Fai clic qui per la versione italiana.

With Provision no. 520 on October 26, 2023, the Data Protection Authority provided crucial clarifications regarding the exercise of the right of access by heirs and those called to inheritance to personal data of deceased individuals, specifically focusing on beneficiary data within life insurance policies.

1. The Regulatory Framework

The overarching goal of the right of access, as set forth in the personal data protection legislation, is to provide individuals with sufficient, transparent, and easily accessible information regarding the processing of their personal data. However, this right generally does not extend to obtaining personal information about third parties, i.e., individuals other than the concerned subject.

National regulations concerning data protection, availing itself of the provision laid out in recital 27 of Regulation (EU) 2016/679 (GDPR), have also regulated the possibility of exercising the right of access regarding data concerning deceased individuals.

In this context, Article 2-terdecies, paragraph 1 of Legislative Decree no. 196/2003 provides that "rights referred to in Articles 15 to 22 of the Regulation concerning personal data of deceased individuals can be exercised by those who have a legitimate interest, act on behalf of the data subject as their representative, or for family reasons deserving protection."

However, this provision does not impact the scope and extent of the rights exercisable: the individuals authorized to exercise the right of access, as envisaged in Article 15 of the Regulation, have the right to access the same information available to the data subject.

2. Case Law on the knowability of beneficiary data in Insurance Policies

The disclosure of beneficiary data in insurance policies has been subject to various court rulings over the years, yielding differing judgments, sometimes favouring and sometimes opposing the recognition of such rights.

The divergent positions arise from a large number of instances seeking access to the decedent's data directed at insurance companies in accordance with Article 2-terdecies of the Code, leading to the development of various interpretative lines. Consequently, many complaints and reports arose from the disparate decisions made by the lower courts, resulting in interpretative ambiguities over time.

3. The Data Protection Authority decision

Given the uncertainty that emerged over the years, it became essential for the Data Protection Authority to provide its own viewpoint, aiming to conclusively dispel the long-standing uncertainties on this matter.

Through the Provision no. 520 on October 26, 2023, the Authority determined that insurance companies must allow heirs to consult the names of beneficiaries indicated in life insurance policies held by deceased individuals.

It was stated that the protection of personal data privacy does not hold absolute value. Therefore, the data controller must reconcile this right with the right to defend oneself in court exercised by the party accessing the personal data of the decedent. Citing the words of higher courts, the Authority emphasized that the interest in data privacy must yield in the face of the protection of other legally relevant interests, including the genuine and non-surreptitious interest in exercising the right of defence in court.

Before disclosing the names of life insurance policy beneficiaries, companies must ensure that two distinct conditions are met:

1) First, they must verify that the applicant genuinely holds a substantial legal position within the inheritance, corresponding to being called to inheritance or being an heir;

2) Secondly, they must ascertain that the applicant holds a concrete and current interest, one that genuinely exists at the time of accessing the data, instrumental or preliminary to defending their inheritance rights in court.

The Authority, in outlining its position, pointed out the importance of balancing the right to privacy with other fundamental rights, such as the right to defence in court, especially in cases of inheritance rights.

Polizze vita: I dati dei beneficiari sono conoscibili dagli eredi

Pubblicato il 9 gennaio 2024

Please click here for the English version. 

Con Provvedimento interpretativo n. 520 del 26 ottobre 2023, il Garante della Privacy ha provveduto a fornire degli importanti chiarimenti in merito all'esercizio del diritto di accesso da parte degli eredi e dei chiamati all'eredità ai dati personali dei soggetti deceduti, con specifico riferimento ai dati dei beneficiari di polizze vita.

1. Il quadro normativo di riferimento

L'obiettivo generale del diritto di accesso, previsto dalla disciplina di protezione dei dati personali, è quello di fornire agli interessati informazioni sufficienti, trasparenti e facilmente accessibili, sul trattamento dei dati personali che li riguarda. Tuttavia tale diritto non consente, di norma, di ottenere informazioni personali riferite ai terzi, vale a dire a soggetti diversi dall'interessato.

La normativa nazionale in materia di protezione dati, avvalendosi della facoltà prevista dal considerando n. 27 del Regolamento (UE) 2016/679 (GDPR), ha disciplinato anche la possibilità di esercitare il diritto di accesso in relazione ai dati riguardanti le persone decedute.

In questo ambito, infatti, l’art. 2-terdecies, comma 1 del d.lgs. n. 196/2003  prevede che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

La disposizione, tuttavia, non incide sulla portata e ampiezza dei diritti esercitabili: i soggetti legittimati ad esercitare il diritto di accesso, previsto dall'art. 15 del Regolamento, hanno il diritto di accedere alle stesse informazioni disponibili per l'interessato.

2. La giurisprudenza di merito sulla conoscibilità dei dati dei beneficiari di polizze assicurative

Il tema della conoscibilità dei dati dei beneficiari di polizze assicurative è stato oggetto, nel corso degli anni, di diverse pronunce da parte dei giudici di merito, ora favorevoli ora contrarie a riconoscere tale diritto.

Le diverse posizioni emerse derivano da svariate istanze di esercizio del diritto di accesso ai dati del de cuius rivolte alle imprese assicuratrici ai sensi dell'articolo 2-terdecies del Codice, che hanno portato allo sviluppo di diverse linee interpretative. A seguito di ciò sono state presentate numerose segnalazioni e reclami, derivanti proprio dalle divergenti decisioni prese dalla giurisprudenza di merito, che hanno originato nel tempo varie ambiguità interpretative.

3. La posizione del Garante

Dal quadro di incertezza delineatosi negli anni, è emersa l'esigenza che il Garante per la protezione dei dati personali esprimesse un proprio orientamento, in modo da poter definitivamente porre fine ai dubbi che hanno caratterizzato a lungo tale tema.

Proprio mediante il Provvedimento interpretativo n. 520 del 26 ottobre 2023, il Garante privacy ha ritenuto che le imprese di assicurazione devono permettere agli eredi di consultare i nomi dei beneficiari indicati nelle polizze vita stipulate da persone decedute.

Si è affermato, in proposito, che la a tutela della riservatezza dei dati personali non ha un valore assoluto, motivo per il quale il titolare del trattamento deve contemperare tale diritto con quello di difendersi in giudizio, esercitato da colui che accede ai dati personali del de cuius.

Il Garante, richiamando le parole dei giudici di legittimità, ha infatti indicato che l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di altri interessi giuridicamente rilevanti, tra i quali l’interesse, ove autentico e non surrettizio, all’esercizio del diritto di difesa in giudizio.

Prima di divulgare i nomi dei beneficiari delle polizze vita, le compagnie devono comunque assicurarsi che siano soddisfatte due diverse condizioni:

1) Innanzitutto, devono verificare che il richiedente sia effettivamente portatore di una posizione di diritto soggettivo sostanziale in ambito successorio, corrispondente alla qualità di chiamato all’eredità o di erede;

2) In secondo luogo, devono accertare che il richiedente abbia un interesse concreto e attuale, cioè realmente esistente al momento dell’accesso ai dati, strumentale o prodromico alla difesa di un proprio diritto successorio in sede giudiziaria.

L’Autorità pertanto, nel delineare la propria posizione, ha sottolineato l'importanza di bilanciare il diritto alla privacy con altri diritti fondamentali, come nel caso di diritto alla difesa in giudizio.