da stabili legami con il defunto, altri parenti. Di regola costoro soddisfano anche il criterio (che resta comunque disgiuntivo) dell'interesse proprio, mentre possono darsi casi in cui tale presupposto di legittimazione sussista anche a prescindere da una particolare relazione familiare. In concreto, le due tipologie ricevono identica disciplina.

«È legittima la richiesta da parte di una vedova, che agisce “iure proprio” sulla base di un interesse meritevole di protezione di natura familiare, ad avere accesso all'account Apple del marito in quanto finalizzata a recuperare foto e filmati di famiglia destinati a rafforzare la memoria del tempo vissuto insieme ed a conservare tali immagini a beneficio delle figlie in tenera età» (Trib. Roma VIII, ord. 10 febbraio 2022).

Giova altresì riportare qualche esempio dalla casistica, anche remota, del Garante, con la precisazione che la l. n. 675/1996 non distingueva allora categorie diverse di legittimati, permettendo genericamente all'art. 13.3 l'esercizio dei diritti a chiunque vi avesse interesse.

«Ai sensi dell'art. 13, comma 3, della legge n. 675 i diritti di cui al comma 1 del medesimo articolo, tra cui il diritto di accesso, se “riferiti ai dati personali concernenti persone decedute', ‘possono essere esercitati da chiunque vi abbia interesse'”. In base a tale disposizione, l'interessata, nella qualità di erede testamentario, ha quindi titolo a proporre una istanza di accesso ai dati personali del de cuius» (GPDP 3 aprile 2002 [1065256]).

«Poiché il diritto di accesso ai dati personali di una persona deceduta, ai sensi dell'art. 13, comma 3 della l. n. 675/1996, può essere esercitato da chiunque vi abbia interesse, è legittima la richiesta del coniuge (anche in qualità di esercente la potestà sul figlio minore) di accedere ai dati personali del defunto marito in relazione ad alcune polizze stipulate da quest'ultimo in favore di terzi. Ne consegue che il titolare del trattamento è tenuto ad estrarre dagli atti e dai documenti detenuti, ivi comprese le polizze eventualmente sottoscritte, tutte le informazioni personali relative al defunto, mettendole a disposizione, in modo intellegibile, della ricorrente» (GPDP 22 settembre 2003 [1053716]).

«Deve ritenersi che la ricorrente, in qualità di unica figlia del de cuius (pretermessa nel testamento paterno e pertanto nella necessità di ricostruire il cespite ereditario al fine di valutare se esercitare l'azione di riduzione delle disposizioni testamentarie) ha legittimamente esercitato il suddetto diritto; [...] nel caso di specie, risulta applicabile la disciplina in materia di protezione dei dati personali avendo la ricorrente chiesto, ai sensi degli artt. 7 e 9 del Codice, la comunicazione dei dati personali riferiti al padre defunto contenuti in alcuni documenti detenuti dalla banca» (GPDP 18 maggio 2012 [1912468]).

«RILEVATO che il segnalante, che dichiara di essere parente di una delle persone decedute, lamenta il richiamo per esteso di nome e cognome del familiare, XZ, in un contesto che non giustificherebbe la diffusione di tali informazioni [...] CONSIDERATO che la tutela della sfera privata e della dignità della persona, prevista dal Codice, non viene meno con la morte della persona [...] RILEVATO, in particolare, che la diffusione delle generalità dei soggetti interessati [...] risulta contrastante con i principi in materia di trattamento dei dati a fini giornalistici e altre manifestazioni del pensiero [...] dispone [...] il divieto di ulteriore diffusione, anche tramite il sito web “YY”, del nominativo [...] delle persone decedute alle quali si riferiscono i dati di natura sensibile rilevati nell'intervista dal titolo “KW”» (GPDP 1° luglio 2010 [1738303] in merito a un articolo di cronaca che riferiva le cause di un decesso con modalità ritenute eccedenti rispetto al punto di bilanciamento tra diritto di informazione e protezione dei dati personali).

