GDPR e accesso ai dati di persone defunte.

I dati personali di una persona deceduta possono essere oggetto di diritto di accesso da parte di un parente nel caso di impugnazione del testamento?

 

A seguito dell’entrata in vigore del GDPR e del successivo Decreto Legislativo n. 101/2018, il nostro legislatore ha revisionato e “modernizzato”, tra le altre, la norma concernente i diritti esercitabili da terzi di cui agli artt. da 15 a 22 GDPR (accesso, rettifica, cancellazione, oblio, portabilità) riferiti ai dati personali delle persone decedute.

Attualmente, pertanto, l’art. 2- terdecies, co. 1 stabilisce che i sopra elencati diritti riferiti ad un defunto, “possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

I successivi co. 2 e 3 prevedono la facoltà dell’interessato, a determinate condizioni, di vietare a terzi alcuni dei diritti elencati dagli artt. 15-22 GDPR nonché il diritto, in ogni momento, di revoca del divieto.

Infine, a chiusura della disposizione, il co. 5 stabilisce che “tale divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi”.

 

Il caso

Nel caso esaminato, chi esercita il diritto di accesso (parente in linea collaterale) non è un prossimo congiunto (coniuge, figlio o ascendente diretto) ma agisce per ragioni familiari meritevoli di protezione (ovvero il proprio interesse giuridico e patrimoniale legato alla azionata causa di impugnazione del testamento).

Dunque, nel caso di impugnazione di testamento da parte di un parente in linea collaterale, quest’ultimo è legittimato ad ottenere il diritto di accesso ai dati particolari contenuti nella cartella clinica del defunto?

Si tratta, nel caso di specie, di riempire di contenuto l’espressione “ragioni familiari meritevoli di protezione” e di contemperare l’esigenza di accesso del richiedente con le forme di tutela previste dalla disciplina sulla protezione dei dati che, a ben vedere, rimangono applicabili anche a seguito del decesso.

Ed ancora se il defunto avesse, in ipotesi, espressamente vietato il diritto di accesso al terzo soggetto richiedente, tale divieto non avrebbe potuto produrre il suo effetto, in quanto, tale divieto avrebbe leso il diritto del soggetto agente di difendere in un giudizio pendente i propri interessi (art. 2-terdecies co. 5).

 

Conclusioni

Pertanto, il legislatore ha voluto sì tutelare i dati personali delle persone defunte ma a determinate condizioni da analizzare e applicare caso per caso. A questo proposito, sembrano necessari chiarimenti specifici relativi ai concetti portanti, quali “interesse proprio” o “ragioni familiari meritevoli di protezione”, per poter tracciare dei confini semantici precisi e non incorrere in ambiguità.

 

 

elena ferraris Autrice Avv. Elena Ferraris

IL CASO CAMBRIDGE ANALYTICA E LA SANZIONE A FACEBOOK

Facebook ha recentemente patteggiato con la Sec e con la Federal Trade Commission per risolvere la questione sulla violazione di privacy legata a Cambridge Analytica: dovrà pagare due sanzioni, rispettivamente di cento milioni e cinque miliardi di dollari agli enti federali e impegnarsi a sottostare a normative molto più rigide riguardanti la protezione della privacy degli utenti, che saranno regolate da un comitato salva-privacy indipendente, con un funzionario nominato direttamente dalla FTC.

Ma qual è stata esattamente la situazione che ha portato Facebook a dover pagare la sanzione da record?

Nel 2014 un ricercatore di Cambridge di nome Aleksandr Kogan ha creato un app: “thisisyourdigitallife”. Tale app consisteva nella creazione di diversi profili psicologici in base alle preferenze degli utenti sul web e, per poterla utilizzare, ci si poteva registrare con la propria mail oppure effettuare il Facebook login. Questo servizio, apparentemente gratuito, in realtà era pagato con dei dati dell’utenza, che registrandosi all’app condivideva indirizzi mail, età, sesso ed altre tipologie di dati del proprio profilo Facebook. Questa è una pratica comune e molto utilizzata, ma all’epoca Facebook dava accesso anche ai dati della rete di amici dell’utente che si registrava all’app, il che significa che per ogni user che consapevolmente ha condiviso l’accesso ai propri dati, anche quelli delle persone a lui vicine sono stati condivisi con i gestori dell’app senza alcun preavviso o autorizzazione. Così Facebook passava al gestore di Thisisyourdigitallife dati relativi a circa 50 milioni di profili, in modo completamente legale. Se non fosse che Kogan ha poi condiviso questi dati raccolti con la Cambridge Analytica, un’azienda di raccolta e analisi dati specializzata in strategie di microtargeting comportamentale, ovvero tecniche di pubblicità e comunicazione estremamente precise basate sulla profilazione psicometrica dell’utenza e, così facendo, ha violato il regolamento di Facebook sulla privacy, per il quale non si possono cedere a terzi i dati raccolti, pena la sospensione dell’account.

Christopher Wylie, un ex dipendente di Cambridge Analytica, sostiene che Facebook sapesse dell’illecito da tempo, ma che abbia atteso marzo di quest’anno per sospendere l’account in questione, quando alcune testate giornalistiche hanno iniziato un’inchiesta sul rapporto tra le due aziende e hanno accusato Facebook di essere responsabile della diffusione dei dati, nonché di aver sottovalutato o insabbiato la questione.

A prescindere dalla responsabilità penale di Facebook, il problema è chiaramente nella sua infrastruttura: alcune delle politiche del social network rischiano di essere ingannevoli o perlomeno fumose ed è sempre più complesso per il gigante della tecnologia proteggere i dati di tutti i suoi utenti. La multa da 5 miliardi di dollari non sarà certo un problema concreto per un’azienda che ne fattura più di 50 l’anno, ma sarà una pietra miliare nel percorso di rigida regolamentazione che ne deriverà in materia di privacy negli Usa.

Powered by: Fweb Group