Garante privacy: accesso ai dati personali del terzo beneficiario di polizze assicurative. Provvedimento interpretativo.

Con il provvedimento interpretativo del combinato disposto degli articoli 15 GDPR e 2-terdecies del Codice privacy, il Garante ha chiarito che gli eredi o i chiamati alla eredità che inoltrano alle compagnie assicurative istanze di accesso ai dati personali del terzo beneficiario di una polizza a lui intestata da de cuius per conoscerne l’identità devono dimostrare la loro qualità successoria e di avere in corso (o di star per instaurare) un contenzioso successorio in sede giudiziaria. L’Autorità ricorda che resta vietato consentire l’accesso a dati personali di soggetti diversi dal de cuius (quali quelli del terzo beneficiario) come regola generale (art. 15.4 GDPR), ma se la base dell’accesso è il diritto di azione o difesa, il diritto alla riservatezza (che non è assoluto) del terzo può essere compresso con equo bilanciamento (solo in questi casi e purché le istanze non siano pretestuose o esplorative) e i dati del terzo beneficiario della polizza possono essere comunicati sulla base del legittimo interesse del terzo (chiamato alla eredità/erede) ai sensi dell’art. 6.1, lettera (f) del GDPR. Una sottile distinzione che comunque non rappresenta una novità ed era stata già evidenziata dalla Suprema Corte, anche a Sezioni Unite. Dunque, le Compagnie assicuratrici devono – prima di riscontrare l’accesso – verificare la qualità di “chiamato alla eredità” (per la Cassazione è sufficiente allegare il certificato anagrafico di stato di famiglia) o di “erede” (qualità che può essere provata con l'accettazione dell'eredità; il certificato di morte unito allo stato di famiglia o, se presente, al testamento, ma non con la dichiarazione di successione, che ha valore solo fiscale; e comunque si generano a mio avviso criticità sul trattamento di dati di molti altri terzi menzionati nella documentazione di prova….). Devono inoltre verificare che l’interesse (ad agire o difendersi in giudizio) sia concreto e attuale, cioè realmente esistente al momento dell’accesso ai dati, strumentale o prodromico alla difesa di un proprio diritto successorio in sede giudiziaria. Ecco, sul punto ho il dubbio che sia riversato sulle compagnie assicuratrici un accertamento che – in molti casi – appare una probatio diabolica. Tolti i casi in cui il richiedente allega prova documentale di un procedimento giudiziario pendente (per esempio una azione di riduzione), come la mettiamo con le lettere di avvocati che richiedono l’accesso ai dati del terzo beneficiario per conto dei loro clienti/eredi per valutare possibili (ma non certe/attuali al momento della richiesta) azioni? Sono richieste “prodromiche” alla instaurazione di un giudizio (accesso consentito) o esplorative (accesso negato)? E se poi, una volta garantito l’accesso, non seguono azioni giudiziarie (es: la polizza non lede quote di legittima), l’accesso viene retroattivamente colpito da sopravvenuta illegittimità, con possibilità per il terzo beneficiario di chiedere un danno da trattamento alla compagnia assicuratrice?