«Il ricorrente, legato alla paziente defunta da un documentato rapporto di convivenza (riconosciuto peraltro anche dalla struttura in cui la medesima era ricoverata), ha esercitato tale diritto, come dallo stesso dichiarato, al fine di disporre delle informazioni necessarie ad intraprendere le azioni giudiziarie più opportune a lui consentite per la verifica di eventuali inadempienze nelle prestazioni sanitarie rese dalla resistente (sul punto cfr. anche Cass. III, n. 8976/2005, nonché Cass. III, n. 8828/2003 e Cass. III, n. 23725/2008)» (GPDP, 17 settembre 2009 [1656642]. Nella vicenda in esame, l'Autorità di controllo aveva accolto il ricorso di un interessato nei confronti di una struttura sanitaria che gli aveva rifiutato l'accesso alla documentazione della convivente more uxorio, poi deceduta).

Primo comma: precisazioni sul mandato con effetti post mortem

La possibilità di conferire mandato con effetti anche post mortem per l'esercizio dei diritti dal 15 al 22 GDPR, introdotta dal d.lgs. n. 101/2018 («chi [...] agisce a tutela dell'interessato, in qualità di suo mandatario»), costituisce, come già osservato, una rilevante novità. Un dominio applicativo appare quello delle cd. “società di cremazione”, ossia associazioni che si occupano di dare esecuzione alle volontà dei loro iscritti che desiderano essere cremati. Le società, ai fini di dare compiutamente corso al mandato ricevuto dagli associati, possono per esempio avere necessità di accedere anche post mortem ad informazioni che li riguardano.

Giova anche segnalare sul piano civilistico che il contratto di mandato, di regola e con limitate eccezioni, si estingue ex lege ai sensi dell'art. 1722, comma 1, n. 4 c.c. con la morte del mandante; l'art. 2-terdecies cod. privacy sembra pertanto avere introdotto una deroga alla disposizione citata.

Primo comma: accesso a cartelle cliniche

Di particolare interesse si presenta l'applicazione in giurisprudenza dell'art. 2-terdecies per superare i limiti di accesso alle cartelle cliniche imposti dall'art. 92 cod. privacy, ritenuti irragionevoli, dopo il decesso del paziente.

Sul punto esiste un consolidato indirizzo costruito sull'abrogato art. 9, comma 3 d.lgs. 196/2003 (cfr. Cons. St. III, n. 3459/2012; T.A.R. Puglia (Bari) III, 3 gennaio 2018, n. 2; T.A.R. Basilicata (Potenza), 2 luglio 2018, n. 429; T.A.R. Lazio (Roma) III-quater 8 maggio 2020, n. 4826), che trova oggi continuità nella disposizione in commento. «La disciplina dettata, ora, dall'art. 2-terdecies, comma 1, del d.lgs. n. 196/2003 (prima della modifica apportata dal d.lgs. n. 101/2018, dall'art. 9, comma 3 del “Codice Privacy”), trova applicazione anche per disciplinare l'accesso alle cartelle cliniche delle persone decedute, dal momento che non può trovare applicazione la disciplina specificamente prevista in materia dall'art. 92 del medesimo codice, la quale consente l'accesso alle cartelle cliniche solo a persone diverse dall'interessato che possono far valere un diritto della personalità o altro diritto di pari rango. Se dovesse applicarsi questa disposizione anche dopo la morte, neppure i più stretti congiunti potrebbero accedere ai dati personali del defunto in assenza dei presupposti richiesti dalla norma, con conseguenze paradossali» (T.A.R. Lombardia (Milano) III, 31 maggio 2022, n. 1284).

Primo comma: accesso a polizze assicurative

L'esercizio del diritto di accesso ex art. 15 GDPR azionato dai legittimati ex art. 2-terdecies d.lgs. 196/03 (in passato art. 9.3) rispetto a terzi beneficiari di operazioni economiche poste in essere dal de cuius in vita, si pensi a operazioni in ambito bancario o assicurativo, ha sempre posto il problema del bilanciamento con la riservatezza dei terzi beneficiari.

La giurisprudenza di legittimità registra un lontano precedente nel 2015, che ha negato la conoscibilità dei nomi dei beneficiari (Cass. I sent, 17790/2015), a cui è seguito un completo revirement nel 2021 (Cass. I, ord. 39531/2021), che, con motivazione diversa, l'ha invece ammessa.

