Indice
Testo dell'articoloVigente
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Vedi anche
→art. 2 DUODECIES→art. 2 QUINQUIESDECIES→art. 2 QUATERDECIES→art. 2 UNDECIES→Reg. UE 2016/679 (GDPR) - Disciplina europea sulla protezione dei dati→Cost. art. 14 - Inviolabilità del domicilio→Cost. art. 15 - Libertà e segretezza delle comunicazioni→Art. 2-ter D.Lgs. 196/2003 – Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri→Art. 2-quater D.Lgs. 196/2003 – Regole deontologiche relative a trattamenti di dati personali→Art. 2-bis D.Lgs. 196/2003 – Autorità di controllo→Art. 2 D.Lgs. 196/2003 – Ambito di applicazione→Art. 2-quinquies D.Lgs. 196/2003 – Consenso del minore in relazione ai servizi della società dell’informazione
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
In sintesi
Indice dei contenuti
L'art. 2-terdecies del Codice della privacy (D.Lgs. 196/2003, come novellato dal D.Lgs. 101/2018) governa una zona di confine delicata: che cosa accade ai dati personali quando l'interessato muore. Il Regolamento (UE) 2016/679 (GDPR), al considerando 27, dichiara espressamente di non applicarsi ai dati delle persone decedute, rimettendo agli Stati membri la facoltà di disciplinare la materia. Il legislatore italiano ha esercitato questa opzione mantenendo una tutela post mortem, ma circoscrivendola a soggetti legittimati e bilanciandola con interessi confliggenti.
Chi può esercitare i diritti del defunto
La norma individua tre categorie di legittimati: chi ha un interesse proprio e concreto; chi agisce a tutela dell'interessato come suo mandatario; chi opera per ragioni familiari meritevoli di protezione. Non si tratta, dunque, di una successione automatica nei diritti della personalità, bensì di una legittimazione funzionale: ciascun soggetto deve dimostrare il titolo che lo abilita ad agire. L'erede, in quanto tale, non è di per sé legittimato; lo diventa se ricorre una delle situazioni descritte, tipicamente l'interesse proprio o la ragione familiare.
I diritti azionabili
I legittimati possono esercitare, in linea generale, i diritti previsti dagli articoli da 15 a 22 del GDPR: accesso, rettifica, cancellazione, limitazione del trattamento, portabilità e opposizione. Si pensi alla richiesta di accesso ai dati conservati da un fornitore di servizi digitali, oppure alla cancellazione di informazioni divulgate dopo il decesso. L'ambito è quello della protezione dei dati e non va confuso con la successione nei rapporti contrattuali o con la tutela civilistica dell'immagine e dell'identità personale, che seguono regole proprie.
Il divieto espresso dall'interessato in vita
Il fulcro della disciplina è l'autodeterminazione: la persona, finché è in vita, può vietare in tutto o in parte l'esercizio dei propri diritti dopo la morte. Il divieto deve risultare da una dichiarazione resa per iscritto o comunque comunicata al titolare del trattamento in modo non equivoco, specifico, libero e informato. Non basta una volontà generica: occorre che il defunto abbia inteso effettivamente sottrarre i propri dati all'azione altrui. Coerentemente con la natura personalissima della scelta, la dichiarazione è sempre revocabile o modificabile dall'interessato in qualsiasi momento.
I limiti al divieto
L'autonomia del defunto incontra due limiti invalicabili. Il divieto non può produrre effetti pregiudizievoli per l'esercizio dei diritti patrimoniali che derivano dalla morte: i terzi che vantino pretese economiche non possono essere ostacolati nell'accesso ai dati necessari a farle valere. Inoltre, il divieto non può incidere sul diritto di difesa in giudizio dei terzi: quando il dato è indispensabile a tutelare una posizione processuale, prevale l'esigenza di tutela giurisdizionale. Si tratta di un bilanciamento tipico, che impedisce che la volontà del defunto si traduca in un pregiudizio per posizioni giuridiche altrui costituzionalmente protette.
Il contesto digitale e l'eredità digitale
La disposizione assume rilievo crescente nell'epoca dei servizi online, dei social network e degli account cloud. Le richieste di accesso o cancellazione rivolte ai grandi fornitori digitali trovano qui la base normativa nazionale, da coordinare con le condizioni contrattuali dei singoli servizi e con gli strumenti di pianificazione (ad esempio le funzioni di “contatto erede” o “account commemorativo”). La pianificazione anticipata - una dichiarazione chiara sul destino dei propri dati - è lo strumento che la norma offre a chi voglia governare il proprio lascito informativo.
Coordinamento sistematico
L'articolo va letto in combinato con il Capo II del Codice e con i provvedimenti del Garante per la protezione dei dati personali, che ha più volte chiarito i presupposti della legittimazione post mortem. La ratio complessiva è quella di estendere oltre la vita una tutela che il GDPR, per scelta espressa, non assicura, salvaguardando però i diritti dei terzi e l'integrità del processo.
