Introduzione: Diritto di accesso ai dati in materia di protezione dei dati e diritto ereditario
Dal momento dell’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR), le persone interessate hanno un diritto di accesso ampio nei confronti dei soggetti che elaborano i dati ai sensi dell’articolo 15 del GDPR. Questo diritto consente alle persone fisiche di richiedere dettagli sulla gestione dei loro dati personali. Nella pratica legale, cresce la rilevanza della questione su come trattare tali diritti di accesso nel caso di decesso della persona interessata, in particolare nel contesto del diritto ereditario. Di seguito, verranno esaminate e contestualizzate le basi legali rilevanti, lo sviluppo attuale e le posizioni esistenti nella giurisprudenza e nella letteratura.
Fondamento giuridico del diritto di accesso secondo il GDPR
Portata e contenuto del diritto di accesso
L’articolo 15 del GDPR concede alle persone interessate il diritto di richiedere ai responsabili la conferma se i loro dati personali siano trattati. Qualora si verifichi un trattamento, la persona interessata ha diritto di accesso ai dati memorizzati, alle finalità del trattamento e a una serie di altre informazioni.
Particolarità del diritto di accesso
Il diritto è esplicitamente concentrato sulle “persone interessate”. I dati personali si riferiscono generalmente a persone fisiche viventi; il GDPR non stabilisce una regolamentazione esplicita per l’applicazione del diritto di accesso dopo la morte di una persona interessata. Questa lacuna solleva varie questioni ereditare e di protezione dei dati.
Trasferibilità ereditaria del diritto di accesso
Principio di successione ereditaria
Il diritto civile tedesco stabilisce che in caso di decesso di una persona, l’intero patrimonio, compresi tutti i diritti e gli obblighi, passa agli eredi attraverso la successione universale (§ 1922 BGB). Questa premessa solleva la questione fondamentale se i diritti di accesso relativi alla protezione dei dati diventino parte dell’eredità e possano essere esercitati dagli eredi.
Carattere personalistico e sue implicazioni
Il diritto di accesso ai sensi dell’articolo 15 GDPR è strettamente connesso con il diritto alla privacy. Nella letteratura e nella giurisprudenza, esiste ancora disaccordo se questo sia un diritto strettamente personale, non ereditabile, oppure un diritto patrimoniale ereditabile. In particolare, quando il diritto di accesso serve a far valere interessi di valore economico, ad esempio per verificare i diritti di legittima o per far valere i diritti di risarcimento, esiste un bisogno pratico per la sua ereditabilità.
Considerazioni dal GDPR e atti di attuazione nazionali
Il GDPR stesso dispone nel considerando 27 che le sue normative non si applicano in linea di massima ai dati personali dei defunti. Allo stesso tempo, gli Stati membri sono liberi di creare regolamenti aggiuntivi per la gestione dei dati dei defunti. Il legislatore tedesco ha fatto uso di questa possibilità attraverso il § 35 della legge federale sulla protezione dei dati (BDSG) e ha stabilito determinate norme di protezione per i dati dei defunti – tuttavia non ha implementato una regolamentazione esplicita sull’ereditabilità del diritto di accesso.
Giurisprudenza attuale e opinioni
Corte d’appello di Norimberga, decisione del 29.09.2023
Decisioni attuali – come la decisione della Corte d’appello (OLG) di Norimberga del 29.09.2023 (Az.: 12 W 1923/23) – sottolineano la complessità della tematica. Nel caso in questione è stato trattato se gli eredi, dopo la morte di una persona, possano far valere un diritto di accesso nei confronti di un’azienda in merito ai dati personali del defunto.
L’OLG di Norimberga ha negato una generale ereditabilità del diritto di accesso ai sensi dell’articolo 15 GDPR, poiché è principalmente orientato alla tutela delle persone viventi. Tuttavia, la corte ha spiegato che, in casi individuali, può essere consentito agli eredi di far valere un interesse informativo nell’ambito del BDSG in combinazione con interessi ereditari specifici, ad esempio quando i dati sono necessari per far valere i propri diritti (ad esempio diritti di legittima).
Voci divergenti nella letteratura e pratica
Nella letteratura, ci sono certamente voci che supportano una gestione restrittiva con riferimento allo scopo del GDPR. Altri sostengono una soluzione orientata sul caso particolare, soprattutto laddove l’interesse legittimo degli eredi prevale chiaramente o non ci sono interessi contrari del defunto o di terzi. In particolare, la necessità di informazioni per la gestione dell’eredità può, secondo questa opinione, giustificare una richiesta di trasmissione/affermazione.
Sfide pratiche per le istituzioni che elaborano dati
Le aziende e altre istituzioni che elaborano dati devono affrontare la sfida di valutare caso per caso, considerando requisiti di protezione dei dati, diritto civile e basi legate alla conformità, se e in quale misura possano o debbano fornire informazioni agli eredi. Questo vale in particolare per quanto riguarda la responsabilità in materia di protezione dei dati e i potenziali rischi di responsabilità nei confronti degli interessati e dei loro successori legali.
Prospettive e possibilità di configurazione
Mancanza di chiarezza nel diritto europeo e nazionale
In assenza di regolamenti legali espliciti, si richiede attualmente un criterio di valutazione differenziato e basato sui fatti, che consideri adeguatamente gli interessi legittimi degli eredi, la protezione della personalità del defunto e i diritti potenziali di terzi. Sia per le istituzioni che elaborano dati che per gli eredi, si raccomanda, in tali situazioni, di esaminare con attenzione ogni situazione e di monitorare gli sviluppi legali attuali.
Riflessioni sulla riforma e sviluppi futuri
Nel dibattito professionale si discutono vari approcci su come delineare una regolamentazione più chiara per la trasferibilità dei diritti in materia di protezione dei dati dopo la morte di una persona. Una decisione vincolante della Corte di giustizia dell’Unione europea su questa tematica non è ancora stata emessa, quindi le incertezze persistono.
Conclusione
La questione dell’ereditabilità del diritto di accesso ai dati personali ai sensi del GDPR è ancora aperta ed è di notevole rilevanza nella pratica. Sebbene le normative rilevanti attualmente non contengano disposizioni esplicite, nella giurisprudenza e nella letteratura si nota una tendenza a considerare i casi singoli tenendo conto degli interessi di tutte le parti coinvolte.
Per aziende e privati si consiglia, in caso di incertezze, di esaminare attentamente la situazione concreta. Per domande legali e dubbi sulla trasferibilità dei diritti in materia di dati, gli interessati possono sempre affidarsi agli avvocati di MTR Legal per valutare gli sviluppi attuali e riconoscere precocemente i rischi legali.