Su tale tema, il Garante, con provvedimento datato 26.10.2023 [9954881], come già anticipato, ha reso pubblica l'interpretazione che intende seguire, v. appresso. È doveroso indicare che il provvedimento non ha valore vincolante, ciò non discendendo dalle disposizioni presupposte (art. 57.1, lett. b, d, vGDPR e art. 154.1 d.lgs. n. 196/2003), tuttavia segnala certamente la posizione che l'Autorità intende seguire in fattispecie omogenee.

«È legittima l'ostensione dei dati del beneficiario della posizione previdenziale di un fondo pensione, allorché il richiedente alleghi l'interesse, concreto e non pretestuoso, ad intraprendere un giudizio nei confronti del soggetto in tal modo designato dall'aderente al fondo, come allorché la richiesta provenga dal legittimario del de cuius» (Cass. I, ord. 39531/2021).

In particolare, il menzionato provvedimento interpretativo del Garante indica: «Si ritiene che, tra i dati ai quali è possibile accedere ai sensi del combinato disposto tra gli art. 15 del Regolamento e 2-terdecies del Codice, rientrino anche i dati personali dei beneficiari di polizze assicurative accese in vita da una persona deceduta, in presenza di determinati presupposti e previa attenta valutazione comparativa tra gli interessi in gioco effettuata dall'impresa assicuratrice titolare del trattamento. Considerato che la tutela della riservatezza dei dati personali non ha un valore assoluto, il titolare del trattamento deve contemperare tale diritto con quello di difendersi in giudizio esercitato da colui che accede ai dati personali del de cuius. In questo senso il titolare dovrà verificare la sussistenza dei presupposti di seguito indicati:

1) che il soggetto che esercita il diritto di accesso ai dati del defunto sia portatore di una posizione di diritto soggettivo sostanziale in ambito successorio, corrispondente alla qualità di chiamato all'eredità o di erede;

2) che l'interesse perseguito sia concreto e attuale, cioè realmente esistente al momento dell'accesso ai dati, strumentale o prodromico alla difesa di un proprio diritto successorio in sede giudiziaria.

Si invitano i titolari del trattamento a valutare l'adeguatezza dell'informativa resa sia al contraente che al/i beneficiario/i delle polizze (rispettivamente ai sensi dell'art. 13 e dell'art. 14, par. 1 lett. e) del Regolamento) alle indicazioni contenute nel presente provvedimento. Il soggetto che riceve i dati dell'interessato dovrà, a sua volta, nel trattare i dati ricevuti, rispettare rigorosamente la finalità di tutela dei propri diritti successori in sede giudiziaria sottesa a tale comunicazione. Secondo quanto affermato dalla stessa giurisprudenza di legittimità, infatti, “l'interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di altri interessi giuridicamente rilevanti, tra i quali l'interesse, ove autentico e non surrettizio, all'esercizio del diritto di difesa in giudizio”. Ciò significa che a fronte del dichiarato interesse del richiedente a conoscere anche i nominativi dei beneficiari delle polizze, il titolare deve eseguire un “controllo in negativo”, che si risolve nel verificare che non si tratti di un'istanza del tutto pretestuosa» (GPDP, 26 ottobre 2023 [9954881]).

Secondo comma: il potere di “veto” con efficacia post mortem

Rilevantissima novità introdotta dal d.lgs. n. 101/2018 riguarda quello che potrebbe essere definito come il potere di “veto” pro futuro, riconosciuto all'interessato rispetto all'esercizio post mortem dei diritti dal 15 al 22 GDPR da parte delle menzionate categorie di legittimati. Il diritto di veto non ha tuttavia portata generale ma può essere esercitato dall'interessato ancora in vita solo in relazione all'offerta di servizi della società dell'informazione a lui diretta, v. infra. Un ambito di applicazione tipica riguarda servizi web quali: spazi di memorizzazione in cloud, caselle di posta elettronica, servizi di chat/messaggistica, profili di social network, spazi personali all'interno di marketplace.

