Gestione dati personali per le onoranze funebri

Le aziende che si occupano di onoranze funebri presentano una particolarità, rispetto alla maggioranza delle altre categorie: la necessità di trattare dati personali di defunti. Il Regolamento Europeo (GDPR) sulla protezione dei dati personali esclude dal suo ambito di applicazione le persone defunte, ma lascia ai singoli stati la possibilità di introdurre norme specifiche in proposito, ed è quello che l’Italia ha fatto nel Codice Privacy (novellato dal D.lgs. 101/18) all’art. 2-terdecies, il quale nel comma 1 prevede che: I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli diprotezione (i commi 2 e 3 pongono eccezioni a questa norma). Questa norma è purtroppo molto generica: infatti non vengono specificati quali possono essere gli interessi propri o le ragioni familiari meritevoli di protezione, ed in mancanza al momento di giurisprudenza che aiuti a destreggiarsi in questo aspetto, e considerando che spesso le situazioni che si verificano dopo un decesso sono piuttosto spiacevoli, l’azienda può trovarsi davanti a problemi notevoli, che possono rendere necessaria un’assistenza legale specifica.

I trattamenti comuni

Fatti salvi i dati personali minimi del defunto, necessari per i servizi richiesti, i trattamenti sono normalmente quelli più comunemente diffusi: dati anagrafici e contabili della clientela (cioè chi commissiona i servizi funebri), dati dei lavoratori, dati contabili/amministrativi dei fornitori, dati relativi a servizi web (sito internet aziendale, eventuali social network), dati per marketing, videosorveglianza. Essi sono tutti dati personali “comuni”, con la sola eccezione dei dati particolari necessari alla gestione del rapporti di lavoro del personale subordinato e parasubordinato.

Visto però il particolare contesto, è bene sottolineare la necessità di particolare riservatezza, soprattutto relativamente alle cause di morte: nessuna informazione può essere data a persone che, spesso in perfetta buonafede, dovessero chiederle direttamente all’agenzia invece che ai congiunti. Per questo è consigliabile prevedere con i congiunti stessi (o i committenti) un canale informativo per tutti coloro che risultassero interessati, non solo per le informazioni relative alle esequie, ma anche per le modalità di partecipazione diretta (es. fiori o donazioni).

Gli adempimenti, di conseguenza, risultano i consueti: redazione del Registro dei Trattamenti, eventualmente anche per conto terzi; redazione e pubblicazione delle informative; nomine degli addetti e dei responsabili esterni; formazione degli addetti; analisi dei rischi e individuazione delle relative misure di sicurezza. Riguardo agli adempimenti non sempre obbligatori (Valutazioni di Impatto, nomina del DPO), è presumibile che nelle situazioni normali essi non risultino necessari. La nomina del DPO potrebbe diventare opportuna/obbligatoria in casi di consorzi o agenzie particolarmente grandi e operanti in territori estesi. Le Valutazioni di Impatto potrebbero diventare opportune soprattutto in caso di utilizzo di strumenti innovativi (relativamente a servizi internet, per esempio) o che per qualche motivo presentino significative particolarità in termini di dati raccolti o utilizzati (analisi statistiche o comportamentali, per esempio).

Servizi per agenzie terze

È prassi comune che, in caso di decesso lontano da residenza o domicilio, si debba organizzare un trasporto o altri servizi tra un’agenzia di riferimento per i committenti ed un’altra “locale” rispetto al luogo del decesso. In questo caso è necessario regolare il trattamento di dati personali (siano essi del defunto o della committenza) tra le agenzie: è presumibile che ciò possa avvenire con la usuale formula del rapporto Titolare-Responsabile del Trattamento, ma non possono essere escluse altre formule, come la contitolarità (per esempio, in caso di accordo continuativo tra agenzie o all’interno di consorzi).

Esiste però il caso particolare per cui l’agenzia “di supporto” sia extra UE: in questo caso, bisognerebbe regolare il rapporto con le modalità previste per i trasferimenti di dati personali verso paesi terzi (quindi si applicando gli artt. dal 44 al 49 del Regolamento). Mai come in questo caso è necessario analizzare il caso concreto ed avvalersi di opportune competenze.

Certificazioni e codici di condotta

Per tutte le ragioni espresse in precedenza, la categoria delle onoranze funebri è una di quelle per cui potrà valere la pena, appena sarà possibile, pensare a meccanismi di certificazione (in capo alla singola azienda) o all’elaborazione di codici di condotta (in capo alle associazioni di categoria, con successiva adesione della singola azienda) che servono a dimostrare la propria conformità alla normativa, come possibile elemento distintivo verso la clientela rispetto alla concorrenza.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

App e siti di interazione con i medici: indicazioni del Garante

Privacy by Design per la videosorveglianza

Sito web e posta elettronica: informazioni obbligatorie

Il DPO: uno dei tanti o il direttore dell’orchestra?

La privacy degli studi medici