La privacy vale anche per i defunti

Quando si parla di privacy, almeno nell’accezione comune del termine, viene naturale pensare che si applichi solo alle persone in vita. Tuttavia, la privacy come diritto è stato sostituito da quello più ampio di protezione dei dati personali, il cui scopo è di tutelare le persone rispetto a qualsiasi utilizzo, anche lecito, dei loro dati personali; in questo senso, appare evidente che possano esistere sia tutele applicabili al defunto stesso (per esempio, preservarne la dignità e/o la reputazione), che ai suoi familiari (per esempio, rispetto agli oneri legati alla successione e all’eredità).

Questo principio è già stato affermato dal Garante per la protezione dei dati personali [doc. web n. 9084520]: “Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i predetti diritti da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, al posto delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento prima richiamati – fra cui il diritto di accesso ai propri dati personali, i diritti di rettifica e cancellazione dei dati, il diritto alla limitazione del trattamento, il diritto di opposizione al trattamento, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai «principi applicabili al trattamento di dati personali» nel rispetto delle condizioni di «liceità del trattamento», in quanto compatibili.”

Lo stesso principio era già stato peraltro affermato in tempi precedenti all’applicazione del Regolamento UE 679/16 (o GDPR), attraverso alcuni provvedimenti del Garante. Per fare due esempi, era risultata illecita la prassi di un comune di emettere un bollettino periodico che riportasse l’elenco dei nati, dei decessi e di altri eventi tipici della gestione dell’anagrafe cittadina, semplicemente perché non esiste una valida motivazione (base giuridica) che legittimasse questa diffusione di dati, anche se considerati pubblici per legge; così come è stata ritenuta illecita la pubblicazione su un giornale delle foto delle vittime (bambini) di un noto fatto di cronaca degli anni scorsi, foto peraltro acquisite direttamente sulle tombe all’insaputa dei genitori (a nulla è servito il ricorso del giornale al diritto alla libertà di espressione e di cronaca).

La motivazione di tale principio è in realtà piuttosto semplice da comprendere. Infatti, ogni trattamento di dati personali, anche lecito, comporta dei rischi “per le libertà ed i diritti degli interessati”; in questo caso, seppure il decesso elimina per forza di cose una serie di rischi, non li elimina del tutto. Alcuni di essi sono:

il furto d’identità (i dati del defunto possono essere utilizzati fraudolentemente in quei contesti dove non ci sono stringenti controlli);
riutilizzo incontrollato delle immagini (foto/video, presenti soprattutto nell’ambito digitale);
truffe mirate ai familiari (facendo ricorso allo stato di fragilità psicologica in seguito al decesso);
tentativi di attribuzione fraudolenta di responsabilità civili o penali (che comportano i già citati rischi di lesione della dignità e della reputazione, e quindi della memoria, del defunto);
diffusione incontrollata di dati sensibili del defunto (potenzialmente causa di effetti discriminatori sui familiari e/o amici).

Anche nel contesto dei trattamenti di dati personali dei defunti, il mondo digitale appare particolarmente problematico: sempre più i dati dei defunti sono pubblicati su servizi liberamente accessibili tramite internet, e perciò è opportuno verificare le legittimità di tali trattamenti. In questo senso, la pubblicazione digitale da parte delle agenzie funebri dell’equivalente dei manifesti cartacei (pur con una serie di accortezze, prima fra tutte la volontà dei familiari), appare in generale decisamente più legittima dei “cimiteri virtuali”, in cui i dati dei defunti appaiono (in molti casi) raccolti attraverso tecniche di scansionamento (“web scraping”) delle informazioni disponibili pubblicamente (soprattutto social media) per scopi puramente commerciali, configurandosi come una pratica scorretta in assenza di libera adesione.

Infatti, questi servizi spesso non sono legati a regolari agenzie funebri, ma a soggetti di varia natura che, attraverso il servizio che rendono (la ricerca di annunci funebri da remoto o per chi non ha altro modo di avere notizie sulle esequie), generano traffico sui loro siti e di conseguenza introiti di tipo pubblicitario, anche attraverso la pratica dei cookies e degli altri sistemi di tracciamento di terze parti. Questa pratica può ritenersi lecita solo in presenza di un consenso dell’interessato (ovviamente preventivo) o degli aventi diritto (familiari/eredi), che dovrebbero anche avere il controllo di ciò che viene pubblicato (ma in considerazione del numero di annunci pubblicati, appare improbabile che ciò sia vero in tutti i casi). In assenza di una qualche forma di consenso, ci si trova nella situazione in cui tali dati sono di fatto sfruttati allo scopo di ottenere vantaggi economici propri, senza nessun corrispondente vantaggio per gli interessati o, in questo caso, per i loro eredi.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Richiedi più informazioni facilmente con WhatsApp

App e siti di interazione con i medici: indicazioni del Garante

Privacy by Design per la videosorveglianza

Sito web e posta elettronica: informazioni obbligatorie

Il DPO: uno dei tanti o il direttore dell’orchestra?

La privacy degli studi medici