Giova ricordare che la definizione tecnica di «servizio della società dell'informazione», già richiamata all'art. 2.1, lett. a) della dir. 2000/31/CE, si trova oggi contenuta all'art. 1.1, lett. b) dir. (UE) 2015/1535, che ha abrogato la dir. 98/34/CE. Ai sensi della previsione citata, è servizio della società dell'informazione «qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Ai fini della presente definizione si intende per: 1) “a distanza”: un servizio fornito senza la presenza simultanea delle parti; 2) “per via elettronica”: un servizio inviato all'origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento (compresa la compressione digitale) e di memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici o altri mezzi elettromagnetici; 3) “a richiesta individuale di un destinatario di servizi”: un servizio fornito mediante trasmissione di dati su richiesta individuale».

Giova notare che l'espressione «offerta diretta di servizi della società dell'informazione», contenuta al comma 2 dell'art. 2-terdecies può porre all'interprete la necessità di distinguere un'offerta «diretta» da un'offerta indiretta, il che non è. L'intera espressione appare invero estrapolata verbatim dall'art. 8, par. 1 GDPR, dove l'aggettivo «diretta» era sintatticamente riferito ai minori («diretta [...] ai minori») e aveva il senso di “indirizzata a”. Dunque, pare ragionevole desumerne che «offerta diretta [all'interessato] di servizi della società dell'informazione» equivalga semplicemente a offerta all'interessato di servizi della società dell'informazione.

Quanto ai requisiti di forma per l'esercizio del diritto di “veto”, si evidenzia che è necessaria la forma scritta (comma 2). Rispetto ai documenti informatici, potrà richiamarsi l'art. 20, comma 1-bis d.lgs. n. 82/2005 (cd. “Codice dell'amministrazione digitale” o “CAD”).

La relazione illustrativa tace sulle ragioni che hanno determinato l'introduzione del potere di “veto” qui in commento, sembra comunque ragionevole ravvisarne la ratio nell'esigenza di apprestare tutela all'intimità dell'utilizzatore di servizi che sono ormai strettamente integrati nella quotidianità di vita, tali perciò da includere aspetti privatissimi che l'interessato potrebbe desiderare di non esporre post mortem all'altrui conoscenza.

«Così come previsto dalla legge sulle direttive anticipate di trattamento (laddove, all'art. 4 della l. n. 219/2017, consente ad ogni persona – maggiorenne e capace di intendere e di volere – di “esprimere le proprie volontà in materia di trattamenti sanitari, nonché il consenso o il rifiuto rispetto ad accertamenti diagnostici o scelte terapeutiche e a singoli trattamenti sanitari”), anche nel caso in esame il legislatore – nell'ottica della tutela dei medesimi diritti alla dignità ed all'autodeterminazione (diritti che riguardano sia la dimensione fisica della persona che quella che attiene al rapporto con i dati personali che esprimono e realizzano una parte dell'identità della persona stessa) ha espressamente valorizzato l'autonomia dell'individuo, lasciandogli la scelta se lasciare agli eredi ed ai superstiti legittimati la facoltà di accedere ai propri dati personali (ed esercitare tutti o parte dei diritti connessi) oppure sottrarre all'accesso dei terzi tali informazioni». (Trib. Milano I, ord. 10 febbraio 2021).

Terzo e quarto comma: modalità di esercizio e natura del diritto di “veto”.

La determinazione dell'interessato di precludere l'accesso ai suoi dati va presentata o comunicata al titolare del servizio della società dell'informazione. In mancanza di determinazione in tal senso o qualora essa non sia validamente espressa, si intende riconosciuto l'accesso ai legittimati di cui al primo comma della disposizione in commento. Nel merito, la manifestazione di volontà deve essere espressa in forma scritta (comma 2) non equivoca, specifica, libera, informata e liberamente revocabile (commi 3 e 4), presenta pertanto gli stessi requisiti che connotano l'espressione del consenso al trattamento, nonostante ovviamente il differente contenuto della manifestazione di volontà. Sembra allora possibile, almeno in via di ipotesi, ritenere applicabile la complessiva disciplina prevista in materia di consenso, inclusa la disposizione di cui all'art. 7.4 GDPR: «Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto». In quanto specifica, la dichiarazione dell'interessato può anche essere limitata solo ad alcuni diritti. Il diritto di “veto” apre notevoli spazi di riflessione teorica: non viene infatti in considerazione, come di primo acchito si potrebbe ritenere, un diritto di opposizione nel senso proprio dell'art. 21 GDPR. È certamente vero infatti che al titolare del trattamento sono inibite, con il “veto”, una serie di operazioni di comunicazione a terzi di dati del defunto e altre operazioni di trattamento, tuttavia i veri destinatari del “veto” appaiono proprio i (futuri eventuali) legittimati. In definitiva, il diritto in esame si configura come una voce aggiuntiva, operante a livello nazionale, rispetto al catalogo di diritti dell'interessato riconosciuti, a livello unionale, dal Regolamento.