Il ruolo del Garante e degli orientamenti applicativi
Nell'applicazione concreta della norma assume rilievo l'attività del Garante per la protezione dei dati personali, che ha più volte precisato i contorni della legittimazione post mortem. Gli orientamenti formatisi tendono a richiedere che chi agisce dimostri in modo puntuale il proprio titolo: l'interesse proprio deve essere concreto e attuale, le ragioni familiari devono risultare meritevoli alla luce delle circostanze, e il mandato a tutela dell'interessato deve essere riconoscibile. Questa lettura evita che la tutela post mortem si trasformi in un accesso indiscriminato ai dati del defunto da parte di chiunque, preservando il delicato equilibrio tra memoria, riservatezza e interessi dei terzi.
Il coordinamento con la disciplina successoria
È fondamentale non confondere il piano della protezione dei dati con quello della successione. La successione attribuisce agli eredi i rapporti patrimoniali del defunto, ma non trasferisce automaticamente i diritti della personalità, che hanno natura personalissima. L'art. 2-terdecies costruisce una legittimazione autonoma, fondata sui presupposti che esso stesso indica, e non sulla qualità di erede in quanto tale. Ne deriva che un soggetto può essere erede e tuttavia non legittimato ai sensi della norma, oppure essere legittimato pur non essendo erede, ove ricorra un interesse proprio o una ragione familiare meritevole. La distinzione è essenziale per impostare correttamente le richieste rivolte ai titolari del trattamento.
L'onere della prova e la forma delle richieste
Sul piano pratico, chi intende esercitare i diritti del defunto deve corredare la propria istanza degli elementi che dimostrino il titolo legittimante e, ove esistente, deve confrontarsi con l'eventuale divieto espresso dall'interessato in vita. Il titolare del trattamento, dal canto suo, è tenuto a verificare la sussistenza dei presupposti e a dare riscontro, opponendo il divieto solo nei limiti in cui esso sia efficace. La gestione documentale di queste richieste - istanza motivata, prova del titolo, verifica dell'eventuale divieto e dei suoi limiti - costituisce il nucleo operativo dell'applicazione della norma.
Massime di Cassazione
Cass. Corte Cost., sent. n. 271/2005
Perché è importante: Riservatezza come diritto inviolabile
Prassi dell'Agenzia delle Entrate
Disciplina generale
Hub del Garante per la protezione dei dati personali: disciplina del D.Lgs. 196/2003 coordinato con il GDPR.
Casi pratici
Caso 1: accesso negato per volontà del defunto
Tizio, prima di morire, aveva comunicato per iscritto al gestore della propria casella di posta elettronica il divieto di consentire ad altri l'accesso ai messaggi dopo il decesso. Caio, fratello del defunto, chiede l'accesso per curiosità personale, senza vantare alcun interesse patrimoniale né esigenza difensiva. Il titolare, in linea con la norma, può opporre il divieto: non ricorrono i limiti che lo renderebbero inefficace.
Caso 2: il dato serve a difendersi in giudizio
Sempronia è convenuta in un giudizio in cui un documento conservato nell'account digitale del defunto Tizio è decisivo per la sua difesa. Anche se Tizio aveva espresso un divieto generale, questo non può pregiudicare il diritto di difesa di Sempronia: l'accesso al dato indispensabile alla tutela processuale prevale sul divieto, secondo il bilanciamento previsto dalla norma.
Domande frequenti
Gli eredi possono sempre accedere ai dati del defunto?
Non automaticamente. La legittimazione spetta a chi ha un interesse proprio, a chi agisce come mandatario dell'interessato o per ragioni familiari meritevoli di protezione. L'erede deve quindi dimostrare il titolo che lo abilita, non basta la qualità ereditaria in sé.
Si può impedire che dopo la morte qualcuno acceda ai propri dati?
Sì. L'interessato, finché in vita, può vietare in tutto o in parte l'esercizio dei diritti dopo la morte, con dichiarazione scritta o comunque inequivoca rivolta al titolare del trattamento. La scelta è sempre revocabile.
Il divieto del defunto è assoluto?
No. Non può produrre effetti pregiudizievoli per l'esercizio dei diritti patrimoniali derivanti dalla morte né per il diritto di difesa in giudizio dei terzi. In questi casi l'accesso ai dati resta possibile.
Il GDPR si applica ai dati delle persone decedute?
No, il GDPR esclude espressamente i defunti dal proprio ambito (considerando 27), ma consente agli Stati di disciplinare la materia. L'Italia lo ha fatto con questo articolo, mantenendo una tutela post mortem.
Come si formula validamente il divieto?
Con una manifestazione di volontà chiara, specifica e non equivoca, resa per iscritto o comunque comunicata al titolare. Una volontà generica non basta: deve emergere l'effettiva intenzione di sottrarre i dati all'azione altrui dopo la morte.