«L'accesso ai dati personali contenuti nell'account non è precluso dall'accettazione delle condizioni generali di contratto al momento dell'acquisto del dispositivo. È infatti incontroverso che le condizioni generali del contratto accettate al momento dell'attivazione del servizio prevedano la non trasferibilità dell'account e che qualsiasi diritto sull'Id Apple e sul suo contenuto si estingua con la morte; tuttavia, poiché l'art. 2-terdecies del Codice privacy, al comma 3, prevede che la volontà dell'interessato di vietare l'esercizio e l'accesso ai diritti digitali dopo il suo decesso debba essere espressa in maniera libera, informata e specifica e che possa sempre essere revocata o modificata, allora la mera adesione alle condizioni generali di contratto, in difetto di approvazione specifica delle clausole predisposte unilateralmente dal gestore non appare soddisfare i requisiti sostanziali e formali espressi dalla norma richiamata, tenuto conto che le pratiche negoziali dei gestori in cui le condizione generali di contratto si radicano non valorizzano l'autonomia delle scelte dei destinatari» (Trib.Roma VIII, ord. 10 febbraio 2022).

Quarto comma: il bilanciamento con i diritti dei terzi

Il diritto di “veto” non è assoluto. Sono infatti previste norme di bilanciamento con i concorrenti diritti propri dei terzi, dunque anche di soggetti non sussumibili entro le categorie dei legittimati. Innanzitutto, i diritti patrimoniali di costoro derivanti dalla morte dell'interessato. Non appare impropria qui la preminenza di un diritto patrimoniale su un diritto della persona, sia perché consentita in molti casi anche in linea generale sia perché l'ultrattività del diritto alla protezione dei dati personali oltre il limite dell'esistenza terrena dell'interessato integra comunque un'eccezione alla disciplina ordinaria prevista dal Regolamento europeo, v. infra § 10. È altresì riconosciuta la preminenza del diritto dei terzi di difendere in giudizio i propri interessi. Le due ipotesi andrebbero considerate, ad avviso di chi scrive, come meramente esemplificative. Non c'è dubbio, per esempio, che possa prevalere altresì il diritto del giornalista di esercitare il diritto di cronaca sul diritto di “veto” del deceduto, posto che a fortiori la prevalenza del diritto di cronaca può valere anche nei confronti dei soggetti ancora in vita.

Precisazioni in merito alle tutele riconosciute sui dati personali del defunto.

Giova evidenziare che ai sensi del considerando 27, primo periodo, «il presente regolamento non si applica ai dati personali delle persone decedute». Il citato considerando, ult. periodo, consente tuttavia agli Stati membri di prevedere norme riguardanti i dati personali delle persone decedute, come appunto avviene in Italia con l'introduzione dell'art. 2-terdecies in commento. È opportuno notare che, sotto il profilo della teoria, ciò non trasforma propriamente il defunto in un «interessato» di trattamento. Da un lato, infatti, i diritti sui suoi dati personali sono esercitati da soggetti terzi che agiscono per finalità loro proprie, personali o familiari, o in ottemperanza di un mandato, dall'altro il de cuius, al di là dello stretto perimetro applicativo del 2-terdecies, non riceve, o è quantomeno dubbio che possa ricevere, ulteriore tutela. Ad es. non pare sussistere, neppure attraverso i legittimati, il diritto a essere destinatari della comunicazione ex art. 34 GDPR.

Il Garante tuttavia, in una delle prime occasioni di applicazione dell'art. 2-terdecies, ha ritenuto configurarsi direttamente in capo al deceduto la tutela consistente nel divieto di diffusione di dati sensibili a lui riferiti, ai sensi dell'art. 2-septies, comma 8 cod. privacy, perfino in mancanza di esercizio di diritti in tal senso da parte di eventuali legittimati (questo almeno si evince dal provvedimento GPDP 10 gennaio 2019 [9084520]). In definitiva, l'Autorità ha considerato il deceduto in tutto e per tutto alla stregua un «interessato» di trattamento.

«La regola generale prevista dal nostro ordinamento, in continuità con la disciplina contenuta nell'art. 9, comma 3, del d.lgs. n. 196/2003 è quella della sopravvivenza dei diritti dell'interessato in seguito alla morte e della possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati all'esercizio dei diritti stessi (cfr. Trib. Milano ord., 2 marzo 2021)» (Trib. Roma VIII, ord. 10 febbraio 2022).

«Come nella previgente disciplina, il legislatore non chiarisce se si tratti di una acquisto mortis causa o di una legittimazione iure proprio, limitandosi a prevedere quello che la più attenta dottrina ha qualificato in termini di “persistenza” dei diritti oltre la vita della persona fisica (diritti che prevedono il diritto di accesso, di rettifica, di limitazione di trattamento, di opposizione, ma anche il diritto alla cancellazione ed alla portabilità dei dati), persistenza che assume rilievo preminente a livello dei rimedi esperibili. La regola generale prevista dal nostro ordinamento (in linea di continuità con la disciplina contenuta nell'art. 9, comma 3, del d.lgs. n. 196/2003), dunque, è quella della sopravvivenza dei diritti dell'interessato in seguito alla morte e della possibilità del loro esercizio, post mortem, da parte di determinati soggetti legittimati all'esercizio dei diritti stessi» (Trib. Milano I, ord. 10 febbraio 2021).

«In relazione ai “dati personali delle persone decedute”, la normativa europea in materia di protezione dei dati personali, pur prevedendo che il Regolamento non trovi a essi applicazione, stabilisce – con una “clausola di salvaguardia” – che «Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute» (considerando 27). [...] Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i predetti diritti da parte dei soggetti elencati nell'art. 2-terdecies, comma 1, al posto delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli artt. da 15 a 22 del Regolamento [...] si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai “principi applicabili al trattamento di dati personali” nel rispetto delle condizioni di “liceità del trattamento”, in quanto compatibili. [...] In tale contesto, si osserva che il Codice, a tutela dei singoli e nel «rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona» (art. 1, comma 1), prevede un espresso “divieto di diffusione”, ossia della possibilità di dare “conoscenza [...] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” di “dati relativi alla salute” (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b), all'interno dei quali nella fattispecie sottoposta all'attenzione del Garante – per i motivi sopra riportati – rientrano anche quelli riferiti al paziente deceduto, contenuti nella documentazione oggetto dell'accesso civico» (GPDP 10 gennaio 2019 [9084520] a proposito di un'istanza di accesso civico ai sensi del d.lgs. n. 33/2013, per “possibile malpractice” relativamente a un errore clinico, rifiutata a un terzo da un'azienda sanitaria. Il provvedimento in esame riconosce natura di dati personali alle informazioni di un soggetto che non è più interessato di trattamento ai sensi del GDPR).

Nel vigore della direttiva 95/46 l'ex Gruppo di lavoro 29 ha rilevato quanto segue rispetto al trattamento delle informazioni riferite ai deceduti: «Il concetto di persona fisica figura all'art. 6 della Dichiarazione universale dei diritti dell'uomo, che recita “Ogni individuo ha diritto, in ogni luogo, al riconoscimento della sua personalità giuridica”. La legislazione degli Stati membri, generalmente nel diritto civile, descrive in modo più preciso il concetto di personalità degli esseri umani, intesa come la capacità dell'individuo di essere soggetto di rapporti giuridici, dalla nascita fino alla morte. I dati personali sono pertanto, in linea di principio, dati che si riferiscono a persone viventi identificate o identificabili. Le informazioni relative a persone decedute non sono da considerarsi, in linea di principio, dati personali soggetti alle norme della direttiva [...]» (WP29, op. 4/2007, § 4).